Victor M. Alvarez

@vxunderground My only correction: YARA's VM is actually Turing-complete. Long ago @wxs managed to run Brainfuck programs in the YARA's VM, and Brainfuck is a Turing-complete language. gist.github.com/wxsBSD/31e2e9c…

@vxunderground Thank for your compliments about YARA. It looks like you are being doing in-depth spelunking of the source code, and that's great.

I have a really deep appreciation for YARA and the work VirusTotal's engineers put into YARA. YARA is interesting because they encountered some challenges when developing their static analysis engine and they handled it really, really, really well. Initially I was under the assumption YARA read rules by parsing strings and applying them to binaries in-memory (mapping). However, being a doofus, I failed to consider the fact YARA contains BOOLEAN logic in their rules. Hence, reading the files and parsing them as text wouldn't be able to reliably handle the logic present inside the YARA files. YARA contains an internal VM and transforms the text into byte code. The caveat being the VM isn't turing complete and does not possess any ability to interact with anything else. This was done intentionally though because it acts as a sandbox. Regardless, it uses the transformed byte code to perform operations on the in-memory mapped binary using (sort of) simple logic but containing a custom implemented callstack for doing stuff. Furthermore, YARA also has a custom heap management system (they're using the ARENA algorithm). What makes this even more impressive is all of this written in C, is cross platform for Windows, Linux, and MacOS, and easily compiles. This is a significant software engineering project and they did an extremely good job.

🧠 From binary analysis to YARA rules—without leaving Omnia. Upload a sample, inspect it in hex, and generate YARA rules with AI directly from the file view. Faster analysis. Actionable detection. 📖 Learn more: docs.omniasec.ai/blog/from-bina… 🌐 Visit us: omniasec.ai

We have tools that can help people write. Instead, we use them to make everyone sound the same. I wrote a short blog post on that here: cyb3rops.medium.com/im-sick-of-rea…

@x04steve @cyb3rops sure, why not

@plusvic @cyb3rops perhaps regex for strings too?

Enforcing rule metadata standards has always been fundamental for a good detection engineering practice You can use "metadata validation" in the YARA language server for this and here's a style guide that serves as an inspiration for the meta data value selection github.com/Neo23x0/YARA-S…

Using the YARA Language Server to enforce rule metadata standards: virustotal.github.io/yara-x/blog/en…

And it also includes the first stable version of the VSCode extension: marketplace.visualstudio.com/items?itemName…

