我使用Yara来检测多个文件中的多个字符串,例如:
文件A:toto
文件B:titi
这两个文件都在一个目录repo 中
亚拉规则(test.yar(:
rule test
{
strings:
$ = "toto"
$ = "titi"
condition:
all of them
}
我运行通讯线路:
yara test.yar -r repo/
但这条规则永远不会匹配
我该怎么办?
附言:我不能把这两个文件合并为一个。
谢谢。
条件字段设置为all of them,这意味着只有当文件的字符串tot与字符串titi匹配时,文件才会匹配。
根据您的问题,您正在寻找条件any of them,如果titi或toto在文件中,则该条件将匹配。