CTFのためのYARA

YARAとは

YARAとは、マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(Pythonベース)です。
Windows/Linux/Mac OS Xと、幅広く対応しているマルチプラットフォームのツールで、『YARAルール』という文字列と条件、条件演算子、正規表現などを用いて、マルウェアのファミリーの記述を作成し、”yara”コマンドで
“””
yara [OPTION]… [RULEFILE]… FILE | PID
“””
とすることで、ルールに沿ってFILE or PIDからマルウェアを検出します。
引用: 「YARAルール」とClamAV

つまり??

  • ファイルやプロセスメモリのバイナリデータをスキャンし、そのスキャン結果を出力する
  • スキャンには正規表現や条件演算子を使用できる

参考リスト

Web

Blog

その他