YARAとは、マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(Pythonベース)です。 Windows/Linux/Mac OS Xと、幅広く対応しているマルチプラットフォームのツールで、『YARAルール』という文字列と条件/条件演算子/正規表現などを用いて、マルウェアのファミリーの記述を作成し、”yara”コマンドで # yara [OPTION]... [RULEFILE]... FILE | PID とすることで、ルールに沿ってFILE or PIDからマルウェアを検出します。 YARA ルールの構造は、以下のようになっています。 rule dummy { condition: false } 例えば、stingを用いて検知する場合には、以下のようになります。 rule ExampleRule { strings: $my