规则编写 on 办公AI智能小助手

YARA-X 1.11.0版本发布：哈希函数警告新特性详解

Mon, 12 Jan 2026 12:17:26 +0800

技术摘要

YARA-X是一种用于恶意软件识别和威胁狩猎的工具，通过定义规则来匹配文件中的特定模式，包括加密哈希。在1.11.0版本中，YARA-X引入了一项新功能，当规则中的哈希函数比较可能不正确时，会发出警告。通常，YARA规则会将像sha256这样的哈希函数的输出（返回一个十六进制字符串）与表示预期哈希的字面字符串进行比较。诸如多余空格或在使用SHA256时期望使用SHA1哈希字面值等错误会导致匹配静默失败，从而可能漏掉检测。新的警告会通知用户这些不匹配情况，有助于在部署前捕获规则编写中的错误。此更新并未修复漏洞，而是增强了YARA规则的可用性和准确性，减少了恶意软件检测中的假阴性。目前没有关于此功能引入漏洞或安全风险的报告。该版本由Didier Stevens在SANS互联网风暴中心记录，强调其作用是提高规则正确性，而非解决安全缺陷。

CodeQL与Semgrep规则编写深度对比：静态代码分析工具的技术解析

Fri, 05 Sep 2025 01:21:30 +0800

Rule Writing for CodeQL and Semgrep

Apr 8, 2023 · 1785 words · 9 minute read

一种普遍看法是，为Semgrep编写规则比CodeQL更容易。在广泛使用这两种静态代码分析工具约一年后，我有一些想法。作为实践者，我不需要了解这些工具的确切工作原理，但最近对其理论基础的深入探讨促使我在此整合我的思考。

CodeQL与Semgrep规则编写深度对比：静态代码分析工具的技术差异

Thu, 04 Sep 2025 07:39:42 +0800

Rule Writing for CodeQL and Semgrep

语法和数据结构 🔗

CodeQL和Semgrep OSS是主要支持自定义规则的免费代码分析工具。但它们的规则语法差异巨大，这也是CodeQL主要学习曲线所在。