PhishER 会使用含有另一个递归/荒谬首字母缩写 (YARA) 逻辑的规则,处置并标记被转发到 PhishER 收件箱的消息。YARA 是一项用于识别和分类恶意软件样本的工具。您可通过 YARA 逻辑编写自定义规则。有关在 PhishER 中创建规则的通用信息,请参阅文章如何创建和管理 PhishER 规则。要想顺利入门使用 YARA 规则,请参阅文章 YARA 规则用例中有关常见用例和规则的列表。
注意:PhishER 目前可支持 YARA 4.1.2 版本。有关更多信息,请参阅 YARA 的编写 YARA 规则文档。
使用 YARA 逻辑
YARA 规则是一种逻辑表达式,其描述基于文本或二进制模式。规则的开头为规则标识符,规则的描述包含三个部分:元、字符串和条件。这三个部分决定了规则的运作方式。
注意:在 PhishER 中使用 ASCII 字符来编写自定义规则。无法创建含非 ASCII 字符的 PhishER 规则。如需详细了解 ASCII 字符,可访问 ASCII 网页。
规则标识符
编写每个 YARA 规则时,首先在关键字规则后面加上标识符。标识符是规则的专属名称。规则标识符区分大小写,不能包含空格,不能以数值开头,也不能包含 YARA 的编写 YARA 规则文档中列出的任何关键字。
元
接着,您可包含元部分,添加有关规则的备注或详情。如果您的 PhishER 中有多名管理员在编写或编辑 YARA 规则,可将元部分用作内部更改日志,这种做法很实用。
注意:元部分所示信息不可用于任何恶意软件变体检测。
字符串
您可在字符串部分中说明变量并设置相应的值。每个变量均通过 $ 符号加变量名称表示。变量区分大小写,不能包含空格,也不能以数值开头。
注意:如果您在规则中使用全局变量,可在双括号内输入全局变量的值。您应按照 PhishER 平台中规则 > 全局变量下方规则列表所示输入相应的值。有关全局变量的更多信息,请参阅文章如何创建和管理 PhishER 规则的使用全局变量部分。
条件
您可在条件部分中使用逻辑运算符来编写表达式,指明您想要规则检测的内容。每个规则必须含有条件部分,且条件必须包括所有字符串。
