¿Cómo puedo escribir la firma lógica para el simillar de ClamAV como está en YARA?

Navega tus respuestas
4

En primer lugar, sé que las reglas de yara se pueden usar en combinación con ClamAV, pero aquí tengo otra cosa en mente, así que mi pregunta es; ¿Cómo puedo escribir una firma lógica similar a YARA?

Aquí hay un ejemplo; Digamos que tengo tres cadenas:

A , B y C

convierte eso en la regla YARA: 

strings:

$s1 = "A"
$s2 = "B"
$s3 = "C"

condition:

any of them

¿Alguna idea de cómo puedo lograr eso con las firmas de ClamAV?

    
pregunta Mirsad 18.12.2017 - 22:52
fuente

1 respuesta

3

Hecho. Fui un poco perezoso para investigar más a fondo por mi cuenta, pero aquí hay una respuesta:

  

Expresión lógica

     

Aquí es donde insertaremos nuestra lógica booleana para detectar en nuestra   coincidencias de contenido. Esto utiliza operandos como " & " para "y", " | " para "o",   así como "=", " < ", " > ".

Por lo tanto, las cadenas se separarán como: 

(0|1|2);3c3f7068702024;68647337386870;6576616c

Tan simple como eso.

    
respondido por el Mirsad 19.12.2017 - 02:12
fuente

Lea otras preguntas en las etiquetas

Evitando la visibilidad de Netflow en el tráfico SSL ¿Cómo puede cloudflare leer la solicitud cifrada sin clave privada? [duplicar]