Advertisement

Loki:简易的IOC与事件响应扫描工具Loki

  •  5星
  •     浏览量: 0
  •     大小:None
  •      文件类型:None

简介:
Loki是一款轻量级的安全工具,专注于_IOC(入侵检测)及事件响应分析。它为安全专家提供了一个简便的方法来快速扫描系统中的可疑活动模式,从而加速威胁检测和缓解流程。 Loki 是一个简单的 IOC 扫描工具,用于检测危害指标(IoC),基于四种主要的检测方法: 1. **文件名IOC**:通过检查文件路径或名称来匹配已知威胁。 2. **正则表达式匹配**:对完整的文件路径和名称进行模式匹配以识别潜在威胁。 3. **亚拉规则检查**:利用 Yara 签名在文件数据及进程内存中查找恶意代码的特征。 4. **哈希检查**:将已知的恶意软件哈希(如 MD5、SHA1 和 SHA256)与扫描到的文件进行比较,以确认是否存在已记录的威胁。 此外,Loki 从 v0.8 版本开始新增了以下功能: - 对 SWF 文件执行解压和检测。 - 检查 C2 背面连接:将进程中的网络端点与恶意软件通信基础设施(C2)IOC 进行对比。(自 v1.0 版起提供) 其他检查包括: - Regin 文件系统检查,可通过命令行参数 --reginfs 启用。 - 异常流程检测:基于特定行为模式识别异常进程活动。 - SAM 转储分析和 DoublePulsar 检测:尝试在端口 445/tcp 和 3389/tcp 上发现潜在的恶意软件。

全部评论 (0)

