YARA.‏ تشغيل فحص YARA

تشغيل مهمة تشغيل فحص YARA. يفحص التطبيق الملفات والكائنات بحثًا عن مؤشرات للهجمات المستهدفة على البنية التحتية لتكنولوجيا المعلومات في الشركة باستخدام قواعد بيانات قواعد YARA التي أنشأها مستخدمو Kaspersky Anti Targeted Attack Platform.‏ وتمثل قاعدة YARA تصنيفًا متاح للجمهور للبرامج الضارة يحتوي على توقيعات لمؤشرات الهجمات المستهدفة والاختراقات في البنية التحتية لتكنولوجيا المعلومات الخاصة بالشركة والتي يستخدمها Kaspersky Anti Targeted Attack Platform لفحص الملفات والكائنات.

لتشغيل فحص YARA، يجب عليك تجهيز ملفات YARA التي تصف القواعد. وعند إنشاء ملفات YARA، ضع في اعتبارك المتطلبات التالية:

يدعم Kaspersky Endpoint Security ملفات YARA بامتدادات ‎yara‎ أو ‎yar‎ التي تلتزم بالمعيار المفتوح YARA 4.0.2 لوصف مؤشرات الاختراق.
يمكن تحديد ملف يحتوي على قواعد YARA فقط للمهمة. ولاتدعم مهمة تشغيل فحص YARA أنواع القواعد الأخرى.
إذا أضفت ملفات YARA لا يدعمها Kaspersky Endpoint Security، أو إذا كانت القواعد تحتوي على أخطاء في بناء الجملة، فسيتم إنهاء المهمة مع ظهور رسالة الخطأ المقابلة.
يجب أن تكون معرفات كل ملفات YARA المستخدمة في فحص فردي فريدة. وإذا كانت هناك ملفات YARA بالمعرف نفسه، فقد تؤثر على نتائج تنفيذ المهمة.
يتم إلغاء فحص YARA بعد 128 تطابقًا مع المؤشرات الموضحة في قواعد YARA. ويعد هذا ضروريًا للحد من عدد الإدخالات في تقرير فحص YARA لتسهيل التحليل وحماية التقرير من الفائض بسبب قواعد YARA المصاغة بشكل غير دقيق التي قد تولد عددًا كبيرًا من التطابقات.

توصي Kaspersky بإنشاء قاعدة واحدة لكل ملف YARA.‏ ويجعل هذا نتائج الفحص أكثر قابلية للقراءة.

قد يستغرق فحص YARA قدرًا كبيرًا من الوقت. وبناءً على حجم محرك الأقراص وإعدادات المهمة وعدد الكائنات الموجودة على القرص، يمكن أن يستمر فحص YARA في أي مكان من عدة دقائق إلى عدة ساعات. ولا يعرض التطبيق مؤشر تقدم. ولا يمكن إيقاف أو إلغاء فحص YARA. ويُنصح بالانتظار حتى تتوفر نتائج فحص YARA.‏

بناء جملة الأمر

‎avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]‎

ملفات YARA

‎<full path to the YARA file>‎

المسار الكامل إلى ملف YARA الذي تريد استخدامه للفحص. يمكنك تحديد ملفات YARA متعددة مفصولة بمسافات. يجب إدخال المسار الكامل لملف YARA بدون وسيطة ‎/path‎.‏

على سبيل المثال، ‎‎C:\Users\Admin\Desktop\YARA\file1.yar‎‎.‏

‎/path=<path to the folder with YARA files>‎

المسار إلى المجلد الذي يحتوي على ملفات YARA التي تريد استخدامها للفحص.

