Loki:Loki 简单的IOC和事件响应扫描程序 源码

Loki-简单的IOC扫描仪 扫描仪,用于简单的危害指标 检测基于四种检测方法: 文件名IOC 正则表达式匹配完整的文件路径/名称 亚拉规则检查文件数据和过程存储器上的Yara签名匹配 哈希检查将已知的恶意哈希(MD5,SHA1,SHA256)与扫描的文件进行比较 C2背面连接检查将进程连接端点与C2 IOC比较(自v.10版以来新增) 其他检查: Regin文件系统检查(通过--reginfs) 流程异常检查(基于 ) SWF解压缩扫描(自v0.8版以来新增) SAM转储检查 DoublePulsar检查-尝试检测端口445 / tcp和3389 / tcp上的DoublePul