还没有任何评论哟~
客服
客服
客服关闭
  • LokiIOCLoki
    优质
    Loki是一款轻量级的安全工具,专注于_IOC(入侵检测)及事件响应分析。它为安全专家提供了一个简便的方法来快速扫描系统中的可疑活动模式,从而加速威胁检测和缓解流程。 Loki 是一个简单的 IOC 扫描工具,用于检测危害指标(IoC),基于四种主要的检测方法: 1. **文件名IOC**:通过检查文件路径或名称来匹配已知威胁。 2. **正则表达式匹配**:对完整的文件路径和名称进行模式匹配以识别潜在威胁。 3. **亚拉规则检查**:利用 Yara 签名在文件数据及进程内存中查找恶意代码的特征。 4. **哈希检查**:将已知的恶意软件哈希(如 MD5、SHA1 和 SHA256)与扫描到的文件进行比较,以确认是否存在已记录的威胁。 此外,Loki 从 v0.8 版本开始新增了以下功能: - 对 SWF 文件执行解压和检测。 - 检查 C2 背面连接:将进程中的网络端点与恶意软件通信基础设施(C2)IOC 进行对比。(自 v1.0 版起提供) 其他检查包括: - Regin 文件系统检查,可通过命令行参数 --reginfs 启用。 - 异常流程检测:基于特定行为模式识别异常进程活动。 - SAM 转储分析和 DoublePulsar 检测:尝试在端口 445/tcp 和 3389/tcp 上发现潜在的恶意软件。
  • PrometheusLoki告警设置
    优质
    本文介绍了如何在Prometheus和Loki监控系统中配置有效的告警规则,帮助用户及时发现并响应系统异常。 Prometheus 和 Loki 是两个流行的监控工具,通常用于大规模分布式系统的日志管理和告警配置。 **Prometheus 的告警设置** 为了在 Prometheus 中定义告警规则,需要在其配置文件中指定这些规则的位置。例如,在 `prometheus.yml` 文件内可以添加如下内容: ```yaml global: scrape_interval: 15s scrape_timeout: 10s evaluation_interval: 1m rule_files: - etcprometheusrules*.yml ``` 这行配置指定了规则文件的路径为 `etcprometheusrules*.yml`。 接着,需要创建告警规则。例如,在名为 `devops-nodes-rules.yml` 的文件中可写入如下内容: ```yaml groups: - name: node-rule rules: - alert: NodeCPUUsage expr: (1 - avg(irate(node_cpu_seconds_total{job=Dev-Kubernetes-Nodes,mode=idle}[1m])) by (instance)) * 100 > 85 for: 5m labels: obj: nodes team: Devops level: critical annotations: summary: The CPU usage of the node exceeds 85%, The current value is {{ $value }} description: 节点 CPU 使用率超过 85%,当前 CPU 使用率为{{ $value }} ``` 该配置定义了一个告警规则,名为 `NodeCPUUsage`,当节点的 CPU 利用率达到或超过 85% 时触发。 **Loki 的告警设置** 同样地,在 Loki 中也需要指定告警规则的位置。例如在 `loki.yml` 文件中可以添加如下: ```yaml rule_files: - etclokirules*.yml ``` 这行配置指定了规则文件的路径为 `etclokirules*.yml`。 接下来,需要创建相应的告警规则。例如,在名为 `devops-nodes-rules.yml` 的文件中可写入如下内容: ```yaml groups: - name: node-rule rules: - alert: NodeCPUUsage expr: (1 - avg(irate(node_cpu_seconds_total{job=Dev-Kubernetes-Nodes,mode=idle}[1m])) by (instance)) * 100 > 85 for: 5m labels: obj: nodes team: Devops level: critical annotations: summary: The CPU usage of the node exceeds 85%, The current value is {{ $value }} description: 节点 CPU 使用率超过 85%,当前 CPU 使用率为{{ $value }} ``` 这里定义了一个名为 `NodeCPUUsage` 的告警规则,当节点的 CPU 利用率达到或超过 85% 时触发。 **告警接收分发处理** 在 Prometheus 和 Loki 中,需要配置一个机制来将产生的告警发送至指定的目的地。通常使用 Alertmanager 来实现这一功能。 例如,在 `alertmanager.yml` 文件中可以添加如下内容: ```yaml route: group_by: [alertname] group_wait: 30s group_interval: 5m repeat_interval: 2h receiver: alertcenter routes: - match: obj: pods receiver: alert-pods - match: obj: nodes receiver: alert-nodes ``` 该配置定义了告警接收分发规则,根据告警对象(例如 pod 或 node)的不同将告警发送至相应的接收端。 Prometheus 和 Loki 是强大的监控工具,通过设置适当的告警规则和处理机制能够实现对系统的实时监控与管理。
  • PyaraScanner:一款多规则、多文YARA,适用于和恶意软分析
    优质
    PyaraScanner是一款专为事件响应与恶意软件分析设计的高效YARA规则及文件扫描工具,支持多种规则配置与大规模文件检测。 Pyara扫描仪是一款支持多线程的YARA规则引擎工具,适用于事件响应或恶意软件分析环境中的大规模文件扫描任务。使用前需要确保已安装了YARA,并且通过pip命令安装Python 3.0到3.5版本下的yara-python库。 ```shell pip install yara-python ``` 为了正常使用Yara-Python,您还需要在Windows系统中配置Microsoft Visual C++构建工具(Visual Studio 2017),或者直接提供预编译的YARA二进制文件。如果选择自动安装方式,则下载程序会帮你获取适用于Python 3.5版本的相关库。 运行扫描时,默认情况下只需指定规则集所在的目录以及需要进行检测的目标路径即可,它将递归地检查这些位置下的所有子目录和文件。 ```shell pyarascanner.py C:\Yara_Rules_Path C:\Scan_Directory ``` 完整命令行语法如下: ```shell pyarascanner.py [-h] ```
