最近得知 一个开源的工程 YARA ,上网查了一下,获得一下资料
1、YARA——恶意软件模式匹配利器 http://sec.chinabyte.com/419/12863919.shtml
2、http://yara.readthedocs.io/en/v3.5.0/capi.html#c.yr_rules_scan_file
WINDOWS 使用VS2015进行编译
YARA是一款识别和分类恶意软件样本的开源扫描引擎,yara本身不提供杀毒软件的其他功能(比如自动更新、守护进程等),也没有维护自己的特征库,所以它只是个引擎而已。
也可用于文本处理,查找敏感信息;
优点:规则配置灵活,匹配速率高,跨平台
以下是WINDOS 的示例代码 C++
#include<iostream>
#include<stdio.h>
#include"include\yara.h"
using namespace std;
#pragma comment(lib, "libyara64.lib")
int callback_function(
int message,
void* message_data,
void* user_data)
{
cout << "message = " << message << endl;
if (1 == message)
{
YR_RUL
版权声明:本文为liangzhao_jay原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。