scanner
源码:https://github.com/bytedance/Elkeid/tree/main/plugins/scanner
关于 Yara Scanner 插件
Yara Scanner 使用 yara 规则对系统进程和敏感目录进行周期扫描,并使用fanotify监控敏感目录文件变动,以发现可疑静态文件(UPX/挖矿二进制/挖矿脚本/可疑脚本文件/...)。
平台兼容性
与Elkeid Agent相同。
其他
参考 https://github.com/bytedance/Elkeid/blob/main/plugins/scanner/README-zh_CN.md