สร้าง Yara Signature โดยใช้ yarGen

ก่อนหน้านี้เราเคยพูดถึงการเขียน Yara Rule เพื่อรองรับการเขียน rule ใน IDS/IPS หรือ APT หรือ Antivirus สมัยใหม่ไปแล้ว ซึ่งหลักการสำคัญของ Yara คือเราต้องเข้าใจถึงลักษณะ pattern ของไฟล์ที่เราต้องการตรวจจับแบบ Unique (แบบไม่เหมือนใคร) ไม่งั้นจะกลายเป็นเกิด false positive จำนวนมากแทนได้ นั่นคือที่มาของการใช้งาน YarGen YarGen เป็นเครื่องมือสำหรับการสร้าง Signature และ Yara…
View Post