VirusTotal/yara-x

[](https://github.com/VirusTotal/yara-x/actions/workflows/tests.yaml) [](https://app.codecov.io/gh/VirusTotal/yara-x) [](https://crates.io/crates/yara-x)  ## YARA-X YARA-X 是 [YARA](https://github.com/VirusTotal/yara) 的重生版本，YARA 是一款专为恶意软件研究人员设计的模式匹配工具。这个新版本旨在比其前身更快、更安全且更人性化。YARA-X 的最终目标是取代 YARA，成为恶意软件研究人员的首选模式匹配工具。 使用 YARA-X，您可以根据文本或二进制模式创建恶意软件家族（或任何您想描述的内容）的描述。每个描述（也称为规则）由一组模式和一个决定其逻辑的布尔表达式组成。让我们看一个例子： ``` rule silent_banker : banker { meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c } ``` 上面的规则告诉 YARA-X，任何包含这三个模式之一的文件都必须被报告为 `silent_banker`。这只是一个简单的例子，您可以使用通配符、不区分大小写的字符串、正则表达式、特殊运算符以及许多其他功能来创建更复杂、更强大的规则，这些功能将在[文档](https://virustotal.github.io/yara-x/docs/writing_rules/anatomy-of-a-rule/)中进行详细说明。 ## 常见问题 #### YARA-X 与 YARA 相比如何？ 阅读[此内容](https://virustotal.github.io/yara-x/docs/intro/yara-x-vs-yara/)。 #### 规则层面有哪些差异？ 阅读[此内容](https://virustotal.github.io/yara-x/docs/writing_rules/differences-with-yara/)。 #### YARA 仍在维护吗？ 是的。YARA 仍在维护中，未来的版本将包含错误修复和小功能。但是，不要期待新增大型功能或模块。所有增强 YARA 的努力，包括添加新模块，现在都将集中在 YARA-X 上。 #### YARA-X 目前的状况如何？ YARA-X 已经成熟且稳定。在 VirusTotal，我们已经在生产环境中运行 YARA-X 很长时间了，使用数万条规则扫描了数十亿个文件，并解决了差异和错误。这意味着 YARA-X 已经经过实战检验。 请测试 YARA-X，如果您发现错误或想要实现某些功能，请随时[提交 issue](https://github.com/VirusTotal/yara-x/issues/new)。

标签：Ask搜索, DNS通配符检测, Rust, TCP/UDP协议, VirusTotal, XML 请求, YARA, yara-x, 二进制分析, 云安全监控, 云安全运维, 云资产可视化, 可视化界面, 启发式扫描, 威胁情报, 安全开发, 开发者工具, 模式匹配, 特征工程, 系统运维工具, 网络安全, 网络流量审计, 自动化资产收集, 自定义DNS解析器, 通知系统, 隐私保护, 静态分析, 默认DNS解析器