fibratus
v2.3.0
对手传统检测,保护和狩猎
入门»
文档•规则•细丝•下载•讨论
Fibratus通过对行为驱动的规则引擎和Yara内存扫描仪进行审查和主张,检测,保护和消除了高级对手Tradecraft。
事件也可以运送到各种输出水槽中,也可以倾倒以捕获文件以进行本地检查和取证分析。您可以使用细丝使用自己的工具库来扩展纤维,从而利用Python生态系统的力量。
简而言之,纤维咒语是由实时行为检测,记忆扫描和取证能力的支柱定义的。
msiexec安装 $ msiexec /i fibratus-2.3.0-amd64.msi /qn
VaultCmd工具从保险库中列出凭据 $ VaultCmd.exe /listcreds:"Windows Credentials" /all
Credential discovery via VaultCmd.exe应触发并向EventLog发出警报。在这里检查简短的演示。
要充分利用和了解纤维纤维功能,请阅读文档。
检测规则生活在此存储库的rules目录中。 CLI提供了一组命令来探索规则目录,验证规则或从模板创建新规则。
要描述目录中的所有规则,请使用fibratus rules list命令。可以通过-s标志通过斜切策略和技术显示规则摘要。
我们喜欢贡献。要开始为纤维造成贡献,请阅读我们的贡献指南。
由SignPath.io提供的免费代码签名,SignPath Foundation证书。所有版本均自动签名。
由Nedimšabićšabić开发的❤️
使用Karina Slizova设计的徽标
