Las reglas de Yara están funcionando perfectamente en Windows 7. Soy capaz de escanear y detectar comandos maliciosos en archivos de malware .exe, pero cuando ejecuto el mismo programa en Debian v8.6, no puedo detectar comandos maliciosos en .exe. Cuando ejecuto la misma regla en un archivo .txt, funciona.
No entiendo cuál es el problema.
Regla de Yara:
rule isThis_Suspicious
{
strings:
$a = "CHAN"
$b = "JOIN"
$c = "arun"
condition:
1 of them
}
Salida en debian v8.6:
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -s rule2.txt test.txt
isThis_Suspicious test.txt
0x5:$c: arun
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -s rule2.txt srvcp.exe
yara con -n
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -n rule2.txt test.txt
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -n rule2.txt srvcp.exe
isThis_Suspicious srvcp.exe
Por qué no coincide con la regla en debian, pero la misma regla funciona en windows.
salida en Windows 7:
D:\yara>yara64.exe rule2.txt test.txt
isThis_Suspicious test.txt
D:\yara>yara64.exe rule2.txt srvcp.exe
isThis_Suspicious srvcp.exe