BinaryDefense/YaraMemoryScanner

# YaraMemoryScanner 此脚本允许用户使用指定的 YARA 规则快速扫描主机内存中的所有进程。其旨在供安全团队成员在事件响应期间或进行常规端点威胁搜寻时审查主机。 该脚本专为短期使用而设计：它会下载并使用用户提供的规则执行 YARA；规则可以作为文件或 URL 提供。由于 YARA 是作为脚本的一部分下载和使用的，因此无需预先下载 YARA，也不会在主机上留下 YARA。 使用示例： 一名安全团队成员发现某台主机感染了恶意软件，并且能够识别或创建一条与该主机上恶意软件匹配的 YARA 规则。该成员希望扫描另一台主机，因此他们连接到第二台主机并使用该 YARA 规则执行此脚本：在 Administrator Powershell 会话中，他们执行“.\YaraMemoryScanner.ps1 rule.yar”（其中 rule.yar 是他们编写或识别的、与所发现恶意软件匹配的 YARA 规则的名称）。脚本所在目录中将会创建一个包含规则名称和时间戳的文件。如果规则匹配了某个进程，文件中将记录匹配进程的 Process ID、进程名称以及进程的执行路径。如果没有规则匹配，文件将简单说明没有规则匹配。 ## 入门指南 要使用该脚本，请以管理员身份打开 Powershell 会话，并向其传递一个 YARA 文件或指向 YARA 文件的 URL 来执行脚本。 例如： ``` .\YaraMemoryScanner.ps1 rule.yara ``` 或者 ``` .\YaraMemoryScanner.ps1 https://raw.githubusercontent.com/sbousseaden/YaraHunts/master/mimikatz_memssp_hookfn.yara ``` ### 前置条件 主机需要能够访问 PowerShell，并且必须以管理员身份运行 PowerShell。 * [PowerShell](https://github.com/PowerShell/PowerShell) ### 推荐资源 要使用 YaraMemoryScanner，需要 YARA 规则；以下仓库包含可与 YaraMemoryScanner 配合使用的规则。 * [Yara Rules](https://github.com/Yara-Rules/rules) ## 贡献 发送电子邮件至 brandon.george at binarydefense dot com ## 作者 * **Brandon George** - *初始工作* - [thehack3r4chan](https://github.com/thehack3r4chan) * **Squiblydoo** - *贡献者* ## 许可证 本项目采用 GPLv3 许可。 ## 未来计划 * 为检测启用事件日志记录并启用日志传输

标签：AI合规, AMSI绕过, Conpot, DAST, EDR, IPv6, Libemu, Libemu, PowerShell, Windows安全, YARA, 云资产可视化, 内存扫描, 威胁检测, 安全脚本, 库, 应急响应, 开源安全工具, 恶意软件分析, 数字取证, 流量嗅探, 端点安全, 网络信息收集, 网络安全审计, 脆弱性评估, 自动化脚本, 自定义DNS解析器, 补丁管理, 计算机防御, 进程扫描, 逆向工程平台