YARA 识别和分类恶意软件样本工具

YARA 是一个旨在（但不限于）帮助恶意软件研究人员识别和分类恶意软件样本的工具。目前使用 YARA 的知名软件有赛门铁克、火眼、卡巴斯基、McAfee、VirusTotal等。

使用 YARA，你可以基于文本或二进制模式创建恶意软件系列（或任何您想要描述的内容）的描述。 每个描述a.k.a规则由一组字符串和一个确定其逻辑的布尔表达式组成。 比如：

rulesilent_banker:banker{meta:description="Thisisjustanexample"thread_level=3in_the_wild=truestrings:$a={6A4068003000006A148D91}$b={8D4DB02BC183C027996A4E59F7F9}$c="UVODFRYSIHLNWPEJXQZAKCBGMT"condition:$aor$bor$c}

上述规则说明 YARA 会将任何包含三个字符串之一的文件报告为 silent_banker 。 这只是一个简单的例子，通过使用通配符，不区分大小写的字符串、正则表达式、特殊运算符和许多其他功能，更多可以在 YARA 的文档中了解更复杂和强大的规则。

YARA 可在 Windows、Linux 和 Mac OS X 平台上运行，可以通过其命令行界面或从自己的 Python 脚本中使用 yara-python 扩展名。