티스토리 뷰
xor modifier는 single byte XOR이 적용된 문자열을 검색하는 데 사용할 수 있다.
아래 룰은 문자열 "suspect"에 적용된 모든 single byte XOR을 검색한다. 쉽게 말해서 0x00~0xff까지 돌린다는 것이다. xor 후 wide와 ascii를 사용하고 싶으면 xor wide ascii 순서로 아래와 같이 입력하면 된다.
rule xor1
{
strings:
$xor_string = "suspect" xor wide ascii
condition:
$xor_string
}
위와 같은 경우에는 xor을 0x00~0xff까지 255번 모두 수행한다. YARA 3.11 업데이트에서는 xor(minimum-maximum) 형태로 최소, 최대의 수를 직접 지정하여 세밀하게 컨트롤 할 수 있게 되었다.
rule xor2
{
strings:
$xor_string = "suspect" xor(0x2-0xc8)
condition:
$xor_string
}
'기타' 카테고리의 다른 글
| Yara 4.0.0-4.0.1 업데이트 정리 : base64, base64wide, private 등 (0) | 2020.06.10 |
|---|---|
| AMSI(AntiMalware Scan Interface) 조사 및 분석 (0) | 2020.04.17 |
| [위협정보 공유] Guidance on the North Korean Cyber Threat 번역 (0) | 2020.04.16 |
| Cuckoo 샌드박스 기반 가상 회피 악성코드 분석 시뮬레이션 (0) | 2020.03.09 |
| CVE-2018-9375(Android’s Personal Dictionary Vulnerability) 분석 및 실습 (0) | 2020.03.09 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- infostealer
- .wll
- Servey
- cuckoo-sandbox
- Static Analysis Engine
- us-cert
- 스피어피싱
- Bisonal
- 해킹메일
- vuln
- idapython
- 악성코드
- keylogger
- MS-Office
- CVE-2018-0798
- Yara
- 한글악성코드
- 위협정보공유
- 멋쟁이사자처럼 4기
- 출처 : Do it 안드로이드 프로그래밍
- malware
- Cisco Talos
- Flybits
- koodous
- CVE-2018-9375
- Decoding
- 비트코인
- VirusBulletin
- AMSI
- Kimsuky
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함