Simple IOC and YARA Scanner
- 文件名IOC
正则表达式匹配完整的文件路径/名称- Yara规则检查
Yara签名匹配文件数据和进程内存- 哈希检查
将已知的恶意哈希(MD5,SHA1,SHA256)与扫描的文件进行比较- C2连接后检查
将进程连接端点与C2 IOC进行比较(版本v.10后新增)
需要文件
下loki最新发布版:https://api.github.com/repos/Neo23x0/Loki/releases/latest
下规则文件:https://github.com/Neo23x0/signature-base/archive/master.zip,下载解压后将yara、misc、iocs拷贝到\loki\signature-base\ 目录下或者挂代理跟新
常用参数
-l iocchk.txt 输出到iocchk.txt 文件
-s 10240 扫描小于10M的文件
排除 C:\Windows\WinSxS 目录
@echo off
cd /d "%~dp0"
loki.exe -s 10240 -l iocchk.txt --onlyrelevant
pause