yara是一个旨在(但不限于)帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,yara的每一条描述、规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。yara规则可以扫描文件或在运行的进...
Sysmon+Splunk(ThreatHunting)的实践(二)
本来上期说ThreatHunting效果一般,实践一次不再搞了,这周找到一个别人完美安装的metasploitable3-win2k8.box,就顺手也又试了一下ThreatHunting,虽然也还是...
Sysmon+Splunk(ThreatHunting)的实践
这个Splunk上的app,ThreatHunting,忍了它很久了,终于本周实践了一下,效果一般,也就这一期吧,这个app的官方地址,https://splunkbase.splunk.com/ap...