在yara中使用哈希元數據

Question

yara規則的元數據部分通常有一個或多個哈希值。例如： hash =「27a0a98053f3eed82a51cdefbdfec7bb948e1f36」 有時可能有100個或更多這些。他們如何使用，如果有的話？ yara文檔和谷歌搜索沒有提及它們。他們是MD5的，SHA-1的還是其他的？將雅拉標誌與哈希匹配的文件？自動沒有規則告訴它？ Yara作爲一個散列庫和一個hash.md5（）ftn用於這個目的，爲什麼這些元數據？謝謝你的幫助。

Answer 1

根據http://yara.readthedocs.io/en/latest/writingrules.html#metadata

注意，在元數據部分定義的標識符/值對不能在條件部中使用，他們唯一的目的是存儲關於規則的附加信息。

因此，在您引用的情況下，Yara本身不會使用它們。但是，另一個應用程序（例如python-yara）可能會解釋它們並將其自己的操作建立在元數據上。