على سبيل المثال، ‎/path=‎C:\Users\Admin\Desktop\YARA‎‎.‏

إعدادات متقدمة
‎`fastScan`‎	فحص YARA السريع. لكل كائن، يسحل التطبيق تكرارًا واحدًا للمؤشر المكتشف. ويخفي التطبيق أيضًا تكرارات المؤشرات المكتشفة في السجل. ويتيح فحص YARA السريع فحص الملفات الكبيرة بشكل أسرع. إذا لم يتم تحديد هذا الإعداد، فسوف يُجري التطبيق فحص YARA قياسيًا. وفي هذا الوضع، يسجل التطبيق تكرارات المؤشرات المكتشفة.
‎`maxRules=<maximum number of scan rules>`‎	كم عدد القواعد الفريدة التي يجب تشغيلها للتطبيق لإيقاف فحص YARA.‏ إذا لم يتم تحديد قيمة هذا الإعداد أو في حالة تحديد `0`، يُجري التطبيق فحص YARA بدون قيود.
‎`timeOut=<stop scan after the specified time in seconds>`‎	ما المدة التي يمكن أن يستغرقها فحص YARA، بالثواني. عند نفاد هذا الوقت، يوقف التطبيق فحص YARA.‏ إذا لم يتم تحديد قيمة هذا الإعداد أو في حالة تحديد `0`، يُجري التطبيق فحص YARA بدون قيود.
‎`recursive`‎	فحص المجلدات الفرعية بشكل متكرر عند إجراء فحص مخصص (‎`scanFolder`‎).‏
‎`scanMemory`‎	فحص ذاكرة كل العمليات الجارية.
‎`scanFolders <list of folders to be scanned>`‎	فحص مخصص. يفحص التطبيق المجلدات المحددة بواسطة المستخدم. إذا لم يتم تحديد هذا الإعداد، فسوف يُجري التطبيق فحص YARA لجميع الأقراص المحلية باستثناء المجلدات المشتركة على الشبكة ومحركات الأقراص السحابية والوسائط القابلة للإزالة.
‎`scanProcess <process name>`‎	فحص الذاكرة فقط لعمليات محددة. يدعم Kaspersky Endpoint Security حرفي `*` و`?` عند إدخال قناع.
‎`maxFileSize=<file size in bytes>`‎	تقيييد حجم الملف لفحص YARA.‏ يتخطى التطبيق الملفات الأكبر حجمًا.
‎`excludes <list of objects to be scanned>`‎	استثناء الملفات والمجلدات من فحص YARA.‏ يمكنك تحديد قيم متعددة مفصولة بمسافات. تتوافر القيم التالية: اسم الملف مسار الملف ملحق الملف قناع مسار الملف يجب تحديد الاستثناءات بمعلمة ‎`scanFolders`‎.‏ مثال: ‎`scanFolders C:\. excludes readme.txt ‎C:\trusted\‎. *.xml`‎ – يتخطى التطبيق ملف ‎`readme.txt`‎، وكل الملفات من مجلد ‎`‎C:\trusted‎`‎، وكل الملفات بامتداد XML في المجلد الجذر على القرص C.‏
‎`logFolder <path to the folder for saving the scan results in a TXT file>`‎	احفظ نتائج فحص YARA في ملف في المجلد المحدد. يُخرج التطبيق أيضًا نتائج فحص YARA إلى سطر الأوامر.

قيم إرجاع الأمر:

‎-1‎ يعني أن الأمر غير مدعوم من إصدار التطبيق المُثبت على الكمبيوتر.
0 يعني أن الأمر تم تنفيذه بنجاح.
1 يعني أنه لم يتم تمرير وسيطة إلزامية إلى الأمر.
2 يعني حدوث خطأ عام.
4 يعني أنه كان هناك خطأ في بناء الجملة.
5 يعني أنه لم يتم العثور على ملف واحد أو أكثر بقواعد YARA المحددة في المعلمة.

يمكنك عرض نتائج فحص YARA في وحدة تحكم Kaspersky Anti Targeted Attack Platform. وتتوفر حالة المهمة فقط في Kaspersky Security Center.‏

في حالة تنفيذ الأمر بنجاح (قيمة الإرجاع 0) وتم اكشاف مؤشرات اختراق على طول الطريق، يُخرج Kaspersky Endpoint Security معلومات نتائج المهمة التالية إلى سطر الأوامر:

‎`Offset`‎	الإزاحة في الكائن الذي يجري Kaspersky Endpoint Security فحص YARA له.
‎`Object Name`‎	اسم الكائن الذي يفحصه التطبيق.
‎`Rule Name`‎	اسم القاعدة التي يستخدمها التطبيق لفحص YARA.‏

أعلى الصفحة