Yamato-Security/hayabusa-encoded-rules

# Hayabusa 编码规则 本仓库包含两个将用于 Hayabusa v2.18.0+ 的文件，旨在最大限度地减少需要放入目标系统的文件数量，并绕过反病毒产品的任何误报。 - `encoded_rules.yml`：此文件将 4000 多个 Sigma 和 Hayabusa `.yml` 规则文件存储为单个文件，并对数据进行 XOR 编码，以防止反病毒产品对规则进行误报检测。 - `rules_config_files.txt`：此文件将所有规则配置文件（[hayabusa-rules](https://github.com/Yamato-Security/hayabusa-rules) 仓库中 `config` 目录下的每个 `.yaml` 配置文件）存储为单个文件。 在 Hayabusa v2.18.0+ 中，将这两个文件放入 Hayabusa 文件夹的根目录后，即可安全删除 `rules` 目录。 Hayabusa 将改为从这两个文件加载规则和规则配置文件。 您可以使用 `update-rules` 命令动态更新规则和配置文件。 规则和规则配置文件均每日更新。 这样做的目的是在将 Hayabusa 用于实时响应（live-response）时，既不希望引起任何误报警报，也不希望在目标机器上存储大量文件从而可能覆盖 USN 日志等取证痕迹（forensics artifacts）。 在 DFIR 分析机器上使用 Hayabusa 时，您应该使用将所有规则和配置文件分开的 Hayabusa 常规版本。 # 已弃用的加密包 我们最初计划使用加密 zip 文件 [rules.zip](https://github.com/Yamato-Security/hayabusa-encrypted-rules/raw/main/rules.zip)，其中包含托管在 [hayabusa-rules](https://github.com/Yamato-Security/hayabusa-rules) 仓库中的 `config`、`hayabusa` 和 `sigma` 目录中的配置文件和检测规则，然而，这会导致性能下降，因此我们决定改用 XOR 编码。 * 密码：`yamato-security-hayabusa` 您很可能不需要此文件，但我们仍将其保留在此处。

标签：AMSI绕过, DAST, DNS 反向解析, DNS 解析, EDR, Hayabusa, Sigma规则, USN日志, Windows事件日志, XOR编码, 反病毒规避, 取证 artifacts, 威胁检测, 库, 应急响应, 恶意软件分析, 数字取证, 数据编码, 文件存储优化, 检测规则打包, 目标导入, 网络安全审计, 脆弱性评估, 自动化脚本, 通知系统, 通知系统