从yara开始就遇到了一些问题。当我运行yara测试我正在处理的规则时(该规则将查看.eml文件),我将结果写入文件。当我查看写入的文件时,什么都没有。这是我的规则。
rule test {
strings:
$text_a = "WORD"
$everyone = "everyone@domain.com"
$return_path = /^\<everyone([.]+)\@domain\.com\>$/
$user_a = "usera@domain.com"
$user_b = "userb@domain.com"
condition:
any of ($user*) and ($text_a and $allstaff and $return_path)
}
我的数据集包含usera@domain.com,“ WORD”和返回路径变量。
返回路径变量中的正则表达式包含单词“所有人”,一些随机字符和域。当我在终端中运行此程序时,不会引发任何错误。当我写文件时,文件中什么也没有。
yara -s test.yara dataset > text.txt
如果我使用-n标志运行相同的命令,则会得到结果。我不确定我的逻辑,正则表达式或对标志的理解是否错误。任何指导都会有所帮助!
答案 0 :(得分:0)
我可能应该只阅读文档大声笑。 Yara并未使用所有正则表达式字符类。