Это команда yara, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
yara - найти файлы, соответствующие шаблонам и правилам, написанным на специальном языке.
СИНТАКСИС
йара [ВАРИАНТ] ... [ПРАВИЛЬНЫЙ ФАЙЛ] ... ФАЙЛ | PID
ОПИСАНИЕ
Yara сканирует данный ФАЙЛОВ или процесс, идентифицированный PID смотря, соответствует ли он
шаблоны и правила, представленные на специальном языке. Правила читаются из
ПРАВИЛА или стандартный ввод.
Возможности йара(1) являются:
-t день --tag =день
Правила печати, помеченные как день а остальное игнорировать. Этот вариант можно использовать несколько раз.
раз.
-i идентификатор --identifier =идентификатор
Правила печати с именем идентификатор а остальное игнорировать. Этот вариант можно использовать несколько раз.
раз.
-n - отрицать
Печатать правила, которые не применяются (отрицать)
-D - данные модуля печати
Данные модуля печати.
-g --print-теги
Распечатайте теги, связанные с правилом.
-m --print-мета
Распечатать метаданные, связанные с правилом.
-s --print-строки
Вывести строки, найденные в файле.
-p номер --threads =номер
Используйте указанный номер потоков для сканирования каталога.
-l номер --max-rules =номер
Отменить сканирование после номер правил совпадает.
-a секунды --timeout =секунды
Отменить сканирование после нескольких секунды истекло.
-d идентификатор= значение
Определите внешнюю переменную. Эту опцию можно использовать несколько раз.
-x модуль= файл
Передайте содержимое файла в качестве дополнительных данных в модуль. Этот вариант можно использовать несколько раз.
раз.
-r - рекурсивный
Рекурсивно проверять файлы в каталогах.
-f --быстрое сканирование
Ускоряет сканирование за счет поиска только первого вхождения каждого шаблона.
-w - без предупреждений
Отключить предупреждения.
-v --версия
Показать информацию о версии.
ПРИМЕРЫ
$ yara / foo / bar / rules1 / foo / bar / rules2.
Применить правила к / foo / bar / rules1 и / foo / bar / rules2 ко всем файлам в текущем
каталог. Подкаталоги не проверяются.
$ yara -t Packer -t Compiler / foo / bar / rules bazfile
Применить правила к / foo / bar / rules в базовый файл. Только правила отчетов, помеченные как Упаковщик or
Компилятор.
$ cat / foo / bar / rules1 | yara -r / foo
Сканировать все файлы в / foo каталог и его подкаталоги. Правила читаются из
стандартный ввод.
$ yara -d mybool = true -d myint = 5 -d mystring = "моя строка" / foo / bar / rules bazfile
Определяет три внешние переменные мой бул Myint и моя струна.
$ yara -x cuckoo = cuckoo_json_report / foo / bar / rules bazfile
Применить правила к / foo / bar / rules в базовый файл при передаче содержания
cuckoo_json_report к модулю кукушки.
Используйте yara онлайн с помощью сервисов onworks.net
