我需要能够匹配转储文件中的URL,并被特定的字节模式包围。我为此编写了以下YARA规则:
rule yara_rule
{
strings:
$beg = { 00 00 01 }
$domain = /http[s]?://(www.)?[-a-zA-Z0-9]+.[-a-zA-Z0-9]+/[-a-zA-Z0-9%#?=&./:+_]*/
$end = { 00 }
condition:
???
}
我需要一种方法将这 3 个部分连接在一起,但我想不出一种方法。你能帮忙吗?
您需要指定条件,例如
condition:
$beg and $domain and $end