re.regex

다음 문법 중 하나를 사용하여 YARA-L 2.0에서 정규 표현식 일치를 정의할 수 있습니다.

• YARA 문법 사용–이벤트와 관련되어 있습니다. 다음은 이 문법의 일반적인 표현입니다.

  $e.field = /regex/
  

• YARA-L 문법 사용–다음 문법에서 함수로 사용됩니다.

  • 정규 표현식이 적용되는 필드입니다.
  • 문자열로 지정된 정규 표현식입니다.

  다음은 이 문법의 일반적인 표현입니다.

  re.regex($e.field, `regex`)
  

설명

이 함수는 문자열에 제공된 정규 표현식과 일치하는 하위 문자열이 포함되면 true를 반환합니다. 정규 표현식의 시작 또는 끝 부분에 .*를 추가할 필요는 없습니다.

참고

• 정확한 문자열 또는 프리픽스나 서픽스만 일치하는 항목을 찾으려면 정규 표현식에 ^(시작) 및 $(종료) 앵커 문자를 포함하세요. 예를 들어 /^full$/은 "full"과 정확하게 일치하지만 /full/은 "fullest", "lawfull", "joyfully"와 일치할 수 있습니다.
• UDM 필드에 줄바꿈 문자가 포함되면 regexp는 UDM 필드의 첫 번째 줄만 일치합니다. 전체 UDM 필드 일치를 적용하려면 (?s)를 정규 표현식에 추가합니다. 예를 들어 /.*allUDM.*/을 /(?s).*allUDM.*/으로 바꿉니다.
• 문자열 다음에 nocase 한정자를 사용하여 검색 시 대소문자를 무시하도록 지정할 수 있습니다.

매개변수 데이터 유형

STRING, STRING

매개변수 표현식 유형

ANY, ANY

반환 유형

BOOL

코드 샘플

예 1

// Equivalent to $e.principal.hostname = /google/
re.regex($e.principal.hostname, "google")