Модуль dr_sandbox

Модуль dr_sandbox — это эксклюзивный модуль YARA компании «Доктор Веб», с помощью которого вы можете создавать правила на основе следующей информации:

поведение файла в виртуальной машине;

тип создаваемых файлов (src, dump, drop, alloc и т. д.);

сведения об обнаруженных угрозах;

имя анализируемого файла.

Пример правила, в котором используется функция connect_to модуля dr_sandbox:

rule bad_file
{
   condition:
       dr_sandbox.descr_tech.network.connect_to(/http:\/\/someplace\.badsite\.com/)
}

Список всех функций модуля dr_sandbox с описанием и примерами приведен в Приложении Б. Функции модуля dr_sandbox.