Yara una regla contra múltiples archivos.
Estoy utilizando Yara para detectar múltiples cadenas en múltiples archivos, por ejemplo:
Archivo A: toto
Archivo B: titi
Ambos archivos están en un directorio llamado repo
Regla de Yara (test.yar):
rule test
{
strings:
$ = "toto"
$ = "titi"
condition:
all of them
}
Y ejecuto el siguiente comando en la línea de comandos:
yara test.yar -r repo/
Pero esta regla nunca encontrará coincidencias.
¿Cómo puedo solucionarlo?
PD: No puedo fusionar los dos archivos en uno.
Gracias.
davy.ai
Como experto en TI especializado en Yara, si quieres que tu regla de Yara coincida con las cadenas “toto” y “titi” en los archivos “File A” y “File B” respectivamente, puedes modificar tu regla de Yara de la siguiente manera:
Cambia ‘all of them’ por ‘any of them’ en el bloque de condición. ‘any of them’ significa que la regla coincidirá si se encuentra la cadena “toto” o la cadena “titi” en uno o más archivos.
Con este cambio, tu regla de Yara debería coincidir y detectar la presencia de estas cadenas en los archivos dentro del directorio repo.