没什么难度,只是清理文件的时候作为备份

使用场景

狩猎

作为强特征对文件进行扫描

处理

主机环境

受害机器在%Temp%目录下会有随机名的恶意exe,但是随机名不确定,能确定ImpHash

限制情况

无法安装其他杀毒软件进行扫描,无法安装Python

YARA扫描

原因

  1. yara.exe很小,绿色,不依赖什么环境
  2. YARA规则编写简单 ```yaml import “pe”

rule SpecifiedImpHash { meta: Author = “😎建瓯最坏🐷” Description = “查找指定的ImpHash文件” Command = “[yara.exe] -r [本条规则] [指定文件夹]”

  1. condition:
  2. // ImpHash的值一定要小写
  3. pe.imphash() == "fb36740c126064e8d052ad24f396d94d"

} ```

扫描结果

image.png