我使用VirusTotal“hunting”功能运行多个规则集,并使用private
YARA规则过滤掉误报。例如:“Main”YARA规则匹配似乎不符合私有规则的文件从相同规则集
private rule isDex
{
meta:
description = "To filter out DEX files that fire many FPs"
strings:
$magicbytes = {64 65 78 0A}
condition:
$magicbytes at 0
}
我指的是这个规则与其他规则not
声明。这按预期工作,我不再收到包含匹配字符串的DEX文件的警报。
但另一个规则,我指的是使用and
语句,被忽略。我还使用规则又写了规则集,我也得到了相同的结果 - 私人规则将被忽略,我惊动匹配的$a
字符串的文件,但不能满足isClassified
规则
global private rule isClassified
{
meta:
description = "to detect files with classification label"
strings:
$p1 = "internal only" ascii wide nocase fullword
$p2 = "confidential" ascii wide nocase fullword
$p3 = "private" ascii wide nocase fullword
$p4 = "secret" ascii wide nocase fullword
condition:
any of them
}
rule DLFakeCompanyName
{
meta:
date = "2017-02-20"
state = "edited 2x, testing"
//to do: check for datasize, file format, keywords
strings:
$a = "fakecompanyname" nocase ascii wide fullword
condition:
any of them
}
我想这两个选项,global private
而且只是private
,没什么区别。 VT在任何规则集中均未检测到语法错误。我之前从未遇到过这个问题,这就是为什么它让我困惑 - 一些私人规则被接受,但其他人却被忽略。
这是VirusTotal的问题(这是我使用YARA规则的唯一地方)本身吗?或者我在编写规则时错过了什么?