yara规则的元数据部分通常有一个或多个哈希值。例如: hash =" 27a0a98053f3eed82a51cdefbdfec7bb948e1f36" 有时可能有100个或更多。它们如何使用,如果有的话? yara文档和谷歌搜索没有提到它们。他们是MD5,SHA-1还是其他什么? yara会标记与哈希相匹配的文件吗?自动没有规则告诉它? Yara作为哈希库和hash.md5()ftn用于此目的,为什么这些在元数据中呢?谢谢你的帮助。
答案 0 :(得分:0)
根据http://yara.readthedocs.io/en/latest/writingrules.html#metadata
请注意,元数据部分中定义的标识符/值对不能在条件部分中使用,它们的唯一目的是存储有关规则的其他信息。
所以在你提到的情况下,Yara本身并没有使用它们。但是,另一个应用程序(例如python-yara)可能会解释它们并将其自己的操作基于元数据。