工具介绍
此工具基于Go语言和Yara规则,实现对Windows主机进程和文件的扫描,旨在帮助应急人员快速定位恶意进程和恶意文件,清除主机存在的威胁;
主要分为以下功能:
- 对进程进行扫描,根据yara规则匹配恶意进程,并输出进程基本信息,包括:PID、PPID、父进程、网络连接、可执行文件路径、进程创建时间、匹配规则;
- 对进行文件扫描,根据yara规则匹配恶意文件,并输出文件基本信息,包括:文件名、文件MD5、文件路径、修改时间、创建时间、匹配规则;
- 计算文件MD5,并根据MD5值,检索主机上是否还存在相同文件;
工具下载
工具使用
进程扫描
- 默认扫描全部进程,也可以输入指定进程进行扫描;
- 由于担心扫描过程会影响主机正常业务和提高扫描效率,因此可设置不扫描内存占用大的进程,这个必须要填写,不填写则不会扫描所有进程;
- 可以指定规则库进行扫描,internal只使用内置规则、external只使用自定义规则、both两个规则一起用,也会出现两个输出表格;使用external和both都需要指定外挂规则库的路径;
文件扫描
- 指定目录进行扫描,会递归扫描目录下面的所有类型文件;
- 扫描模式跟上面进程扫描模式一样,不在赘述;
MD5计算及查找
- 计算指定文件的MD5值;
- 根据MD5值,在指定目录查找是否存在相同文件;
外挂规则进行扫描
- 扫描模式选择:external
- 输入规则路径
注意说明
- 程序中已经内置64条规则,规则来源均为:https://github.com/m-sec-org/d-eyes/tree/master/yaraRules
- 由于作者使用Go的版本比较高,因此导致win2008和win7 及之前的windows版本无法运行,目前测试,最低支持win server2012
- 由于工具内置大量规则,导致火绒、360等杀毒软件均会报毒,使用前 请确认MD5值是否相同;
免责声明:此工具仅限于安全研究,用户承担因使用此工具而导致的所有法律和相关责任!作者不承担任何法律责任
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022