Yara modifier : XOR strings 정리

티스토리 뷰

기타

Yara modifier : XOR strings 정리

1q 2020. 6. 10. 21:32

xor modifier는 single byte XOR이 적용된 문자열을 검색하는 데 사용할 수 있다.

아래 룰은 문자열 "suspect"에 적용된 모든 single byte XOR을 검색한다. 쉽게 말해서 0x00~0xff까지 돌린다는 것이다. xor 후 wide와 ascii를 사용하고 싶으면 xor wide ascii 순서로 아래와 같이 입력하면 된다.
rule xor1
{
strings:
$xor_string = "suspect" xor wide ascii
condition:
$xor_string
}

위와 같은 경우에는 xor을 0x00~0xff까지 255번 모두 수행한다. YARA 3.11 업데이트에서는 xor(minimum-maximum) 형태로 최소, 최대의 수를 직접 지정하여 세밀하게 컨트롤 할 수 있게 되었다.

rule xor2
{
strings:
$xor_string = "suspect" xor(0x2-0xc8)
condition:
$xor_string
}

yara.readthedocs.io/en/latest/writingrules.html

저작자표시

'기타' 카테고리의 다른 글

Yara 4.0.0-4.0.1 업데이트 정리 : base64, base64wide, private 등 (0)	2020.06.10
AMSI(AntiMalware Scan Interface) 조사 및 분석 (0)	2020.04.17
[위협정보 공유] Guidance on the North Korean Cyber Threat 번역 (0)	2020.04.16
Cuckoo 샌드박스 기반 가상 회피 악성코드 분석 시뮬레이션 (0)	2020.03.09
CVE-2018-9375(Android’s Personal Dictionary Vulnerability) 분석 및 실습 (0)	2020.03.09

공지사항

최근에 올라온 글

최근에 달린 댓글

Total

Today

Yesterday

링크

TAG more

« 2024/05 »
일	월	화	수	목	금	토
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

글 보관함

티스토리 뷰

Yara modifier : XOR strings 정리

'기타' 카테고리의 다른 글

티스토리툴바