标签: c yara
我有一个YARA规则数据库,其中唯一标识符是* .yar文件的文件名。在工作流程中,当YARA匹配某些文件时,我可以获取规则名称,偏移量,二进制数据块和匹配的文件名,但不能获取YARA规则的文件名。
与以下事实有关的问题:用户看不到。* yar文件中的规则,并且对他而言这是个隐藏的规则,正是该规则找到了匹配项。
我想到的当前解决方案是将每个规则编译为一个单独的二进制文件,并循环扫描每个此类规则。但是它很慢而且很难维护。
还有其他方法可以获取匹配的规则的文件名吗?