Spyre入侵威胁指标(IoC)扫描工具使用指南

git clone https://github.com/spyre-project/spyre.git

make gcc gcc-multilib gcc-mingw-w64 autoconf automake libtool pkg-config wget patch sed golang-$VERSION-go git-core ca-certificates zip

make gcc mingw{32,64}-gcc mingw{32,64}-winpthreads-static autoconf automake libtool pkgconf-pkg-config wget patch sed golang git-core ca-certificates zip

make  # 常规构建
make release  # 创建支持所有操作系统架构的ZIP文件

Spyre入侵威胁指标(IoC)扫描工具使用指南 1. Spyre工具概述 Spyre是一款基于YARA模式匹配引擎构建的功能强大的主机入侵威胁指标(IoC)扫描工具，主要用于简化YARA规则操作和实现高效的IoC扫描。 主要特点 基于YARA规则进行文件系统和进程内存扫描 支持32位和64位的Linux及Windows平台 可作为事件响应与调查工具使用 不提供终端设备保护服务(仅检测功能) 2. 系统要求与安装 2.1 下载源码 2.2 构建环境要求 Debian Buster(10.x)及更新版本 需要安装以下组件包： Fedora 30及更新版本 需要安装以下组件包： 2.3 构建命令 构建完成后，生成的文件位于 _build/<triplet>/ 目录下。 3. 配置与参数 3.1 配置方式 可通过命令行参数或 params.txt 文件传递运行时参数(以 # 开头的行将被忽略) 3.2 主要配置参数 | 参数 | 描述 | |------|------| | --high-priority | 指示OS调度器降低CPU和I/O优先级(默认行为) | | --set-hostname=NAME | 在报告中显式设置主机名 | | --report=SPEC | 设置日志等级(trace, debug, info, notice, warn, error, quiet) | | --path=PATHLIST | 设置待扫描的文件系统路径 | | --yara-file-rules=FILELIST | 设置文件扫描的YARA规则文件 | | --yara-proc-rules=FILELIST | 设置进程内存扫描的YARA规则文件 | | --ioc-file=FILE | 使用YARA设置要扫描的文件最大大小 | | --proc-ignore=NAMELIST | 设置不需要扫描的进程名称 | 4. YARA规则配置 4.1 规则文件 文件扫描规则： filescan.yar 进程内存扫描规则： procscan.yar 4.2 规则提供方式 将规则文件添加至ZIP文件并嵌入代码中 将规则文件添加至 $PROGRAM.zip (如 spyre.zip ) 将规则文件放在源码相同目录 4.3 特殊处理 ZIP文件使用密码"infected"加密(防止反病毒软件干扰) YARA规则文件可包含include语句 4.4 YARA配置选项 | 选项 | 功能 | |------|------| | --disable-magic | 禁用magic功能 | | --disable-cuckoo | 禁用cuckoo功能 | | --enable-dotnet | 启用.NET支持 | | --enable-macho | 启用Mach-O支持 | | --enable-dex | 启用DEX支持 | 5. 使用流程 准备YARA规则 ：从 awesome-yara 获取或自定义规则 配置规则文件 ：按上述方式提供规则 运行扫描器 ：执行构建后的Spyre程序 获取报告 ：扫描完成后生成检测报告 6. 注意事项 Spyre仅用于检测，不提供防护功能 规则文件加密可避免被反病毒软件误判 默认会降低系统优先级以避免影响正常操作 支持跨平台使用，但构建环境需按系统要求配置 7. 资源参考 项目地址: Spyre GitHub YARA规则参考: awesome-yara 许可证: GNU开源许可证 通过以上指南，用户可以全面了解Spyre工具的功能特性、安装配置和使用方法，有效利用该工具进行主机入侵威胁指标的检测和分析。