정규표현식 - Yara와 정규표현식의 관계

Yara?

- VirusTotal에서 제작한 악성코드 패턴을 이용하여 악성 파일을 분류하는데 사용하는 도구

- 간단한 Rule를 작성해 Rule에 맞는 악성코드를 판단

- Rule은 단순 문자열, 바이너리 값을 포함하여 반복 조건도 지원

- 똑같은 Rule를 계속 사용하면 변종 탐지 능력이 떨어짐

 

정규표현식?

- 문자열의 일정한 규칙(패턴)을 표현하는 형식 언어

- 간단한 규칙을 작성하여 규칙에 맞는 문자열을 검색

- 단순 문자열, 바이너리 값을 포함하여 반복 조건도 지원

- Greedy 탐지와 Lazy탐지로 탐지율과 오탐율을 조율할 수 있음

 

Yara와 정규표현식

Yara는 악성코드의 패턴을 이용하여 악성 파일을 분류하는데 사용

정규표현식은 문자열의 일정 규칙을 표현하는 형식의 언어

=> 이 둘을 합친다면 특정 문자열과 패턴을 인식하여 분류 가능함 = 탐지율 향상

 

Yara는 동일한 Rule을 계속 사용하면 변종 탐지 능력이 떨어짐

여기에 정규 표현식과 함께 사용하면, Greedy와 Lazy탐지를 활용해 탐지율과 정확도를 조절가능