在yara中使用散列元数据

Question

yara规则的元数据部分通常有一个或多个散列。例如:散列=“27a0a98053f3eed82a51cdefbf7bb948e1f36”有时可能有100或更多这样的。如果有的话，它们是如何使用的呢？yara的文档和谷歌搜索没有提到它们。是MD5，SHA-1还是别的什么？yara标志文件会与哈希匹配吗？自动的没有规则告诉它？Yara作为哈希库和hash.md5() ftn用于此目的，那么为什么这些在元数据中呢？谢谢你的帮助。

Answer 1

根据http://yara.readthedocs.io/en/latest/writingrules.html#metadata

请注意，元数据部分中定义的标识符/值对不能在条件部分中使用，它们的唯一目的是存储有关规则的附加信息。

所以在你提到的情况下，Yara本身并没有使用它们。但是，另一个应用程序(如python)可能会解释它们，并将自己的操作建立在元数据之上。