编写 YARA 规则 — yara 4.2.0 文档

YARA规则易于编写和理解，并且它们的语法是类似于 C 语言。这是您可以编写的最简单的规则 YARA，它什么都不做：

rule dummy
{
    condition:
        false
}

一、规则标识符

每个规则都以关键字“ rule”开头，后面跟着一个规则标识符。标识符必须遵循与C语言相同的词法约定，标识符命名有如下要求:

英文字母、数字、下划线组成的字符串
第一个字符不能是数字
对大小写敏感
不能超出128个字符长度

以下关键字是保留的，不能用作规则标识符：

二、注释

//　单行注释

　　多行注释

三、字符串

Yara中有三种类型的字符串:

3.1、十六进制字符串

定义原始字节序列

// 通配符?：可以代替某些未知字节，与任何内容匹配

rule WildcardExample
{
    strings:
       // 使用‘?’作为通配符
       $hex_string = { 00 11 ?? 33 4? 55 }
    condition:
       $hex_string
}

这个规则可以匹配下面的两个字符串：

00 11 01 33 43 55

00 11 AA 33 4N 55

// 跳转：可以匹配长度可变的字符串

rule JumpExample

{
        strings:
           // 使用‘[]’作为跳转，与任何长度为0-2字节的内容匹配
           $hex_string1 = { 00 11 [2] 44 55 }
           $hex_string2 = { 00 11 [0-2] 44 55 }
           // 该写法与string1作用完全相同
           $hex_string3 = { 00 11 ?? ?? 44 55 }
        condition:
           $hex_string1 and $hex_string2
}

这个规则可以匹配下面的两个字符串：

00 11 01 22 44 55

00 11 AA 44 55

// 匹配无限长的字符串

rule BuzzLightyear
{
    strings:
        $hex_string = { F4 23 [-] 62 B4 }
    condition:
        $hex_string
}

这个规则可以匹配下面的两个字符串：

F4 23 AA FF 62 B4

F4 23 AA AA AA AA AA...FF FF 62 B4

// 也可以使用类似于正则表达式的语法

rule AlternativesExample1
{
    strings:
       $hex_string = { 00 11 ( 22 | 33 44 ) 55 }
    condition:
       $hex_string
}

可以匹配以下内容:

00 11 22 55

00 11 33 44 55

// 还可以将上面介绍的方法整合在一起用

rule AlternativesExample2

{
    strings:
       $hex_string = { 00 11 ( 33 44 | 55 | 66 ?? 88 ) 99 }
    condition:
       $hex_string
}

这个规则可以匹配下面的三个字符串：

00 11 33 44 99

00 11 55 99

00 11 66 AG 88 99

3.2、文本字符串

定义可读文本的部分。

转义符：

\" 双引号

\\ 反斜杠

\t 制表符

\n 换行符

\xdd 十六进制的任何字节

修饰符：

nocase：不区分大小写

wide：匹配2字节的宽字符，这种宽字符串在许多二进制文件中都有出现

ascii：匹配1字节的ascii字符

xor：匹配异或后的字符串

fullword：匹配完整单词，用于匹配那些前后没有附加其他字符的单词

private：定义私有字符串

rule CaseInsensitiveTextExample
{
    strings:
        // 不区分大小写
        $text_string = "foobar" nocase

        // 匹配宽字符串
        $wide_string = "Borland" wide

        // 同时匹配2种类型的字符串
        $wide_and_ascii_string = "Borland" wide ascii

        // 匹配所有可能的异或后字符串
        $xor_string = "This program cannot" xor

        // 匹配所有可能的异或后wide ascii字符串
        $xor_string = "This program cannot" xor wide ascii

        // 限定异或范围
        $xor_string = "This program cannot" xor(0x01-0xff)

        // 全词匹配(匹配:www.domain.com  匹配:www.my-domain.com  不匹配:www.mydomain.com)
        $wide_string = "domain" fullword

        // 私有字符串可以正常匹配规则，但是永远不会在输出中显示
        $text_string = "foobar" private

    condition:
        $text_string
}

3.3、正则表达式

定义可读文本的部分。

yara规则允许使用正则表达式, 不过要用正斜杠而非双引号括起来使用(像Perl编程那样)

rule RegularShow
{
    strings:
        $re1 = /md5: [0-9a-fA-F]{32}/
        $re2 = /state: (on|off)/
    condition:
        $re1 and $re2
}

