YARA。執行 YARA 掃描

執行 執行 YARA 掃描 工作。應用程式使用 Kaspersky Anti Targeted Attack Platform 使用者建立的 YARA 規則資料庫來掃描檔案和物件，以查找針對企業 IT 基礎設施的針對性攻擊的指標。YARA 規則 是一種公開的惡意軟體分類，其中包含 Kaspersky Anti Targeted Attack Platform 用於掃描檔案和物件的針對性攻擊和入侵企業 IT 基礎設施的指標簽章。

要執行 YARA 掃描，您必須準備描述規則的 YARA 檔案。在建立 YARA 檔案時，請考慮以下要求：

Kaspersky Endpoint Security 支援副檔名為 yara 或者 yar 的YARA 檔案，其遵循用於描述入侵指標的 YARA 4.0.2 開放標準。
只能為工作指定具有 YARA 規則的檔案。執行 YARA 掃描 工作不支援其他規則類型。
如果您新增了 Kaspersky Endpoint Security 不支援的 YARA 檔案，或者規則包含語法錯誤，則工作將被中止並顯示相應的錯誤訊息。
在單個工作中使用的所有 IOC 檔案的識別符必須為唯一。如果有識別符一樣的 YARA 檔案，它可能會影響工作執行結果。
在與 YARA 規則中所述的指標進行 128 次配對後，YARA 掃描將中止。有必要限制 YARA 掃描報告中的項目數量，以便於分析並防止由於不精確制定的 YARA 規則而產生大量匹配並導致報告溢出。

卡巴斯基建議為每個 YARA 檔案建立一條規則。這將使掃描結果更具可讀性。

指令語法

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA 檔案

<full path to the YARA file>

您想要用於掃描的 YARA 檔案的完整路徑。您可以指定多個 YARA 檔案，之間由空格分開。輸入 YARA 檔案的完整路徑時不得有 /path 引數。

例如，C:\Users\Admin\Desktop\YARA\file1.yar。

/path=<path to the folder with YARA files>

您想要用於掃描的包含 YARA 檔案的資料夾路徑。

例如，/path=C:\Users\Admin\Desktop\YARA。

進階設定
`fastScan`	快速 YARA 掃描。對於每個物件，應用程式都會記錄一次偵測到的指標。應用程式還隱藏日誌中檢測到的指標的重複項。快速 YARA 掃描可以更快地掃描大檔案。如果未指定此設定，應用程式將執行標準 YARA 掃描。在這種模式下，應用程式會記錄偵測到的指標的重複項。
`maxRules=<maximum number of scan rules>`	應用程式必須觸發多少條唯一規則才能停止 YARA 掃描。如果未指定此設定的值，或者 `0` 被指定，應用程式將無限制執行 YARA 掃描。
`timeOut=<stop scan after the specified time in seconds>`	YARA 掃描需要多長時間（以秒為單位）。當此時間用完時，應用程式將停止 YARA 掃描。如果未指定此設定的值，或者 `0` 被指定，應用程式將無限制執行 YARA 掃描。
`recursive`	執行自訂掃描時遞歸掃描子資料夾（`scanFolder`）。
`scanMemory`	掃描所有正在執行的處理程序的記憶體。
`scanFolders <list of folders to be scanned>`	自訂掃描。應用程式掃描使用者選擇的資料夾。如果未指定此設定，應用程式將對除網路共用、雲端磁碟機和可移動媒體之外的所有本機磁碟執行 YARA 掃描。
`scanProcess <process name>`	僅為指定處理程序掃描記憶體。Kaspersky Endpoint Security 輸入遮罩時支援`*` 和 `?`字元。
`maxFileSize=<file size in bytes>`	限制 YARA 掃描的檔案大小。應用程式會跳過較大的檔案。
`excludes <list of objects to be scanned>`	從 YARA 掃描中排除檔案和資料夾。您可以指定多個值，之間由空格分開。以下值可用：檔案名稱檔案路徑檔案副檔名檔案路徑遮罩排除項目必須用 `scanFolders` 參數指定。範例: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – 應用程式略過 `readme.txt` 檔案，來自 `C:\trusted` 資料夾的所有檔案以及磁碟 C 根資料夾中所有以 xml 為副檔名的檔案。
`logFolder <path to the folder for saving the scan results in a TXT file>`	將 YARA 掃描的結果儲存到指定資料夾中的檔案中。應用程式還將 YARA 掃描的結果輸出到命令列。

指令返回值：

-1 意味著指令不受安裝在電腦上的應用程式版本支援。
0 意味著指令已成功執行。
1 意味著強制引數沒有傳遞給指令。
2 意味著發生了一般錯誤。
4 意味著有語法錯誤。
5 表示未找到一個或多個符合參數中指定的 YARA 規則的檔案。

您可以在 Kaspersky Anti Targeted Attack Platform 主控台中檢視 YARA 掃描的結果。卡巴斯基安全管理中心僅提供工作狀態。

如果指令得到成功執行（返回值0）且順便偵測到了洩露指示器，Kaspersky Endpoint Security 會將以下工作結果資訊輸出到指令行：

`Offset`	Kaspersky Endpoint Security 正在執行 YARA 掃描的物件中的偏移量。
`Object Name`	應用程式正在掃描的物件的名稱。
`Rule Name`	應用程式用於 YARA 掃描的規則的名稱。

頁面頂部