Hexkalibur/Narsil
GitHub: Hexkalibur/Narsil
Narsil 是一款纯 C 编写的 Windows 一次性入侵检测扫描器,通过七个模块检查驱动、rootkit、持久化、进程、内存、网络和事件日志来快速判断主机是否被入侵。
Stars: 1 | Forks: 0
# Narsil
] [-r ] [-o ] [-v] [-h]
```
| 标志 | 含义 |
|------|---------|
| `-c ` | 配置文件(被封锁的 IP、可疑端口、模块开关) |
| `-r ` | YARA 规则文件(预留给内存/文件匹配使用) |
| `-o ` | 报告输出路径(默认:`narsil_report.md`) |
| `-v` | 详细 / 调试输出 |
| `-h` | 帮助 |
## 输出
每次运行都会生成三类产物:
- `.md`:人类可读的报告(摘要、警报、证据表)
- `.jsonl`:机器可读的警报,适配 SIEM
- `_.csv`:完整的各模块证据列表
## 配置
将 `ids.conf.example` 复制为 `ids.conf` 并使用 `-c` 传入。支持的
指令:
```
log_path # alert JSONL log destination
blocked_ip # flag any connection to/from this IP
suspicious_port # flag any endpoint on this port
verbose # enable debug output
# 跳过单个扫描模块(默认全部运行):
no_kernel no_rootkit no_persistence
no_process no_memory no_network no_events
```
## 环境要求
- Windows (x64)
- 管理员权限(Narsil 在启动时会启用 `SeDebugPrivilege`、
`SeLoadDriverPrivilege` 及相关权限)
标签:IP 地址批量处理, Web报告查看器, 主机入侵检测, 子域名变形, 安全意识培训, 客户端加密, 库, 应急响应, 恶意软件扫描, 端点可见性