????? 有時(shí)碰到大批量的樣本，又發(fā)現(xiàn)其中很多相似點(diǎn)，這個(gè)時(shí)候就需要模式匹配了，yara在分析中當(dāng)之無愧。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了青縣免費(fèi)建站歡迎大家使用！

?????? 具體的yara規(guī)則是怎么回事，freebuff上有相關(guān)的文章，要不然看文檔也是可以的。這里只記錄我第一次使用的幾個(gè)步驟。

?

（1）下載yara，大家直接去github上找，我選擇了C++寫的代碼。

?

（2）解壓后找到y(tǒng)ara-3.8.1\windows\vs2015這個(gè)目錄，此時(shí)需要一個(gè)vs，我就下載了vs2017，然后打開yara.sln文件。

?

?

（3）于是，你會(huì)看到三個(gè)項(xiàng)目。

libyara顧名思義，是yara 的dll，yarac是編譯yara規(guī)則用的，yarac編譯規(guī)則后的結(jié)果傳給yara項(xiàng)目，最后輸出。

設(shè)置yara為啟動(dòng)項(xiàng)，編譯，運(yùn)行，出錯(cuò)的話就自己解決吧。。。。。。，看出錯(cuò)日志。

?

?

?

（4）然后運(yùn)行yara，選擇參數(shù)，帶上yara規(guī)則，yara樣本路徑就可以

?

?

（5）我使用了-s的選項(xiàng)，匹配我的樣本集，定向輸出到一個(gè)文件中

?

?

（6）輸出結(jié)果

?

?

就是這樣啦，感覺還不錯(cuò)、、、、