reversinglabs yara rules

歡迎來到官方的ReversingLabs Yara規則存儲庫！隨著我們為新威脅制定規則，在我們的雲和其他環境中測試證明了它們的質量後，存儲庫將不斷更新。

這些規則是由我們的威脅分析師撰寫的，針對威脅獵人，事件響應者，安全分析師以及其他可以從在其環境中部署高質量威脅檢測中受益的捍衛者。

與狩獵規則相反，我們的檢測規則需要滿足某些有資格進行部署的標準，即：

• 盡可能精確，而不會失去檢測質量
• 旨在提供零假陽性檢測

為了使規則易於理解和維護，我們採用了以下一組目標：

• 清晰命名的字節模式
• 可讀和透明的條件
• 匹配唯一的惡意軟件功能
• 更喜歡代碼字節模式而不是字符串

為了確保規則的質量，我們在超過10b（和上升）獨特的二進製文件中不斷地在雲中進行廣泛的測試。在各層評估規則，以檢測分層對像中的威脅，例如包裝的PE文件，文檔和檔案等。

要成功運行整個Yara規則集，您必須有：

• Yara版本> = 3.2.0
• PE和ELF模塊啟用了

（或任何其他符合要求的安全解決方案）。

要開始使用我們的規則，請克隆此存儲庫，然後開始在數據集中進行實驗。在此存儲庫中找到的Yara規則可以在各種環境中使用，最簡單的設置是通過獨立的Yara可執行文件使用它們，可以在官方的Yara存儲庫中找到。這些規則也可以部署在提供Yara集成的大量現代安全解決方案中，例如啟用Yara的沙箱和其他文件分析框架。但是，為了獲得最佳結果，建議通過ReversingLabs的Titanium平台使用這些規則，該平台將這些規則的本機集成到其分類管道中。

該項目是根據MIT許可證獲得許可的 - 有關詳細信息，請參見許可證文件。

感謝所有積極參與Yara引擎開發的人 - 沒有您，這些規則是不可能的。另外，我們要感謝參加Yara社區的每個人，因為您會發展使用Yara的使用方式，改善應該寫出規則的方式，並且是使我們的工作值得的。