YARA。运行 YARA 扫描

运行“运行 YARA 扫描”任务。应用程序使用 Kaspersky Anti Targeted Attack Platform 用户创建的 YARA 规则数据库来扫描文件和对象，以查找针对企业 IT 基础设施的针对性攻击的指标。YARA 规则是一种公开的恶意软件分类，其中包含 Kaspersky Anti Targeted Attack Platform 用于扫描文件和对象的针对性攻击和入侵企业 IT 基础设施的指标签名。

要运行 YARA 扫描，您必须准备描述规则的 YARA 文件。创建 YARA 文件时，请考虑以下要求：

Kaspersky Endpoint Security 支持 YARA 文件，yara 或者 yar 遵循 YARA 4.0.2 开放标准来描述入侵指标。
只能为任务指定具有 YARA 规则的文件。“运行 YARA 扫描”任务不支持其他规则类型。
如果您添加了 Kaspersky Endpoint Security 不支持的 YARA 文件，或者规则包含语法错误，则任务将中止并显示相应的错误消息。
单个任务中使用的所有 YARA 文件的标识符必须是唯一的。如果存在具有相同标识符的 YARA 文件，则可能会影响任务执行结果。
在与 YARA 规则中描述的指标进行 128 次匹配后，YARA 扫描将中止。有必要限制 YARA 扫描报告中的条目数量，以便于分析，并防止由于不精确制定的 YARA 规则而产生大量匹配而导致报告溢出。

卡巴斯基建议每个 YARA 文件创建一条规则。这使得扫描结果更具可读性。

YARA 扫描可能需要相当长的时间。根据驱动器大小、任务设置和磁盘上的对象数量，YARA 扫描可持续几分钟到几小时。应用程序不显示进度指示器。无法停止或取消 YARA 扫描。建议您等到 YARA 扫描结果可用。

命令语法

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA 文件

<full path to the YARA file>

您要用于扫描的 YARA 文件的完整路径。您可以指定多个由空格分隔的 YARA 文件。YARA 文件的完整路径不可以使用 /path 参数输入。

例如，C:\Users\Admin\Desktop\YARA\file1.yar。

/path=<path to the folder with YARA files>

您要用于扫描的 YARA 文件的文件夹路径。

例如，/path=C:\Users\Admin\Desktop\YARA。

高级设置
`fastScan`	快速 YARA 扫描。对于每个对象，应用程序都会记录一次检测到的指标。应用程序还隐藏日志中检测到的指标的重复项。快速 YARA 扫描可以更快地扫描大文件。如果未指定此设置，应用程序将执行标准 YARA 扫描。在这种模式下，应用程序会记录检测到的指标的重复项。
`maxRules=<maximum number of scan rules>`	应用程序必须触发多少条唯一规则才能停止 YARA 扫描。如果未指定此设置的值，或者 `0` 被指定时，应用程序将无限制执行 YARA 扫描。
`timeOut=<stop scan after the specified time in seconds>`	YARA 扫描需要多长时间（以秒为单位）。当此时间用完时，应用程序将停止 YARA 扫描。如果未指定此设置的值，或者 `0` 被指定时，应用程序将无限制执行 YARA 扫描。
`recursive`	执行自定义扫描时递归扫描子文件夹（`scanFolder`）。
`scanMemory`	扫描所有正在运行的进程的内存。
`scanFolders <list of folders to be scanned>`	自定义扫描。应用程序扫描用户选择的文件夹。如果未指定此设置，应用程序将对除网络共享、云驱动器和可移动媒体之外的所有本地磁盘执行 YARA 扫描。
`scanProcess <process name>`	仅为指定进程扫描内存。输入掩码时，Kaspersky Endpoint Security 支持 `*` 字符和 `?` 字符。
`maxFileSize=<file size in bytes>`	限制 YARA 扫描的文件大小。应用程序会跳过较大的文件。
`excludes <list of objects to be scanned>`	从 YARA 扫描中排除文件和文件夹。您可以指定多个由空格分隔的值。以下值可用：文件名文件路径文件扩展名文件路径掩码必须使用 `scanFolders` 参数指定排除项。例如： `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` –应用程序跳过 `readme.txt` 文件，所有来自 `C:\trusted` 文件夹的文件以及 C 盘根文件夹中所有以 xml 为扩展名的文件。
`logFolder <path to the folder for saving the scan results in a TXT file>`	将 YARA 扫描的结果保存到指定文件夹中的文件中。应用程序还将 YARA 扫描的结果输出到命令行。

命令返回值：

-1 表示计算机上安装的应用程序版本不支持该命令。
0 表示命令已成功执行。
1 表示未将强制参数传递给命令。
2 表示发生一般性错误。
4 表示存在语法错误。
5 表示未找到一个或多个带有参数中指定的 YARA 规则的文件。

您可以在 Kaspersky Anti Targeted Attack Platform 控制台中查看 YARA 扫描的结果。Kaspersky Security Center 仅提供任务状态。

如果命令成功执行（返回值 0），并且在执行过程中检测到妥协的指标，Kaspersky Endpoint Security 将向命令行输出以下任务结果信息：

`Offset`	Kaspersky Endpoint Security 正在执行 YARA 扫描的对象中的偏移量。
`Object Name`	应用程序正在扫描的对象的名称。
`Rule Name`	应用程序用于 YARA 扫描的规则的名称。

页面顶部