HybridScan双引擎APT木马扫描系统是一款C# 桌面 GUI 应用程序,可以在本地执行 YARA 扫描,也可以在域环境中进行扫描。该系统可通过GUI界面,调用Loki及YARA原生扫描两个引擎,对指定计算机、硬盘以及多个目录进行扫描,并自动生成可视化报告,用于筛选分析。该系统支持调用加密压缩包YARA规则以及外部YARA规则,充分保护yara规则的保密性。且在特殊环境下,该系统可以通过监控程序,始终以低于CPU 50%的资源进行扫描 ,不影响主机本身正常运行。
①下载HybridScan安装包后,解压得到以下两个文件:
②双击setup.exe,进行安装
③点击下一步,默认安装到D:HybridScan,无特殊情况,不建议安装到C盘。
④点击下一步,确认安装
⑤再点击下一步,进行安装
⑥安装完成,点击关闭
⑦安装完成后,会在桌面上生成一个快捷方式
⑧双击快捷方式,即可运行HybridScan。或者直接去D盘运行HybridScan.exe
⑨运行首页面如下
打开软件首页如下
①点击扫描,选择本地扫描
②选择洛基扫描引擎,或者点击选择离线扫描引擎。这里强烈建议选择离线扫描引擎,程序中已经自带最新版的离线扫描引擎(目录为:D:HybridScanHybrid),不需要再去网络下载,方便快捷。
③选择引擎安装目录,如果是使用洛基扫描引擎,操作如下
④点击下一步后,进入扫描配置界面
⑤再必选项中,用户可以选择扫描当前电脑所有磁盘,或者扫描指定磁盘,还可以扫描指定目录。如果选择指定目录,可以点击右上角编辑,目录每行一个。
⑥在可选项中,用户可以选择添加外部的YARA规则,外部yara需要打包成zip压缩包,且该系统支持加密压缩包处理,在点击扫描时输入zip密码即可。同时用户也可以选择是否扫描内存,用于检测内存木马。用户还可以选择限制扫描资源使用不超过50% CPU,但是该选项将会联网下载Process-governor进行进程调控。
⑦选择添加外部规则后,系统会自动安装部署外部规则
⑧点击下一步即开始扫描,扫码完成后点击下一步
⑨点击“查看结果”可以查看本次扫描统计,若需要更改扫描选项,可以点击“返回扫描选项页面”
⑩点击查看结果,可以查看扫描结果,并对扫描结果进行过滤和筛选
相关推荐: DuckMemoryScan:检测绝大部分所谓的内存免杀马
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木马,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译!!! !!!本工具不能…