YARA-X v1.14.0 has been released! github.com/VirusTotal/yar…

🇨🇺| Lo de Cuba (país donde tengo grandes amigos, de los más cercanos) es una situación tristísima, abierta a muchísimas discusiones, pero que también da para reflexionar largo.👇 El liderazgo de la izquierda global en general y latinoamericana en particular tristemente ya decidió que prefiere morir abrazada a los ídolos de barro del siglo XX, como el castrismo. Al hacerlo, sobre todo, dejan claro lo poco que les importa la gente. No les importa la juventud actual, no les importa buscar soluciones reales a los problemas actuales, no les importa el avance de fuerzas regresivas en materia de derechos sociales. No les importan sufrimientos, o violaciones a derechos humanos. Si les importara, ya empezarían a razonar el delirio de apoyar regímenes rancios que sus propios pueblos desprecian inmensamente. Si les importara, buscarían una salida que el grueso de la gente pueda respaldar, no seguir con los 70 años de un antiimperialismo performático que no ayuda a las personas comunes (porque NO - LOS - AYUDA). Y sobre todo, si les importara, podrían escuchar a los cubanos comunes de dentro y fuera de la isla que dicen que están hartos de "resistir". Que la dicotomía de USA-Régimen no los representa y que solo quieren un país normal. Hay gente que asume la postura "no estoy de acuerdo con Cuba pero Estados Unidos..." y eso es insoportable. Las leyes del embargo estadounidense establecen que se levantaría el embargo si Cuba celebra elecciones. Sí, es una visión "imperialista", pero oponerte a que los cubanos tengan derecho a votar su propio gobierno es una visión miserable. Nadie decente te la va a apoyar. Pero no se trata solo de Cuba. Los latinoamericanos (en especial venezolanos y cubanos, pero en todo el continente pasa igual) se hartaron de escuchar que no comen "por culpa de los yanquis", quieren comer. Si no les podés dar de comer, están dispuestos a darle todo a USA a cambio de que termine un largo relato del que no son protagonistas. Y no importa la opinión, es lo que está pasando. No importa si está mal o no, su hartazgo es totalmente válido. Pero los nostálgicos se acomodaron al statu quo, y un "statu quo revolucionario" o "statu quo de resistencia" es la condena total al fracaso. Nuestras sociedades civiles se han desfondado por completo. La gente no solo está votando populismos conservadores y rechazando partidos. Todas las organizaciones de la sociedad civil, las instituciones, la prensa, todo lo colectivo está marchitándose. Eso no es Cuba ni Venezuela, eso lo veo en mi mismo país todos los días. Y no es que la juventud latinoamericana de hoy sea "más estúpida" o "más individualista" o "más egoísta". El deterioro del discurso parte de un campo global que cree que el pueblo está obligado a sentirse representado por ellos, que se ocupó de ser excluyente con todo lo disonante. Que primó la retórica por sobre la realidad. Recién ahora se ve obligada a darse cuenta de que un movimiento colectivo excluyente está crónicamente condenado a ser minoría, pero Dios sabe si lo hará. Lo de Cuba no se trata solo de una lucha fácticamente perdida porque USA sea imbatible, sino porque es una batalla cultural perdida. No podés pretender estar del lado de un pueblo comprando el discurso de sus opresores y encima insultándolos cuando te dejan en claro que no están de acuerdo. Sigan agitando banderas rancias, sigan diciendo que el régimen cubano no debe hacer nada, que no debe liberar a los más de 1000 presos políticos, ni permitir a sus exiliados retornar, ni habilitar el discurso disidente ni someter al único juicio que importa (el de la voluntad popular) una gestión de casi 70 años. Sigan creyendo que un régimen que invierte millones en construir hoteles de lujo vacíos y que recibió millones en donativos internacionales (de China, Rusia, la India, México y petróleo gratis de Venezuela) no pudo refaccionar un sistema eléctrico en 70 años sólo "por el bloqueo". Si quieren seguir, sigan, las ultraderechas lo agradecerán. La historia no los absolverá. Se la dedico a mi querido amigo @JohnSocialDem21 que luchó en Cuba, que tiene familia dentro y que ha tenido que ver y oír cosas horribles. Un abrazo. Sé que pronto se acerca la hora en que ya no sea ilegal ser tan feliz. #OjosEnCuba #AbajoLaDictaduraCastrista

YARA-X 1.13.0 has been released! github.com/VirusTotal/yar…

@GenThreatLabs Thank you guys for your contributions to YARA and YARA-X over all these years.

Another Gen contribution to YARA-X upstream thanks to Albert Tikaiev (github.com/prosperritty): A YARA-X Language Server integrated directly into the YARA-X ecosystem, built on the error-tolerant parser started by Tomas Duris (github.com/TommYDeeee). It all started in 2017 with yaramod (github.com/avast/yaramod), an alternative YARA parser we built for linters and static analysis tools. Back then, we didn't even know what a language server was. After several years of iteration, in 2022 we released the first #YARA language server (YLS) on our GitHub (github.com/avast/yls), made by @KastakMatej, though it lived outside the YARA ecosystem. With YARA-X, we saw an opportunity for a unified ecosystem containing all the tooling we've been building and open-sourcing over the years. After adding the error-tolerant parser built on rowan in 2024, the language server was the natural next step. We're grateful @plusvic was open to the idea, accepted it upstream, and even improved it. This isn't our final stop. We'll continue helping build an even stronger YARA-X toolkit. Stay tuned!

