将clamAV与YARA和Python3合并

Question

我想要合并clamAV python和YARA规则。目标是，在需要的情况下，用我制定的YARA规则扫描。我写了这个简单的脚本，写得很好

import pyclamd
cd=pyclamd.ClamdAgnostic()
x=cd.scan_file('/home/john/Desktop/workSpace/yara/2.pdf')
if x is False: 
    print ("no ")
else :
    print ("Yes")

有没有一种方法可以使用YARA规则扫描同一个.pdf文件，但是可以通过py箝d扫描？

Answer 1

我想出答案了。ClamAV似乎可以读取*.yara文件，并可以在现有的病毒数据库中进行搜索。解决方案是将yara规则放到/var/lib/clamav目录中。为了重新加载ClamdAgnostic()和瞧，代码需要稍作修改。

import pyclamd
cd=pyclamd.ClamdAgnostic()
cd.reload()
x=cd.scan_file('/home/john/Desktop/workSpace/yara/2.pdf)
print (x)

如果规则为真，则将看到带有所使用的规则的打印输出。

{'/home/john/Desktop/workSpace/yara/2.pdf': ('FOUND', 'YARA.testFor2.UNOFFICIAL')} 

否则输出将为空