Написание правил yara на Python

Question

Написание правил yara на Python

Я читал документацию, и мне было трудно понять это. Перевод очень помог бы.

Я наткнулся на это примерное правило Perl для Yara:

rule BadBoy
{
strings:
 $a = "win.exe"
 $b = "http://foo.com/badfile1.exe"
 $c = "http://bar.com/badfile2.exe"
condition:
 $a and ($b or $c)
}

Как бы вы написали и скомпилировали это правило в Python?

1

python malware yara

Источник

user1993918 09 май '16 в 14:44

1 ответ

Решение

Другие вопросы по тегам python malware yara

user5276801 10 май '16 в 07:07 2016-05-10 07:07 · Accepted Answer · 2016-05-10 07:07

Из питона сначала нужно import yara

Прямо из документации:

Затем вам нужно будет скомпилировать ваши правила YARA, прежде чем применять их к вашим данным, правила могут быть скомпилированы из пути к файлу:

rules = yara.compile()

Вы можете передать имя файла для форматированных правил или вставить строку для компиляции.

Для передачи строк необходимо использовать словарные структуры, ключом которых является пространство имен данных, а значениями - атрибуты.

import yara
rules = yara.compile(sources={
'identifier_for_instance_of rule':'rule BadBoy { 
                       'strings': [('$a', 'win.exe'),('$b', 'http://foo.com/badfile1.exe') , ('$c', 'http://bar.com/badfile2.exe')],
                       'condition': '$a and ($b or $c)'
                      }'})