工具介绍此工具基于Go语言和Yara规则,实现对Windows主机进程和文件的扫描,旨在帮助应急人员快速定位恶意进程和恶意文件,清除主机存在的威胁;
主要分为以下功能:
对进程进行扫描,根据yara规则匹配恶意进程,并输出进程基本信息,包括:PID、PPID、父进程、网络连接、可执行文件路径、进程创建时间、匹配规则;对进行文件扫描,根据yara规则匹配恶意文件,并输出文件基本信息,包括:文件名、文件MD5、文件路径、修改时间、创建时间、匹配规则;计算文件MD5,并根据MD5值,检索主机上是否还存在相同文件;工具下载https://github.com/Fheidt12/Windows_Scan
工具使用进程扫描默认扫描全部进程,也可以输入指定进程进行扫描;由于担心扫描过程会影响主机正常业务和提高扫描效率,因此可设置不扫描内存占用大的进程,这个必须要填写,不填写则不会扫描所有进程;可以指定规则库进行扫描,internal只使用内置规则、external只使用自定义规则、both两个规则一起用,也会出现两个输出表格;使用external和both都需要指定外挂规则库的路径;
文件扫描指定目录进行扫描,会递归扫描目录下面的所有类型文件;扫描模式跟上面进程扫描模式一样,不在赘述;
MD5计算及查找计算指定文件的MD5值;根据MD5值,在指定目录查找是否存在相同文件;
外挂规则进行扫描扫描模式选择:external输入规则路径
注意说明程序中已经内置64条规则,规则来源均为:https://github.com/m-sec-org/d-eyes/tree/master/yaraRules由于作者使用Go的版本比较高,因此导致win2008和win7 及之前的windows版本无法运行,目前测试,最低支持win server2012由于工具内置大量规则,导致火绒、360等杀毒软件均会报毒,使用前 请确认MD5值是否相同;免责声明:此工具仅限于安全研究,用户承担因使用此工具而导致的所有法律和相关责任!作者不承担任何法律责任