所有 PhishER 规则必须遵循另一个递归/荒谬首字母缩写 (YARA) 规则逻辑来处置消息。在 PhishER 平台中，您可使用基础编辑器，为您的 YARA 规则创建字符串和条件，无需手动编写所有 YARA 规则逻辑。

有关编写 YARA 规则的更多信息，请访问文章如何编写 YARA 规则。

要创建字符串，请首先说明一个变量，然后为该变量设置相应的值。在基础编辑器中，每个新字符串都包含一个预设变量，您必须为该变量输入一个值。

要在基础编辑器中创建字符串，请按照以下步骤操作：

1. 登录您的 PhishER 平台。
2. 在页面左侧的侧边栏中，选择 Rules 选项卡，打开 Rules List 页面。
3. 单击页面右上角的 New Rule 按钮，打开 Rule Details 页面。
4. 完成 Rule Details 页面的顶部部分。有关此页面中字段的更多信息，请访问文章如何创建和管理 PhishER 规则。
5. 打开 Create Strings 部分，为字符串输入一个值。
   注意：值只能包含 ASCII 字符。有关 ASCII 字符的更多信息，请访问 ASCII 网页。

   

6. （可选）若想使用全局变量，请单击全局下拉图标。在打开的下拉菜单中，选择要使用的全局变量名称。有关全局变量的更多信息，请参阅文章如何创建和管理 PhishER 规则的使用全局变量部分。

   

7. （可选）若想创建更多字符串，单击 New String 按钮。然后，为新建字符串输入相应的值。
   注意：每个规则可创建最多五个字符串。

   

创建完至少一个字符串后，您需要为您的规则创建条件。有关更多信息，请访问本文的以下部分。

创建至少一个字符串之后，您可为您的规则创建条件。通过这些条件，您可指定规则需要影响的相应消息。为规则创建条件时，您可从三个选项中进行选择。有关这些选项的更多信息，请查看以下截图和列表：

1. 匹配任何已定义字符串：选择此选项，检测与任何已定义字符串匹配的消息。
2. 匹配所有已定义字符串：选择此选项，检测与全部已定义字符串匹配的消息。
3. 自定义条件：选择此选项，检测与自定义条件匹配的消息。有关自定义条件的更多信息，请访问本文的以下部分。

在基础编辑器中创建自定义条件

每个规则可创建最多五个自定义条件。要创建自定义条件，请使用字符串和逻辑操作符来编写表达式。创建自定义条件时，您必须使用为规则所创建的全部字符串。

要创建自定义条件，请按照以下步骤操作：

1. 打开 Rule Details 页面，创建自定义条件所需的字符串。
2. 打开页面的 Create Conditions 部分，选择 Custom conditions。

   

3. 打开 Choose string 下拉菜单，选择您已创建的一个字符串。

   

4. 要将其他字符串添加到条件中，请单击 Add 下拉菜单。

   

5. 打开 Add 下拉菜单，选择下列选项之一：
   • and：如果规则应检测出匹配两个字符串的消息，请选择此选项。
   • or：如果规则应检测出匹配一个或两个字符串的消息，请选择此选项。
   • and not：如果规则应检测出的消息匹配现有字符串但不匹配正在添加的字符串，请选择此选项。
6. 从 Add 下拉菜单中选择选项之后，将显示 Choose string 下拉菜单。在此下拉菜单中选择一个字符串。

   

7. 重复步骤 4-6，直到添加完条件所需的全部字符串为止。

创建完第一个条件之后，您可再为规则另外创建最多四个条件。要创建新的条件，请按照以下步骤操作：

1. 要添加其他条件，请单击 New Condition Group 下拉菜单。

   

2. 打开下拉菜单，选择下列选项之一：
   • and：如果规则应检测出匹配两个条件的消息，请选择此选项。
   • or：如果规则应检测出匹配一个或两个条件的消息，请选择此选项。
   • and not：如果规则应检测出的消息匹配现有条件但不匹配正在添加的条件，请选择此选项。
3. 打开新条件部分，选择您的条件所需的字符串，并选择这些字符串之间的关系。
4. 重复步骤 1-3，直到添加完规则所需的全部条件为止。
5. 单击 Save Rule，保存规则。

要了解自定义条件的示例，请查看以下截图和详情：

在此截图中，创建了下列三个字符串：“.pdf”、“.htm”和“.exe”。这三个字符串被用来创建了两个自定义条件，消息必须满足这两个条件才会被规则检测到。消息需要同时包含“.pdf”和“.htm”或者只包含“.exe”，才能被此规则检测出来。