我试图在yara规则中包含非ascii字符
首先在yara规则名称中,并且还带有字符串,用于规则
的条件在这两种情况下,我得到错误:"非ascii字符"测试规则时。所以在yara中似乎不支持非ascii字符?
Rule i18n_KatakanaTest_string_specific_ アイルランド: i18n test アイルランドTest
{
meta:
description = "This is an i18n example for the アイルランド exe"
thread_level = 3
in_the_wild = false
weight = 100
strings:
$stringa = "アイルランド"
condition:
$stringa
}
规则保存为fe-JAP
验证规则:
C:Toolsyara-3.4.0-win64>yara64.exe fe_JAP ASCIItest_file.exe
的回报:
fe_JA (1):error: non-ascii character
fe_JA (1):error: syntax error, unexpected $end, expecting '{'
你说得对。对于规则名和字符串,YARA都不支持非ascii字符。如果你想用日语搜索字符串你可以用二进制形式搜索。当然,为了做到这一点,你必须知道编码后字符串的原始字节。