tags: YARA analisi_programmi strings
Per cercare delle stringhe all’interno di un file possiamo utilizzare un programmino come il seguente:
rule helloworld_checker{
strings:
$hello_world = "Hello World!"
condition:
$hello_world
}Questo andrà a cercare tutte le parole Hello World! all’interno del file, ma attenzione! Ricercherà esattamente quelle parole, basta una lettera maiuscola o minuscola cambiata e non la restituisce:
rule helloworld_checker{
strings:
$hello_world = "Hello World!"
$hello_world_lowercase = "hello world"
$hello_world_uppercase = "HELLO WORLD"
condition:
any of them
}