我在YARA规则中写了条件pe.entry_point == {12 A5 26},但我得到了意外_HEX_STRING_ error。问题是什么?我怎样才能得到entry_point的地址? pe.entry_point的输出类型是什么?
答案 0 :(得分:1)
pe.entry_point是在IMAGE_OPTIONAL_HEADER中找到的DWORD。
Yara Github page上提供了此功能的实现(即,Yara如何从便携式可执行文件中检索pe.entry_point值)。
关于您遇到的错误,请尝试将规则更改为pe.entry_point == 0x12A526。我的建议是基于样本测试规则here。