×
新年VIP会员大促,全场一折起!
立即查看优惠!
关闭

Loki:简易IOC和YARA扫描仪

检测基于四种检测方法:

1.文件名IOC

完整文件路径/名称上的正则表达式匹配

2.YARA规则检查

文件数据和进程内存上的签名匹配

3.HASH检查

将已知的恶意哈希(MD5、SHA1、SHA256)与扫描的文件进行比较

4.C2反向连接检查

将流程连接端点与C2 IOC进行比较(自版本v.10以来新增)

其他检查:

1.Regin文件系统检查(通过--reginfs)

2.过程异常检查(基于[系统取证](http://goo.gl/P99QZQ)

3.SWF解压缩扫描(自v0.8版起新增)

4.SAM转储检查

Windows二进制文件是使用PyInstaller编译的,应在基于x86和x64的系统上作为x86应用程序运行。

03b7b8bbe0f18fe502712c52a1ca5d3a

如何运行LOKI并分析报告

从发布部分下载最新版本的LOKI

提取程序包

运行loki-upgrader.exe可访问Internet以检索最新签名的系统上的exe

将程序文件夹带到应扫描的目标系统:可移动媒体、网络共享、目标系统上的文件夹

以管理员身份打开命令行“cmd.exe”,并从那里运行它(您也可以在没有管理权限的情况下运行LOKI,但某些检查将被禁用,并且无法访问磁盘上的相关对象)

报告

结果报告将显示绿色、黄色或红色结果行。

请自行分析调查结果:

正在将非机密样本上载到Virustotal。通用域名格式

在web上搜索文件名

在web上搜索规则名称中的关键字(例如EQUATIONGroupMalware_1>搜索“Equation Group”)

在web上搜索样本的MD5哈希

请通过“问题”部分报告误报,该部分可通过右侧边栏访问(提及误报指示符,如哈希和/或文件名以及触发的规则名称)

要求

如果使用已编译的EXE,则没有要求。

 

相关文件下载地址

该资源需登录后下载

去登录
温馨提示:本资源来源于互联网,仅供参考学习使用。若该资源侵犯了您的权益,请 联系我们 处理。
Loki:简易IOC和YARA扫描仪
免费资源
立即下载