yara-rule-authoring

Guides authoring of high-quality YARA-X detection rules for malware identification. Use when writing, reviewing, or optimizing YARA rules. Covers naming conventions, string selection, performance optimization, migration from legacy YARA, and false positive reduction. Triggers on: YARA, YARA-X, malware detection, threat hunting, IOC, signature, crx module, dex module.

1. Uruchom skill, gdy pracujesz nad regułą YARA-X — wpisz fragment kodu lub opis tego, co chcesz wykryć. Skill rozpoznaje kontekst automatycznie (słowa kluczowe: YARA, malware detection, threat hunting, IOC, signature).

2. Zanim zaproponujesz stringi do reguły, upewnij się, że generują dobre atomy — YARA szuka 4-bajtowych podciągów. Unikaj stringów z powtarzającymi się bajtami lub sekwencjami poniżej 4 bajtów, bo zmuszają system do wolnej weryfikacji bytecode'u na zbyt wielu plikach.

3. Skonkretyzuj cel reguły — zamiast "detektuje ransomware", napisz "detektuje rutynę ekstrakcji konfiguracji LockBit 3.0". Skill pomoże ci sformułować precyzyjny opis, który rzeczywiście złapie to, co chcesz.

4. Dodaj tanie sprawdzenia na początku reguły (rozmiar pliku, magic bytes) przed kosztownymi wyszukiwaniami stringów lub wywołaniami modułów. Skill wskaże, gdzie umieścić te optymalizacje.

5. Przetestuj regułę na czystych plikach — użyj korpusu goodware'u z VirusTotal lub własnego zestawu. Skill przypomni ci o tej krokach i pomoże zidentyfikować fałszywe alarmy.

6. Jeśli migrujesz stare reguły YARA na YARA-X, skill pokieruje cię przez różnice w składni i najlepsze praktyki nowej wersji. Dodaj metadane dokumentujące, co reguła łapie, dlaczego i skąd pochodzi próbka.