rule test
{
condition:
false
}
해당 코드는 가장 기본적인 yara rule이다.
각 룰은 'rule'로 구별 되며, test의 위치에 식별자가 들어가게 된다.
위 표는 yara rule의 키워드들이다. 키워드는 식별자로 사용할 수 없음을 유의하자.
rule sample
{
meta:
author = "dukup11ch1"
type = "test"
filetype= "Win32 EXE"
version = "1.0"
date = "2018-09-11"
SHA256 = 18543929355CD9239E3CD4A6A17544716CDC66ADF18C185CE2A6DED7558D3653
strings:
$a1="test"
$a2={12 34 56}
condition:
$a1 or $a2
}
이제 yara rule의 구조를 알아 보자.
크게 3부분으로 나눌 수 있다. meta부분은 주석이나 마찬가지이다. 다른사람들에게 자신이 짠 yara rule의 정보를 전달하기위해 존재한다.
strings 부분은 상수를 저장한다고 생각 하면 된다.
condition에서는 조건의 참거짓을 판별한다.
지금까지가 기본적인 yara rule의 구조이다. 다음 것 부터 상세하게 알아보자
'악성코드 분석 관련 > yara rule' 카테고리의 다른 글
yara rule사용법(2) (0) | 2018.09.17 |
---|
WRITTEN BY
- Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다
,