增加白名单、进程链增加详细信息
增加白名单、进程链增加详细信息
This commit is contained in:
huoji
12
README.md
12
README.md
@@ -21,16 +21,23 @@ https://key08.com/index.php/2022/08/09/1505.html
|
||||
5. 对RPC、COM、ALPC基本无能为力
|
||||
6. 不支持更高级的扩展检测,如检测脚本、下发规则,主机链
|
||||
7. 受限于Sysmon,很多att&ck的T没有覆盖,也无法覆盖.
|
||||
8. 没有响应能力,只能被动记录.
|
||||
请牢记,RmEye自身定位是轻量级威胁检出工具
|
||||
|
||||
### 最新新闻
|
||||
|
||||
2022/8/31:
|
||||
增加进程白名单系统,现在能给进程加白名单了.在打开进程链后,点击某个进程加入白名单即可
|
||||
|
||||
2022/8/29:
|
||||
增加uac提权检测插件`uac_bypass_detect`,但是受限于sysmon,没有办法获取RPC信息,因此只能检测一部分的UAC提权行为.并且有误报,请酌情考虑
|
||||
|
||||
### 检出截图
|
||||
威胁列表:
|
||||
|
||||
powershell:
|
||||
进程链行为回溯
|
||||
|
||||
powershell恶意执行:
|
||||
|
||||
apt样本:
|
||||
|
||||
@@ -148,8 +155,7 @@ https://github.com/SwiftOnSecurity/sysmon-config
|
||||
|
||||
### 交流
|
||||
开源的目的不是为了免费填鸭式教学,或者被免费拿去发公众号引流、去拿去集成产品方案去赚钱,而是要一起完善这个工具,从而实现共赢.
|
||||
扫一扫加入这个工具内部测试群,这样就能获取实时动态
|
||||
|
||||
扫一扫加入这个工具的交流群,这样就能获取实时动态.参与开发、参与交流规则编写等等.欢迎加入
|
||||
|
||||
|
||||
### 特别感谢
|
||||
|
||||
Reference in New Issue
Block a user