티스토리 뷰
xor modifier는 single byte XOR이 적용된 문자열을 검색하는 데 사용할 수 있다.
아래 룰은 문자열 "suspect"에 적용된 모든 single byte XOR을 검색한다. 쉽게 말해서 0x00~0xff까지 돌린다는 것이다. xor 후 wide와 ascii를 사용하고 싶으면 xor wide ascii 순서로 아래와 같이 입력하면 된다.
rule xor1
{
strings:
$xor_string = "suspect" xor wide ascii
condition:
$xor_string
}
위와 같은 경우에는 xor을 0x00~0xff까지 255번 모두 수행한다. YARA 3.11 업데이트에서는 xor(minimum-maximum) 형태로 최소, 최대의 수를 직접 지정하여 세밀하게 컨트롤 할 수 있게 되었다.
rule xor2
{
strings:
$xor_string = "suspect" xor(0x2-0xc8)
condition:
$xor_string
}
'기타' 카테고리의 다른 글
| Yara 4.0.0-4.0.1 업데이트 정리 : base64, base64wide, private 등 (0) | 2020.06.10 |
|---|---|
| AMSI(AntiMalware Scan Interface) 조사 및 분석 (0) | 2020.04.17 |
| [위협정보 공유] Guidance on the North Korean Cyber Threat 번역 (0) | 2020.04.16 |
| Cuckoo 샌드박스 기반 가상 회피 악성코드 분석 시뮬레이션 (0) | 2020.03.09 |
| CVE-2018-9375(Android’s Personal Dictionary Vulnerability) 분석 및 실습 (0) | 2020.03.09 |
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- 스피어피싱
- 악성코드
- koodous
- infostealer
- 한글악성코드
- keylogger
- 멋쟁이사자처럼 4기
- Cisco Talos
- Yara
- vuln
- MS-Office
- us-cert
- VirusBulletin
- 위협정보공유
- malware
- Servey
- 해킹메일
- CVE-2018-9375
- Flybits
- cuckoo-sandbox
- idapython
- CVE-2018-0798
- 비트코인
- 출처 : Do it 안드로이드 프로그래밍
- Static Analysis Engine
- .wll
- Bisonal
- Decoding
- AMSI
- Kimsuky
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
글 보관함