Come posso scrivere la firma logica per ClamAV simillar come è in YARA?

Naviga le tue risposte
4

Prima di tutto, so che le regole di yara possono essere usate in combinazione con ClamAV, ma qui ho qualcos'altro nella mia mente, quindi la mia domanda è; come posso scrivere la firma logica simillar come è in YARA.

Ecco un esempio; Diciamo che ho tre stringhe:

A , B e C

convertilo nella regola YARA: 

strings:

$s1 = "A"
$s2 = "B"
$s3 = "C"

condition:

any of them

Qualche idea su come ottenerlo con le firme di ClamAV?

    
posta Mirsad 18.12.2017 - 22:52
fonte

1 risposta

3

Fatto. Ero un po 'pigro per fare ricerche più approfondite da solo, ma ecco una risposta:

Logical Expression

This is where we will insert our boolean logic for detecting on our content matches. This uses operands like "&" for "and", "|" for "or", as well as "=", "<", ">".

Quindi le stringhe saranno separate come: 

(0|1|2);3c3f7068702024;68647337386870;6576616c

Semplice come quello.

    
risposta data 19.12.2017 - 02:12
fonte

Leggi altre domande sui tag

È sicuro cancellare un file in un disco Virtualbox se il file del disco vbox si trova su un SSD? Un bot ha modificato tutte le pagine sull'installazione di Wordpress