I'm happy to introduce the official YARA language server for Visual Studio Code. virustotal.github.io/yara-x/blog/in… Many thanks to Albert Tikaiev for putting the first stone in this initative (github.com/prosperritty)

@bquintero "The friction coefficient between the mayo and tomato is zero" . Ahí me he ganado con su humor geek.

Lo ha vuelto a hacer… ...ya no sé si Gemini me sorprende más por cómo diseña, cómo programa, por su conocimiento de la cultura local o directamente por su sentido del humor...

YARA-X 1.11.0 has been released! github.com/VirusTotal/yar…

Como muchas personas, mi corazón está a la izquierda. Siempre he votado por alguna variación de ella. Mi forma de entender el mundo tiene raíces profundas tanto en el marxismo como en sus críticas desde la misma izquierda, de Camus a Orwell. Pero descubro que lo que me separa de la izquierda oficial —o al menos de su versión tuitera— es precisamente el corazón. Porque soy de izquierda, mi primer impulso ante la caída de Maduro es una alegría visceral. No por quien la provocó —Trump no despierta en mí ninguna simpatía— sino por los millones de venezolanos que llevan años huyendo de una parodia grotesca del socialismo. Por las madres que no han visto crecer a sus hijos. Por los profesionales manejando Uber en Santiago. Por los que murieron cruzando el Darién. La izquierda que conozco en Twitter piensa al revés: primero el antiimperialismo, después la soberanía, luego la no injerencia, y al final —si queda espacio— los venezolanos. Como si el principio de no intervención pesara más que los cuerpos torturados en El Helicoide. Como si los derechos humanos del tirano importaran más que los de sus víctimas. Este reflejo automático se repite en cada crisis. En Cuba, la corrupción dinástica de los Castro siempre pesa menos que el embargo. Cuando las iraníes se quitan el velo y enfrentan a los mulás, la izquierda busca primero denunciar a la CIA. Cuando quemaron el metro en Santiago, había que entender la rabia antes que lamentar a la cajera que no pudo llegar a su trabajo. No importa que los mulás ejecuten homosexuales, que los muyahidines lapiden mujeres, que los Castro encarcelen poetas: si están contra Estados Unidos, merecen comprensión. Entiendo el razonamiento. Conozco la historia de las intervenciones, los golpes de Estado, la Escuela de las Américas. Sé que Estados Unidos no regala nada y que Trump es un personaje siniestro. Pero lo que no puedo entender es la ausencia de emoción humana elemental. Esa frialdad doctrinaria que no se conmueve ante los videos de venezolanos llorando de alegría en las calles de Caracas. Que no siente nada ante las iraníes cortándose el pelo en señal de rebelión. Que siempre tiene un "pero" listo antes que un abrazo. Preferiría, por supuesto, que los venezolanos hubieran derrocado solos a su tirano. Pero sé —porque la historia lo enseña— que pocas dictaduras caen sin alguna forma de presión internacional. La chilena no lo hizo. La argentina tampoco. La española menos. Y de todas las salidas posibles después del fraude brutal de julio, esta es de las menos sangrientas. Hoy los venezolanos celebran. Las calles de Caracas se llenan de una esperanza que creíamos muerta. Y yo, que sigo siendo de izquierda precisamente porque creo en la dignidad humana antes que en las abstracciones geopolíticas, celebro con ellos. Mañana habrá tiempo para analizar, criticar, contextualizar. Hoy, solo hoy, déjenme sentir esta alegría sin pedir permiso al manual del buen antiimperialista. Déjenme poner el corazón donde siempre debió estar la izquierda: del lado de la gente, no de los mapas.

@k0ng0x86 Yes, that's a global rule by definition. If a global rule doesn't match, other rules in the same file won't match.

@plusvic So global rules NEED to match? …. Regular rules can be used a negation then?

YARA quiz: can you spot the issue with the following rules? global rule foo { strings: $a = "foo" condition: $a } rule bar { strings: $b = "bar" condition: $b and not foo}

@tlansec Good catch! We saw a case like this in VirusTotal, so we have a new warning: github.com/VirusTotal/yar…

@plusvic rule foo is global and thus _has_ to match, but then is in a negation clause?