|
|
|
|
|
rule NumberOne
{
meta:
desc = "Sonala"
weight = 10
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
condition:
$a or $b or $c
}|
要素
|
使用方法
|
||
|---|---|---|---|
|
rule
|
YARAルールの名前です。一意である必要があり、スペースを含むことはできません。
|
||
|
meta:
|
「メタ」セクションの開始位置を示します。メタセクション内の要素は検出に影響しません。
|
||
|
desc
|
ルールの説明に使用するオプションの要素です。
|
||
|
weight
|
オプションの要素で、1~10の数値を指定する必要があります。ルール条件が満たされる場合のリスクレベルを特定します。
|
||
|
strings:
|
「文字列」セクションの開始位置を示します。文字列は不正プログラムを検出する主要な手段です。
|
||
|
$a / $b / $c
|
不正プログラムを検出するために使用される文字列です。$文字で開始する必要があり、1つ以上の英数字とアンダースコアが続きます。
|
||
|
condition:
|
「条件」セクションの開始位置を示します。不正プログラムを検出するための文字列の使用方法を決定します。
|
||
|
$a or $b or $c
|
ルールの論理を定義するブール式です。送信されたオブジェクトがルールを満たすかどうかを決定する条件を示します。条件には、一般的なブール演算子 (and、or、およびnot) と関係演算子 (>=、<=、<、>、==、および!=) を使用できます。算術演算子 (+、-、*、\、%) とビット処理演算子 (&、|、<<、>>、~、^) は数式で使用できます。
|
