Просто начинаю учиться использовать YARA для анализа файлов. Текстовые строки довольно просты, но искали разъяснения по шестнадцатеричным строкам. Будет ли использование hexdump -C правильным способом получения шестнадцатеричной строки из файла? Например, вот правило, которое я написал.
private global rule Filesize
{
condition:
filesize < 8192KB
}
rule Hd : example
{
meta:
author = "Zack"
description = "this rule isn't super useful"
family = "example family"
tlp = "green"
sha256 = "6693268dc33b835212e15f14700e65edc5d65d448bd3409a4357a5b8b4f2be43"
strings:
$text_string = "sample text"
$hex_string = {73 61 6d 70 6c 65 20 74 65 78 74 0a}
condition:
all of them
}
Выход cat example.txt:
sample text
А также вывод hexdump -C:
00000000 73 61 6d 70 6c 65 20 74 65 78 74 0a |sample text.|
0000000c
Когда Запустив это правило из командной строки, оно возвращает значение true, поэтому оно работает так, как я хочу. Подводя итог, это правильный способ получения шестнадцатеричной строки файла для анализа?