YARA. YARA Taramasını Çalıştırma

YARA Taramasını Çalıştır görevini çalıştırma. Uygulama, YARA kuralları veritabanlarını kullanarak kurumsal BT altyapısına yönelik hedefli saldırıların göstergelerini bulmak için dosyaları ve nesneleri tarar. YARA kuralları, Kaspersky Endpoint Security'nin nesneleri taramak için kullandığı, kurumsal BT altyapısına yönelik saldırıların ve izinsiz girişlerin imzalarının tanımlamalarıdır.

Bir YARA taraması çalıştırmak için kuralları tanımlayan YARA dosyaları hazırlamanız gerekir. YARA dosyalarını oluştururken aşağıdaki gereksinimleri göz önünde bulundurun:

Kaspersky Endpoint Security, güvenlik ihlali göstergelerini tanımlamak için YARA 4.2.3 açık standardını izleyen .YARA ve .YAR uzantılı YARA dosyalarını destekler.
Görev için yalnızca YARA kuralları içeren dosyalar belirtilebilir. YARA Taramasını Çalıştır görevi diğer kural türlerini desteklemez.
Kaspersky Endpoint Security'nin desteklemediği YARA dosyalarını eklediyseniz veya kurallar söz dizimi hataları içeriyorsa, görev ilgili hata mesajıyla iptal edilir.
Tek bir görevde kullanılan tüm YARA dosyalarının tanımlayıcıları benzersiz olmalıdır. Aynı tanımlayıcıya sahip YARA dosyaları olduğunda, bu görev yürütme sonuçlarını etkileyebilir.
Bir YARA taraması, YARA kurallarında açıklanan göstergelerle 128 eşleşmeden sonra iptal edilir. Bu, YARA tarama raporundaki girdilerin sayısını sınırlandırarak analiz edilmesini kolaylaştırmak ve çok fazla sayıda eşleşme oluşturabilecek kesin olmayan bir şekilde formüle edilmiş YARA kuralları nedeniyle raporda aşırı doluluk oluşmasını önlemek için gereklidir.

Kaspersky, YARA dosyası başına bir kural oluşturulmasını önerir. Bu, tarama sonuçlarını daha okunabilir hale getirir.

YARA taraması önemli miktarda zaman alabilir. Sürücü boyutuna, görev ayarlarına ve diskteki nesne sayısına bağlı olarak, bir YARA taraması birkaç dakikadan birkaç saate kadar sürebilir. Uygulama bir ilerleme göstergesi görüntülemez. Bir YARA taramasını durdurmak veya iptal etmek mümkün değildir. YARA taramasının sonuçları elde edilene kadar beklemeniz tavsiye edilir.

Komut söz dizimi

avp.com YARA <full path to the YARA file>|/path=<path to the folder with YARA files> [<advanced settings>]

YARA dosyaları

<full path to the YARA file>

Tarama için kullanmak istediğiniz YARA dosyasının tam yolu. Birden fazla YARA dosyasının yolunu boşluklarla ayırarak belirtebilirsiniz.

/path=<path to the folder with YARA files> değeri belirtilmemişse zorunlu parametre.

Örnek:

C:\Users\Admin\Desktop\YARA\file1.yar C:\Users\Admin\Desktop\YARA\file2.yar

/path=<path to the folder with YARA files>

Tarama işlemi için kullanmak istediğiniz YARA dosyalarının bulunduğu klasörün tam yolu.

<full path to the YARA file> değeri belirtilmemişse zorunlu parametre.

Örnek:

