Yara Regeln: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „== Grundlagen == Yara (YARA: Another Recursive Ancronym) wurde von VirusTotal entwickelt und soll bei der Erkennung von Schadprogrammen helfen. Das Projekt ist…“) |
Keine Bearbeitungszusammenfassung |
||
| Zeile 5: | Zeile 5: | ||
Zum Verwenden von Yara regeln wird zum einen ein Yara Scanner und entsprechende Yara Regeln benötigt. | Zum Verwenden von Yara regeln wird zum einen ein Yara Scanner und entsprechende Yara Regeln benötigt. | ||
== Yara Regeln == | |||
Yara Regeln bestehen aus einer Datei mit der Endung “yar”. Dabei kann die Datei mit jedem Texteditor erstellt werden. Jede Yara Regel muss einem gewissen Muster folgen, dabei betrachten wir nachfolgend eine Beispiel-Regel und beschreiben jede einzelne Komponente. | |||
Version vom 15. Juli 2023, 17:47 Uhr
Grundlagen
Yara (YARA: Another Recursive Ancronym) wurde von VirusTotal entwickelt und soll bei der Erkennung von Schadprogrammen helfen. Das Projekt ist ein quelloffenes Framework und unter Github öffentlich verfügbar. Das Ziel von Yara ist es mit gleichnamigen Yara Regeln Muster zu erstellen, um Malware oder Malware Samples auf Computersystemen zu finden. Ebenfalls lassen sich Malware Samples klassifizieren und einer Malware-Family zuordnen. Dabei können diese Muster nicht nur in Softwaredateien, sondern auch im Arbeitsspeicher gefunden werden.
Yara ist multiplattform einsetzbar und kann daher auf Windows, Linux und MacOS verwendet werden.
Zum Verwenden von Yara regeln wird zum einen ein Yara Scanner und entsprechende Yara Regeln benötigt.
Yara Regeln
Yara Regeln bestehen aus einer Datei mit der Endung “yar”. Dabei kann die Datei mit jedem Texteditor erstellt werden. Jede Yara Regel muss einem gewissen Muster folgen, dabei betrachten wir nachfolgend eine Beispiel-Regel und beschreiben jede einzelne Komponente.
