YARA
:📋 نظرة عامة
YARA هي أداة قوية تُستخدم لإنشاء قواعد لتحديد وتحليل الملفات المشبوهة، خاصةً في مجال تحليل البرمجيات الخبيثة (Malware Analysis) والـ Threat Hunting
تعتمد على قواعد مرنة تسمح بالبحث داخل الملفات حسب أنماط (patterns) محددة
:🗂️ فئة التصنيف
الأمن السيبراني
تحليل البرمجيات الخبيثة
Threat Hunting
: التثبيت
sudo apt update
sudo apt install yara
: المميزات الرئيسية
| الوصف |
| إنشاء قواعد دقيقة للتحقق من محتوى الملفات أو ذاكرة النظام |
| مثالي لصائدي التهديدات في بيئات ضخمة ومعقدة |
| يُستخدم في أدوات مثل Cuckoo Sandbox، Virustotal، TheHive |
| لغة وصفية سهلة لإنشاء قواعد مخصصة |
| الميزة |
| قواعد مرنة |
| صيد التهديدات |
| تكامل سهل |
| تنسيقات واضحة |
: الاستخدام الأساسي
: تشغيل قاعدة على ملف
yara rule.yar targetfile.exe
: مثال على قاعدة بسيطة
rule SilentBanker
{
strings:
$a = “This program cannot be run in DOS mode”
$b = “silent_banker”
condition:
$a and $b
}