YARAとは、マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(Pythonベース)です。 Windows/Linux/Mac OS Xと、幅広く対応しているマルチプラットフォームのツールで、『YARAルール』という文字列と条件/条件演算子/正規表現などを用いて、マルウェアのファミリーの記述を作成し、”yara”コマンドで # yara [OPTION]... [RULEFILE]... FILE | PID とすることで、ルールに沿ってFILE or PIDからマルウェアを検出します。 YARA ルールの構造は、以下のようになっています。 rule dummy { condition: false } 例えば、stingを用いて検知する場合には、以下のようになります。 rule ExampleRule { strings: $my
![「YARAルール」とClamAV — | サイオスOSS | サイオステクノロジー - SIOS SECURITY BLOG](https://cdn-ak-scissors.b.st-hatena.com/image/square/ba8b62a112199af509e487009f8218eb4ceb2418/height=288;version=1;width=512/https%3A%2F%2Fsecurity.sios.jp%2Fwp-content%2Fuploads%2Fsecurity-sios-jp-sns.png)