CTFのためのYARA
YARAとは
YARAとは、マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(Pythonベース)です。
Windows/Linux/Mac OS Xと、幅広く対応しているマルチプラットフォームのツールで、『YARAルール』という文字列と条件、条件演算子、正規表現などを用いて、マルウェアのファミリーの記述を作成し、”yara”コマンドで
“””
yara [OPTION]… [RULEFILE]… FILE | PID
“””
とすることで、ルールに沿ってFILE or PIDからマルウェアを検出します。
引用: 「YARAルール」とClamAV
つまり??
- ファイルやプロセスメモリのバイナリデータをスキャンし、そのスキャン結果を出力する
- スキャンには正規表現や条件演算子を使用できる