scanner

源码:https://github.com/bytedance/Elkeid/tree/main/plugins/scanner

关于 Yara Scanner 插件

Yara Scanner 使用 yara 规则对系统进程和敏感目录进行周期扫描,并使用fanotify监控敏感目录文件变动,以发现可疑静态文件(UPX/挖矿二进制/挖矿脚本/可疑脚本文件/...)。

平台兼容性

Elkeid Agent相同。

其他

参考 https://github.com/bytedance/Elkeid/blob/main/plugins/scanner/README-zh_CN.md