Как я могу использовать pe.entry_point для написания правил YARA?

Question

Как я могу использовать pe.entry_point для написания правил YARA?

Я написал условие в правиле YARA, как это pe.entry_point == {12 A5 26} но я получаю неожиданное _HEX_STRING_ error, В чем проблема? Как я могу получить адрес entry_point? Какой тип выхода pe.entry_point?

0

portable-executable malware-detection yara

Источник

user6593145 03 сен '17 в 12:50

2 ответа

Другие вопросы по тегам portable-executable malware-detection yara

user7418646 26 фев '18 в 01:56 2018-02-26 01:56 · Answer 1 · 2018-02-26 01:56

pe.entry_point это DWORD нашел в IMAGE_OPTIONAL_HEADER,

Реализация этой функции (то есть, как Yara получает pe.entry_point значение из переносимых исполняемых файлов) доступно на странице Yara Github.

Что касается ошибки, с которой вы столкнулись, попробуйте изменить правило на pe.entry_point == 0x12A526, Я основываю это предложение на примере правила тестирования.

user2976502 31 мар '23 в 13:56 2023-03-31 13:56 · Answer 2 · 2023-03-31 13:56

Прошло 5 лет, но я верю, что используяatсинтаксис будет работать

      strings:
  $ep_data = { 12 A5 26 }
condition:
  $ep_data at pe.entry_point

0

Источник

user2976502 31 мар '23 в 13:56