Yara引擎编译和发布_yarac

我们自己设计软件时有很多情况都需要集成yara引擎

项目-管理NuGet程序包，下载几个包并安装

确保是git上最新代码即可编译

package目录下的include和lib是自动添加到项目中的。

发布时要注意除了yara编译需要依赖的jansson、libcrypto、libssl这几个库，把libyara编译好放一块。

除了需要的jansson.h和jansson_config.h，openssl以外，包含yara.h和yara项目中用到的头文件。

Yarac作用

yarac.exe作用就是将多个yara源码文件编译成一个yara文件。这样不仅方便存储，同时方便加解密。


yarac.exe要比python编译好的yara文件体积小很多。

引擎的扫描速度应该是6分钟5万个文件。

部分不常见的Yara规则编写

匹配文件名字本身
pe.version_info[“OriginalFilename”]“virus.exe”
签名发布厂商
publisher"Microsoft Windows" or publisher==“Microsoft Corporation”