【蓝队福利】D-eyes木马查杀与微步的一次巧妙结合

基本介绍

D-Eyes是绿盟科技的一款检测与响应工具，具备勒索挖矿病毒及Webshell等恶意样本排查检测，辅助安全工程师应急响应时排查入侵痕迹，定位恶意样本，而在使用过程中我们可以将它与微步的查杀规则进行结合，相当于将微步搬移到本地进行查杀操作，这对于需要隔离进行排查的场景来说非常非常有帮助

工具安装

项目地址：https://github.com/m-sec-org/d-eyes

扫描规则库：https://github.com/VirusTotal/yara

下载安装包并在当前目录打开powershell执行".\D-Eyes.exe -h"查看工具所有参数说明(使用powershell去执行工具程序，得到的回显结果会比cmd更完整或重定向输出到txt)

.\D-Eyes.exe -h

工具使用

磁盘扫描

我们可以使用D-eyes进行磁盘目录扫描探测，如果扫到恶意文件便会在D-Eyes所在目录下自动生成扫描结果D-Eyes.xlsx文件，若未检测到恶意文件则不会生成文件，会在终端进行提示，在扫描时我们可以使用默认的扫描探测，例如：在Windows平台中我们直接执行如下命令会默认去扫描"C://"

D-Eyes.exe fs

我们也可以制定特定的目录去扫描，例如：

D-Eyes.exe fs -P C:\Windows\TEMP,D:\tmp -t 3

进程扫描

我们可以使用D-eyes进行进程扫描，扫描的结果在终端上提示，我们可以执行以下命令进行全部的进程扫描：

D-Eyes.exe ps

最后会给出扫描后整理的结果：

计划任务

通过执行以下命令获取计划任务信息：

D-Eyes.exe task

自启动类

通过执行以下命令扫描检测自启动项：

D-Eyes.exe autoruns

文末小结

本篇文章我们主要介绍了如何通过使用D-eyes进行木马查杀，该工具的另外一个好处在于可以结合最新的微步扫描规则进行全范围的扫描探测，相当于是将微博平台搬到本地来运行检测，另外的一个好处是进程探测、计划任务扫描探测能力，这两点可以很好的帮助我们进行应急排查分析~