检测基于四种检测方法:
1.文件名IOC
完整文件路径/名称上的正则表达式匹配
2.YARA规则检查
文件数据和进程内存上的签名匹配
3.HASH检查
将已知的恶意哈希(MD5、SHA1、SHA256)与扫描的文件进行比较
4.C2反向连接检查
将流程连接端点与C2 IOC进行比较(自版本v.10以来新增)
其他检查:
1.Regin文件系统检查(通过–reginfs)
2.过程异常检查(基于[系统取证](http://goo.gl/P99QZQ)
3.SWF解压缩扫描(自v0.8版起新增)
4.SAM转储检查
Windows二进制文件是使用PyInstaller编译的,应在基于x86和x64的系统上作为x86应用程序运行。
如何运行LOKI并分析报告
从发布部分下载最新版本的LOKI
提取程序包
运行loki-upgrader.exe可访问Internet以检索最新签名的系统上的exe
将程序文件夹带到应扫描的目标系统:可移动媒体、网络共享、目标系统上的文件夹
以管理员身份打开命令行“cmd.exe”,并从那里运行它(您也可以在没有管理权限的情况下运行LOKI,但某些检查将被禁用,并且无法访问磁盘上的相关对象)
报告
结果报告将显示绿色、黄色或红色结果行。
请自行分析调查结果:
正在将非机密样本上载到Virustotal。通用域名格式
在web上搜索文件名
在web上搜索规则名称中的关键字(例如EQUATIONGroupMalware_1>搜索“Equation Group”)
在web上搜索样本的MD5哈希
请通过“问题”部分报告误报,该部分可通过右侧边栏访问(提及误报指示符,如哈希和/或文件名以及触发的规则名称)
要求
如果使用已编译的EXE,则没有要求。