该规则将捕获任何状态下找到的所有md5字符串。

你也可以在正则表达式中使用文本修饰符, 如nocase,ascii,wide和fullword。

四、条件表达式

你可以在条件表达中使用如下运算符：

all any them

all of them // 匹配规则中的所有字符串

any of them // 匹配规则中的任意字符串

all of ($a*) // 匹配标识符以$a开头的所有字符串

any of ($a,$b,$c) // 匹配a, b，c中的任意一个字符串

1 of ($*) // 匹配规则中的任意一个字符串

#

// 匹配字符串在文件或内存中出现的次数

rule CountExample

{

strings:

$a = "dummy1"

$b = "dummy2"

condition:

//a字符串出现6次，b字符串大于10次

#a == 6 and #b > 10

}

@

//可以使用@a[i]，获取字符串$a在文件或内存中，第i次出现的偏移或虚拟地址

//小标索引从1开始，并非0

//如果i大于字符串出现的次数，结果为NaN(not a number 非数值)

！

//可以使用!a[i]，获取字符串$a在文件或内存中，第i次出现时的字符串长度

//下标索引同@一样都是从1开始

//!a 是 !a[1]的简写

at

// 匹配字符串在文件或内存中的偏移

rule AtExample

{

strings:

$a = "dummy1"

$b = "dummy2"

condition:

// a和b字符串出现在文件或内存的100和200偏移处

$a at 100 and $b at 200

}

in

// 在文件或内存的某个地址范围内匹配字符串

rule InExample

{

strings:

$a = "dummy1"

$b = "dummy2"

condition:

$a in (0..100) and $b in (100..filesize)

}

filesize

// 使用关键字匹配文件大小

rule FileSizeExample

{

condition:

// filesize只在文件时才有用，对进程无效

// KB MB后缀只能与十进制大小一起使用

filesize > 200KB

}

entrypoint

// 匹配PE或ELF文件入口点(高版本请使用PE模块的pe.entry_point代替)

rule EntryPointExample1

{

strings:

$a = { E8 00 00 00 00 }

condition:

$a at entrypoint

}

rule EntryPointExample2

{

strings:

$a = { 9C 50 66 A1 ?? ?? ?? 00 66 A9 ?? ?? 58 0F 85 }

condition:

$a in (entrypoint..entrypoint + 10)

}

of

// 匹配多个字符串中的某几个

rule OfExample1

{

strings:

$a = "dummy1"

$b = "dummy2"

$c = "dummy3"

condition:

// 3个字符串只需匹配任意2个

2 of ($a,$b,$c)

}

for xxx of xxx ：(xxx)

功能：对多个字符串匹配相同的条件

格式：for AAA of BBB : ( CCC )

含义：

在BBB字符串集合中，至少有AAA个字符串，满足了CCC的条件表达式，才算匹配成功。

在CCC条件表达式中，可以使用'$'依次代替BBB字符串集合中的每一个字符串。

// for..of其实就是of的特别版，所以下面2个例子作用相同

any of ($a,$b,$c)

for any of ($a,$b,$c) : ( $ )

// 在abc这3个字符串集合中，至少有1个字符串，必须满足字符串内容与entrypoint相同的条件。$表示集合中的所有字符串. 本例中, 它是字符串$a, $b和$c.

for 1 of ($a,$b,$c) : ( $ at entrypoint )

for any of ($a,$b,$c) : ( $ at entrypoint )

// 所有字符串，在文件或内存中出现的次数必须大于3，才算匹配成功。

for all of them : ( # > 3 )

// 所有以$a开头的字符串，在文件或内存中第2次出现的位置必须小于9

for all of ($a*) : (@[2] < 0x9)

引用其它规则

rule Rule1

{

strings:

$a = "dummy1"

condition:

}

rule Rule2

{

strings:

$a = "dummy2"

condition:

$a and Rule1

}

全局规则

// 全局规则（global rule）可以在匹配其他规则前优先筛选，

// 比如在匹配目标文件之前需要先筛选出小于2MB的文件，在匹配其他规则

global rule SizeLimit

{

condition:

filesize < 2MB

}

私有规则

//私有规则（private rule）可以避免规则匹配结果的混乱，

//比如使用私有规则进行匹配时，YARA不会输出任何匹配到的私有规则信息

//私有规则单独使用意义不大，一般可以配合"引用其它规则"的功能一起使用。比如为了判断文件是否恶意, 有这样一条私有规则, 要求文件必须是ELF文件. 一旦满足这个要求, 随后就会执行下一条规则. 但我们在输出里想看的并不是该文件它是不是ELF, 我们只想知道文件是否恶意, 那么私有规则就派上用场了.

//私有规则也可以和全局规则一起使用，只要添加“Private”、“global”关键字即可

private rule PrivateRuleExample

{

...

}