[2022] yara scan -一个简单的小巧的应急响应工具 huoji 工具,应急响应 2022-08-19 751 次浏览 1 次点赞 这个是应急用的给朋友定制的,他们说一个公司发现了一个病毒基本上其他的机器都有同样的文件只不过位置不一样.所以找我做了一个东西能扫描相同文件之类的把这些全扫出来. 工具功能: > 根据yara规则匹配文件 匹配特定hash(sha1)的文件 根据特定文件名字匹配文件 自动生成报告 截图: ![1.jpg](https://key08.com/usr/uploads/2022/08/3841569265.jpg) 用法: 下载release [Release.zip](https://key08.com/usr/uploads/2022/08/1188834289.zip) 编辑config.json ```cpp { "scan_path": ["C:"], "hashes": [ "EE9E2816170E9441690EBEE28324F43046056712" ], "filenames": [ "InstDrv.bin" ] } ``` 其中scan_path是扫描目录,不要\\结尾 hashes是sha1,filenames是文件名字. yara目录放了一些病毒的yara检出(VT上的那些),如果有需要可以自己补充或者删减. 扫描完毕后,在程序目录有一个log文件,那就是扫描结果.可以让客户发回来分析问题 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 1
还不快抢沙发