Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1399

YARA 规则

审核人Cybersecurity entrepreneur & security researcher

YARA 规则 是什么?

YARA 规则采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。


YARA 是 VirusTotal(现属 Google)的 Victor Manuel Alvarez 创建的一种模式匹配语言和工具,旨在帮助研究人员描述恶意软件家族。一条 YARA 规则包含元数据、字符串定义(文本、十六进制、正则)以及将它们与逻辑、文件属性和 PE、ELF、Mach-O 等模块组合的布尔条件。恶意软件分析师、威胁猎手与事件响应团队会将 YARA 应用到磁盘文件、内存转储、邮件附件、沙箱以及 VirusTotal 或 EDR 回溯检索等平台,以分诊可疑文件并在攻击行动间进行枢轴。规则可能产生误报,因此作者通常使用已知良性样本对其进行调优。

示例

  1. 01

    一条匹配进程内存中 Cobalt Strike Beacon 配置字符串的 YARA 规则。

  2. 02

    在 EDR 资产中用高置信度 YARA 规则对文件写入事件进行猎捕,定位定制后门。

常见问题

YARA 规则 是什么?

采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。 它属于网络安全的 防御与运营 分类。

YARA 规则 是什么意思?

采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。

如何防御 YARA 规则?

针对 YARA 规则 的防御通常结合技术控制与运营实践,详见上方完整定义。

YARA 规则 还有哪些其他名称?

常见的别称包括: YARA 签名, YARA-X。

相关术语

另见