Yara规则不适用于debian

Question

Yara规则在Windows 7上运行得很好。我能够扫描和检测.exe恶意软件文件中的恶意命令，但是当我在DebianV8.6中运行相同的程序时，它无法检测到.exe中的恶意命令。当我对一个.txt文件运行相同的规则时，它可以工作。

我不明白这是什么问题。

Yara规则：

rule isThis_Suspicious
{
    strings:
        $a = "CHAN"
        $b = "JOIN"
        $c = "arun"
    condition:
        1 of them
}

DebianV8.6上的Output :

root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -s rule2.txt test.txt
isThis_Suspicious test.txt
0x5:$c: arun
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -s rule2.txt  srvcp.exe

带有-n的yara

root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -n rule2.txt test.txt
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -n rule2.txt srvcp.exe
isThis_Suspicious srvcp.exe

<#>为什么与debian中的规则不匹配，但在windows上使用的是相同的规则。

windows 7上的output：

D:\yara>yara64.exe rule2.txt test.txt
isThis_Suspicious test.txt

D:\yara>yara64.exe rule2.txt srvcp.exe
isThis_Suspicious srvcp.exe

Answer 1

Yara应该在所有平台上都有相同的行为。正如注释中所发现的，重要的是确保规则文件和目标在两个系统上是相同的(通过比较大小、sha1sums等)。文件传输/副本可能被中断，导致文件损坏或截断，导致不完全的YARA匹配。