使用场景
狩猎
处理
主机环境
受害机器在%Temp%目录下会有随机名的恶意exe,但是随机名不确定,能确定ImpHash
限制情况
YARA扫描
原因
- yara.exe很小,绿色,不依赖什么环境
- YARA规则编写简单 ```yaml import “pe”
rule SpecifiedImpHash { meta: Author = “😎建瓯最坏🐷” Description = “查找指定的ImpHash文件” Command = “[yara.exe] -r [本条规则] [指定文件夹]”
condition:
// ImpHash的值一定要小写
pe.imphash() == "fb36740c126064e8d052ad24f396d94d"