Yara规则是否支持非ascii字符

Question

我正在尝试将非ascii字符包含在yara规则中

首先是yara规则名称，然后是字符串，用于规则的条件

在这两种情况下，我在测试规则时都得到了错误："non-ascii character“。所以在yara中似乎不支持非ascii字符？

 Rule i18n_KatakanaTest_string_specific_ アイルランド: i18n test アイルランドTest
{
    meta:
        description = "This is an i18n example for the アイルランド exe"
        thread_level = 3
        in_the_wild = false
        weight = 100

    strings:
        $stringa = "アイルランド"


    condition:
        $stringa
}

该规则将保存为fe-JAP

要验证规则，请执行以下操作：

C:\Tools\yara-3.4.0-win64>yara64.exe fe_JAP ASCIItest_file.exe

返回：

fe_JA (1):error: non-ascii character
fe_JA (1):error: syntax error, unexpected $end, expecting '{'

Answer 1

你是对的。YARA既不支持非ascii字符，也不支持规则名称和字符串。如果你想用日语搜索字符串，你可以用二进制的形式搜索它们。当然，为了做到这一点，你必须知道你的字符串编码后的原始字节。