/path=C:\Users\Admin\Desktop\YARA

Gelişmiş ayarlar
`/fastScan=<on\|off>`	Hızlı YARA Taraması. Uygulama, her nesne için tespit edilen göstergenin bir olayını günlüğe kaydeder. Uygulama ayrıca günlükte tespit edilen göstergelerin kopyalarını da gizler. Hızlı YARA Taraması, büyük dosyaların daha hızlı taranmasını sağlar. Bu ayar belirtilmezse, uygulama standart bir YARA taraması gerçekleştirir. Bu modda, uygulama tespit edilen göstergelerin kopyalarını günlüğe kaydeder.
`/maxRules=<maximum number of scan rules>`	Ulaşıldığında uygulamanın YARA taramasını durdurmasına neden olan benzersiz tetiklenen kural sayısının üst sınırı. Bu ayarın değeri belirtilmezse veya `0` belirtilirse, uygulama YARA taramasını sınırlama olmaksızın gerçekleştirir.
`/timeOut=<stop scan after the specified time in seconds>`	Bir YARA taramasının saniye cinsinden ne kadar sürebileceği. Bu süre dolduğunda, uygulama YARA taramasını durdurur. Bu ayarın değeri belirtilmezse veya `0` belirtilirse, uygulama YARA taramasını sınırlama olmaksızın gerçekleştirir.
`/recursive=<on\|off>`	Bu seçenek, `/scanFolders` Özel Tarama kapsamındaki alt klasörlerin özyinelemeli bir taramasını başlatır.
`/scanFolders=<list of folders to be scanned>`	Bu komut, belirtilen klasörler listesindeki dosyalar için bir YARA taraması başlatır. Boşluklarla ayrılmış birden fazla değer belirtebilirsiniz. Kaspersky Endpoint Security, klasör yolu maskesini girerken `*` ve `?` karakterlerini destekler. Bu ayar belirtilmezse, uygulama ağ paylaşımları, bulut sürücüleri ve çıkarılabilir medya hariç tüm yerel disklerde bir YARA taraması gerçekleştirir.
`/scanMemory=<on\|off>`	Çalışan tüm işlemlerin belleğini tarayın.
`/scanProcess=<process name>`	Yalnızca listelenen işlemler için belleği tarayın. İşlemlerin yürütülebilir dosyalarının tam yollarını boşluklarla ayırarak belirtin. Bir maske girmek için `*` ve `?` karakterlerini de kullanabilirsiniz.
`/maxSize=<file size in bytes>`	YARA taraması için dosya boyutunu sınırlayın. Uygulama daha büyük dosyaları atlar.
`/includes=<list of objects to be scanned>`>	Tarama kapsamının düzenlenmesi. Boşluklarla ayrılmış birden fazla değer belirtebilirsiniz. Aşağıdaki değerler kullanılabilir: Dosya adı Dosya uzantısı Tarama kapsamı `/scanFolders` parametresi ile belirtilmelidir. Örnek: `/scanFolders C:\. /includes=.exe .dll` – uygulama, C sürücüsündeki tüm .EXE ve .DLL uzantılı dosyaları tarar.
`/excludes=<list of objects to be scanned>`	YARA taramasından dosyaları hariç tutulur. Boşluklarla ayrılmış birden fazla değer belirtebilirsiniz. Aşağıdaki değerler kullanılabilir: Dosya yolu Dosya yolunun maskesi İstisnalar, `/scanFolders` parametresiyle belirtilmelidir. Örnek: `/scanFolders C:\. /excludes readme.txt C:\trusted\. *.xml` – uygulama, readme.txt dosyasını, C:\trusted klasöründeki tüm dosyaları ve C sürücüsünün kök klasöründe bulunan .XML uzantılı tüm dosyaları atlar.
`/scanAutoruns=<on\|off>`	Otomatik çalıştırma noktası nesnelerinin YARA taraması.
`/excludeAutoruns=<list of autorun point areas to skip>`	Otomatik çalıştırma noktası nesnelerini tarama kapsamı dışında bırakma. İşlemlerin yürütülebilir dosyalarının tam yollarını boşluklarla ayırarak belirtin. Bir maske girmek için `*` ve `?` karakterlerini de kullanabilirsiniz.
`/logFolder=<path to the folder for saving the scan results in a TXT file>`	Bir klasörün yolunu belirtirseniz, uygulama tarama sonuçlarını belirtilen yolda yara_<bilgisayar adı>_<tarama tamamlanma zamanı>.txt adlı bir dosyaya kaydeder. Belirli bir TXT dosyasının yolunu belirtirseniz, uygulama tarama sonuçlarını bu dosyaya kaydeder. Örneğin: `/logFolder=C:\test` veya `/logFolder=C:\test\abc.txt`. Tarama sonuçları, `/logFolder` seçeneğinin belirtilip belirtilmediğine bakılmaksızın komut satırına yazdırılır.

Komut dönüş değerleri:

-1, bilgisayarda yüklü olan Kaspersky sürümü tarafından komutun desteklenmediği anlamına gelir.
0 – komut başarıyla tamamlandı.
1, komuta zorunlu bir bağımsız değişkenin iletilmediği anlamına gelir.
2, genel bir hata oluştuğu anlamına gelir.
4, bir sözdizimi hatası olduğu anlamına gelir.
5: Argüman içinde belirtilen bir veya daha fazla YARA kural dosyası bulunamadı.

Komut başarıyla yürütüldüyse (dönüş değeri 0) ve yol boyunca güvenlik ihlali göstergeleri algılandıysa, Kaspersky Endpoint Security aşağıdaki görev sonucu bilgilerini komut satırına gönderir:

`Started at <time>` `Finished at <time>`	Bir taramanın başlangıç ve bitiş saatleri.
`Host name: <computer name>`	Nesnenin tespit edildiği bilgisayarın adı.
`Result: <error>`	Görev yürütülürken meydana gelen hatanın hata kodu. Herhangi bir hata yoksa, uygulama `0x00000000` çıktısını verir.
`Comment: <comment text>`	Görev yürütülürken meydana gelen hatanın hata açıklaması. Örneğin, `Operation timeout`.
`Object Name:` veya `Process:` (işlemci belleğini tararken)	YARA kuralının tetiklendiği nesnenin veya işlemin adı.
`Md5: <md5 hash>` `Sha256: <sha256 hash>`	YARA kuralının tetiklendiği nesnenin karma değerleri.
`Rule Name`	Tetiklenen YARA kuralının adı.
`Meta:` `Author: <author>` `Date: <date>` `Description: <description>`	YARA kuralında belirtilen meta veriler.
`Detects:` `Offset : String name : String data` `<offset> : <string name> : <string data>`	Nesne içinde YARA kuralının koşullarını karşılayan eşleşmeler bulundu: Eşleşme tespit edildiği işlem belleği veya dosyadaki kaydırma (`Offset`). YARA kuralındaki eşleşen dizenin adı (`String name`). İşlem belleğinde veya dosyada bulunan eşleşen dize (`String data`).

Sayfanın başına git