我想合併clamAV python和YARA規則。目標是根據需要,用我制定的YARA規則進行掃描。 我寫了這個簡單的腳本和工作就好用YARA和Python3合併clamAV
import pyclamd
cd=pyclamd.ClamdAgnostic()
x=cd.scan_file('/home/john/Desktop/workSpace/yara/2.pdf')
if x is False:
print ("no ")
else :
print ("Yes")
是有使用YARA規則,但通過pyclamd掃描同一.pdf文件的方法嗎?
我找出答案。看來ClamAV可以讀取* .yara文件,並且可以搜索現有的病毒數據庫。解決方法是將yara規則放到/ var/lib/clamav目錄中。代碼只需要稍加修改就可以重新加載ClamdAgnostic()和voila。
import pyclamd
cd=pyclamd.ClamdAgnostic()
cd.reload()
x=cd.scan_file('/home/john/Desktop/workSpace/yara/2.pdf)
print (x)
如果規則是真實的,那麼你將看到與用於
{'/home/john/Desktop/workSpace/yara/2.pdf': ('FOUND', 'YARA.testFor2.UNOFFICIAL')}
其他規則的打印輸出的輸出將是空