ドライバファイルのYARAサンプル

次のYARAファイルサンプルは、文字列の指定されたセットに基づいてドライバファイルを検索します。

rule APT_driver
{
        strings:
                $s1 = "Services\\riodrv32" wide ascii
                $s2 = "riodrv32.sys" wide ascii
                $s3 = "svchost.exe" wide ascii
                $s4 = "wuauserv.dll" wide ascii
                $s5 = "arp.exe" wide ascii
                $pdb = "projects\\auriga" wide ascii

        condition:
                all of ($s*) or $pdb
}