寫在前面的話:spa
上一篇文章裏,咱們已經初步瞭解了Malware的一些知識,而且利用Clamscan建立了本身的md5類型的病毒庫,3d
那在這篇文章中,我將帶領你們一塊兒,來進一步瞭解病毒庫的相關知識,以及如何創建本身的規則,匹配病毒;code
零、YARA規則的編寫:blog
yara也是在ClamAV這個開源軟件裏的,這裏,先演示一下簡單的使用:md5
rule vir1 { strings: $my_text_string = "kerne132.dll" // kerne132.dll not kernel32.dll condition: $my_text_string }
由於Lab01-01.exe裏有kerne132.dll這個字符串出現,因此,規則就會匹配成功;字符串
出現這個非正常字符串,咱們就認爲這個文件是惡意的,因此,會出現提示信息;string
1、YARA規則解說(摘自15PB薛老師,部分)開源軟件
2、Clamav病毒庫類型it