В файле правил yara - malware.yar, в содержимом, подобном
rule rules_one
{}
rule rules_two
{}
...
, в файле много правил, я использую yr_compiler_add_file для добавления файла, а затем yr_compiler_get_rules для получения правил.Я получаю все правила из файла правил, теперь я просто хочу использовать одно правило для сканирования буфера.
Если я использую yr_rules_scan_mem, он будет сканировать буфер со всеми правилами.но мне нужен только один, чтобы сделать это.Как я могу это сделать?