  • MAC地址
    优质
    MAC地址扫描工具与扫描器是一种网络管理软件,用于识别和定位局域网内的所有设备。通过快速扫描,可以获取连接在同一网络中的每一台设备的物理地址(MAC地址),便于维护网络安全及优化网络配置。 该工具的主要功能包括局域网MAC地址扫描,并提供IP地址、MAC地址、主机名、工作组以及网卡厂商数据的展示。用户可以将收集到的数据导出为“*.xml”、“*.txt”或“*.csv”格式。 此外,集成的功能还包括: 1. 计算IP地址、子网掩码、网络地址和广播地址等; 2. 发现局域网内的Upnp(通用即插即用)、Mdns(多播DNS)和Onvif(开放网络视频接口论坛)设备以及DHCP设备; 3. 执行TCP和UDP端口扫描; 4. 对IP或主机进行PING操作,也可以对整个网段内所有主机执行PING操作; 5. 枚举并查找局域网中的共享文件夹; 6. 进行Tracert路由跟踪以确定到达目标的路径; 7. 查看IPv4路由表信息; 8. 显示网络接口配置详情。
  • 全自动
    优质
    本工具是一款集智能化、自动化于一体的全能型扫描软件,能够高效准确地完成文档、图像等多种格式文件的转换和识别。 好的作品值得更好的回报。我会不定期更新软件,请大家多多支持!
  • DirBuster 文目录
    优质
    DirBuster是一款用于检测网站隐藏文件和目录的安全测试工具,通过暴力枚举方式帮助安全专家发现潜在的安全漏洞。 DirBuster是一个基于Java的多线程应用程序,设计用于暴力破解Web应用服务器上的目录名和文件名。
  • 65500
    优质
    65500扫描工具软件是一款功能强大的设备检测与故障诊断应用程序。它能够高效地进行硬件状态检查、性能评估及安全漏洞扫描,适用于多种行业和技术环境。 65500扫描工具是一种专门用于网络通信端口扫描的软件或技术,在IT行业中被网络安全专家及系统管理员广泛使用以诊断和评估网络状况。通过发送特定的数据包到目标主机上的指定端口,该工具可以判断哪些服务正在运行以及是否存在安全漏洞。 具体而言,65500指的是TCP协议中的一个特殊端口号,尽管在标准的IANA分配中没有对应的具体应用服务,但在某些测试或实验场景下可能会被临时使用。65500扫描工具有以下主要功能: 1. **全面扫描**:支持对所有可能的端口(从0到65535)进行检查。 2. **快速定位**:针对特定范围内的端口号,如仅扫描65500号端口时使用。 3. **隐蔽操作**:通过调整数据包特性来减少被发现的可能性。 4. **并发处理**:利用多线程技术提高效率,同时测试多个目标位置。 5. **结果分析与记录**:提供详细的报告,包括开放或关闭的端口号和服务信息,并保存日志以备后续审查。 6. **自定义策略设置**:允许用户根据具体需求调整扫描参数如速度和重试次数等细节。 7. **安全性评估**:识别潜在的安全隐患,例如未授权的服务或入侵迹象。 8. **漏洞检测**:结合已知的数据库来检查开放端口是否面临已知的风险。 使用65500扫描工具时需要注意以下几点: - 保证操作符合法律和规章制度的要求; - 确保获得目标系统的明确许可后才能进行相关活动; - 准备好应对可能触发的安全警报或其它响应措施; - 考虑到大规模的测试可能会对网络性能造成影响,选择合适的时间段执行任务。 综上所述,65500扫描工具是维护网络安全不可或缺的重要手段之一。它可以有效地帮助识别潜在的问题并采取相应的预防措施来保护整个系统的安全性和稳定性。然而,在实际操作中还需要与其他的安全技术和方法相结合以确保更全面的防护效果。
  • IP,器,C#
    优质
    本IP扫描工具是一款高效的网络设备检测软件,采用C#语言开发。它能够快速准确地识别局域网内的在线设备,并提供详细的扫描报告,便于用户进行网络安全管理和维护。 标题中的“IP扫描器,扫描器,C#扫描器”指的是一个使用C#编程语言开发的网络扫描工具,它能够帮助用户查找并识别网络中的IP地址。这类工具在网络安全、系统管理以及网络故障排查中有着广泛的应用。C#是一种面向对象的编程语言,由微软公司推出,适用于构建跨平台的应用程序,包括桌面应用、Web应用和移动应用。 描述中提到“自己纯手工写的”,意味着这个IP扫描器是一个个人开发者原创的作品,没有借助自动化工具生成代码。开发者还提到“代码不知道丢哪里去了”,这可能意味着源代码丢失,但提供了.NET Reflector Crack用于查看反编译后的代码。.NET Reflector是一款强大的反编译工具,它可以将.NET编译后的IL(中间语言)代码还原成可读性强的C#、VB.NET或其他.NET语言的源代码。由于原始源代码未加密或混淆,使用.NET Reflector可以较为清晰地理解代码逻辑。 标签中的“IP扫描器”和“扫描器”进一步强调了该工具的主要功能,即扫描网络中的IP地址。扫描器通常通过发送不同类型的网络请求,如TCP连接尝试或ICMP回显请求,来检测网络上的活动主机。这些请求可以是单个IP地址,也可以是一段IP地址范围,例如子网内的所有地址。 “C#扫描器”则指明了该工具的实现语言。C#具备现代编程语言的特性,如类型安全、垃圾回收和面向对象编程,使得开发此类网络工具变得相对容易且高效。在C#中,可以利用System.Net和System.Net.Sockets命名空间中的类来创建网络连接和发送数据包,实现IP扫描的功能。 至于压缩包子文件的文件名称“Ice Tool”,可能是该IP扫描器的程序文件名或者是与之相关的其他工具。通常来说,这样的工具可能会包含以下组件: 1. 主程序:执行IP扫描的主应用程序。 2. 配置文件:存储扫描参数,如目标IP范围、端口范围等。 3. 日志文件:记录扫描过程和结果,便于分析和调试。 4. 帮助文档:提供关于如何使用工具的说明。 5. 库文件:可能包含C#或其他库,用于处理网络通信、解析IP数据等。 这个C#编写的IP扫描器是一个实用的网络工具,它的功能在于探测网络上活动的IP地址。通过.NET Reflector,感兴趣的开发者可以学习其内部工作原理,了解如何使用C#进行网络编程。
  • XPortScan: PyQt 端口
    优质
    XPortScan是一款基于PyQt开发的轻量级端口扫描工具,提供简洁直观的界面和高效的网络扫描功能。 XPortScan介绍:这是一个简易的跨平台界面版端口扫描工具源码,欢迎各位Python爱好者学习交流。感谢小霸王提供的rscan扫描代码。测试环境包括Ubuntu、XP和Win7系统,均可完美运行。所需环境为Python 2.7及PyQt组件。在Linux系统中安装pyqt组件,请执行命令sudo apt-get install python-qt4进行安装;Windows系统的用户请直接运行python XPortScan.pyw启动程序。