yarchk是为了更方便、更快速的使用yara规则来检查系统所有的进程内存是否有恶意代码,解决yara工具本身只支持一次执行只扫描一个进程内存的不便。
您可以把所有规则文件直接放在rules目录下,yarchk会根据CPU核数自动并发的跑yara扫描所有进程内存。请注意yarchk不扫描磁盘文件,您需要了解您使用的规则文件是针对内存态的特征而不是文件样本的特征。
目前规则目录里面放了一些CobaltStrike木马内存特征,以及冰蝎的内存特征。用户可以自己添加后缀为.yar或.yara的yara规则文件到目录里,还可以在suspicious-strings.txt文件中临时添加字符串特征。
只需要在目标终端上以管理员权限运行“scan-process.bat”,
扫描过程输出结果每行前缀为##是错误信息,#!是命中信息,最后>>是合并显示所有yara命中的进程信息)
- 重新编译了yara 4.5.2 使这套工具能支持xp-最新操作系统。
- 并发扫描速度更快。使用cpu核数的80%并发跑yara扫描器扫描多个进程,弥补yara本身多线程并发模式只支持扫目录时。
- 规则文件方便管理。可统一放在rules目录下,且支持子目录。
- 可临时添加一些IOC字符串到suspicious-strings.txt文件,例如C2的IP或域名,扫描开始时会自动转为yara规则。
- 为了减少误报,如果是复制工具到目标环境时,建议打包再传,尽可能避免yar规则本身的特征内容在传输过程出现在某些系统进程导致误报。