YARA 是一个多功能的恶意软件分析工具,它允许用户创建描述性规则来识别和分类文件,尤其是恶意软件。YARA 的核心是规则引擎,它支持通过文本或二进制模式创建规则,这些规则可以包含字符串和逻辑表达式,提供高度的可定制性。YARA 的规则集可以利用通配符、不区分大小写的字符串、正则表达式等高级功能,使得规则编写更为灵活。
下表是YARA客户端的启动参数详解:
| 启动参数 | 说明 |
|---|---|
| -C, --compiled-rules | 指定加载已编译好的YRAR规则文件。 |
| -c, --count | 打印命中规则的数量。 |
| -E, --strict-escape | 对未知的转义序列发出警告。 |
| -d, --define=VAR=VALUE | 定义一些额外的变量。 |
| -f, --fast-scan | 提升搜索速度。(Speeds up scanning by searching only for the first occurrence of each pattern. ) |
| -h | 帮助信息。 |
| -i, identifier --identifier=IDENTIFIER | 只有-i指定的规则命中时才向终端打印。其它的规则命中后忽略。Yara启动后支持多个-i参数指定多个规则名称。 |
| --max-process-memory-chunk=size | 在扫描进程内存时,最大只扫描此参数指定大小的内存块。此参数数值单位为字节。 |
| -l number --max-rules=number | 当命中指定数量的规则时停止扫描。 |
| --max-strings-per-rule=number | 指定Yara规则字符串的最大长度,默认是10000,如果超过则启动时会报错。 |
| -x --module-data=module=file | 通过此参数将指定文件传入程序的模块中。 |
| -n --negate | 打印不适用的规则,也就是本次扫描没有命中的规则。 |
| -w --no-warnings | 关闭软件的Warning类日志打印。 |
| -m --print-meta | 打印规则中meta模块中信息。 |
| -M --module-names | 显示当前Yara支持的Module的名称。 |
| -e --print-namespace | 打印所命中的规则的命名空间。 |
| -S --print-stats | 打印一些规则的统计信息。 |
| -s --print-strings | 打印文件中命中规则字符串的内容。 |
| -L --print-string-length | 打印文件中命中规则字符串的长度。 |
| -X --print-xor-key | 打印文件中命中规则字符串的xor key。 |
| -g --print-tags | 打印文件中命中规则字符串的Tab。 |
| -r --recursive | 指定本次扫描支持递归扫描,包括文件夹、软连接。 |
| --scan-list | 指定包含要扫描文件列表的文件,每行只放置一个待扫描文件路径。 |
| -z size --skip-larger=size | 当扫描文件夹时,忽略大于本参数指定大小的文件。本参数数值单位为字节。 |
| -t tag --tag=tag | 只有此参数指定的Tab规则命中时打印输出,其它的忽略。可以通过多次使用此参数来指定多个不同的Tab名称。 |
| -p number --threads=number | Yara启动此参数指定的线程数去扫描文件夹。 |
| -a seconds --timeout=seconds | 指定Yara启动后多长时间停止扫描。 |
| -v --version | 打印当前软件版本。 |
更具体详细的YARA启动参数说明可使用man命令查看。
标签:YARA,--,扫描,指定,第一章,print,参数,规则,命中 From: https://blog.csdn.net/qq_29490749/article/details/140206630