yara規則

一、yara規則簡介

yara是一款強大的模式匹配工具，能夠方便的實現惡意代碼分析和檢測。yara規則是yara的核心，它是一種便於編寫和使用的語言，用於描述要尋找的惡意代碼特徵。yara規則以非常高效的方式掃描文件、進程內存和網路流量，以查找與這些規則匹配的惡意代碼。

yara規則語言基於C語言，也包含來自其他語言的某些特性。要編寫有用的yara規則，需要熟悉一些基本概念，例如規則語法、匹配模式、元素類型等。總體而言，yara使得確定惡意代碼和特徵變得更容易，它也是一個值得安全工程師和開發者深入了解的強大工具。

二、網路流量中的yara規則

網路流量是惡意活動的重要來源，惡意軟體在收集信息、入侵網路、下載其他惡意軟體時使用網路連接。在這種情況下，可以通過yara規則快速檢測網路流量中的惡意代碼。以下是一個使用yara檢測網路流量中的HTTP請求的示例：

rule detect_HTTP {
   strings:
      $s1 = "GET /index.php?username=*" wide
      $s2 = "POST /upload.php" fullword

   condition:
      $s1 or $s2
}

在這個示例中，規則使用兩個字元串來匹配HTTP請求：第一個字元串匹配含有”username”參數的GET請求，第二個字元串匹配上傳文件的POST請求。如果匹配到，yara將返回一個匹配結果，說明發現了惡意HTTP流量。

三、網路安全yara規則

為了有效地進行網路安全威脅檢測，yara規則需要足夠準確，能夠快速檢測到威脅。以下是一個使用yara檢測網路安全威脅的示例：

rule detect_malware {
   meta:
      author = "John Doe"
      date = "2021-04-01"
   strings:
      $s1 = "gethostbyname" fullword nocase
      $s2 = "WNetOpenEnumW" wide
      $s3 = "GetClipBoardData" fullword wide
   condition:
      all of them
}

在這個實例中，規則使用三個字元串來檢測惡意活動。其中一個字元串匹配DNS查找，另一個匹配網路資源開啟，並且最後一個匹配剪貼板數據獲取。如果所有三個字元串都匹配成功，則認為發現了惡意行為，yara將返回一個匹配結果。

四、in規則fortran與yara規則

Fortran與yara規則驅動編程也非常符合，通過in規則fortran，可以將yara和Fortran這兩種編程語言結合起來。以下是一個Fortran子程序，它將使用yara規則幫助檢測惡意軟體：

SUBROUTINE Find_Malware(file_path)
   IMPLICIT NONE
   CHARACTER(LEN=*), INTENT(IN) :: file_path
   LOGICAL :: found_malware

   INTEGER :: yara_count
   INTEGER :: yara_error
   INTEGER :: yara_result

   CHARACTER(LEN=:),ALLOCATABLE :: yara_error_msg
   CHARACTER(LEN=:),ALLOCATABLE :: yara_rule

   found_malware = .FALSE.

   ! Compile yara rule
   yara_rule = 'rule malware { strings: $s1 = "evil_code" wide condition: $s1 }'
   CALL yr_compiler_create(RuleCompiler)
   CALL yr_compiler_add_string(RuleCompiler, yara_rule)
   CALL yr_compiler_get_rules(RuleCompiler, Rules)

   ! Scan file with yara rule
   yara_result = yr_rules_scan_file(Rules, file_path, 0, Callback, yara_count, & 
                                    flags=0, error_message=yara_error_msg, &
                                    error=yara_error)

   ! Check if malware is found
   IF (yara_result = ERROR_SUCCESS AND yara_count > 0) THEN
       found_malware = .TRUE.
   END IF

   ! Free up resources
   CALL yr_rules_destroy(Rules)
   CALL yr_compiler_destroy(RuleCompiler)

END SUBROUTINE Find_Malware

在這個實例中，Fortran程序使用yara編譯器創建一個名為”malware”的規則，並使用yr_rules_scan_file函數掃描文件。如果掃描成功且包含”evil_code”，則它將返回一個匹配結果，表明文件中包含惡意代碼。

因此，Fortran與yara規則結合使用，使得檢測惡意軟體變得更加容易和高效。