Spyre
Spyre是一款功能强大的基于主机的IoC扫描工具,该工具基于YARA模式匹配引擎和其他扫描模块构建。其主要功能是简化YARA规则的操作,并帮助广大研究人员更好地实现入侵威胁指标IoC的扫描。
在使用Spyre时,我们需要提供自己的YARA规则集,关于YARA规则,广大研究人员可以参考awesome-yara库所提供的免费YARA规则集。
广大研究人员可以将Spyre当作一款事件响应与调查工具来使用,不过该工具并不能给终端设备提供任何的保护服务。
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/spyre-project/spyre.git
代码构建
Spyre支持在32位和64位的Linux以及Windows平台上运行。
Debian Buster(10.x)及更新版本
在Debian/Buster系统上,首先需要安装和配置好下列工具组件包:
make
gcc
gcc-multilib</