Loki 开源项目使用指南

项目概述

Loki 是一个简单IOC（指示器-of-compromise）和YARA扫描器，它旨在检测简单的入侵迹象。该项目提供了一个基于四种主要检测方法的安全工具，包括文件名匹配、YARA规则检查、哈希比对以及C2后连接检查。Loki以GPL-3.0许可证发布，并且目前处于被动维护状态，意味着仅合并基本的修复而不添加新功能。

目录结构及介绍

Loki项目采用清晰的组织结构：

• docs: 包含项目相关的文档。
• lib: 存放项目的核心库文件。
• plugins: 插件目录，存放用于扩展Loki功能的插件代码。
• screens: 可能保存一些屏幕截图或示例输出。
• test: 测试文件，用于验证项目功能的正确性。
• tools: 工具脚本，如升级脚本 loki-upgrader.py。
• .gitignore, .gitmodules: 版本控制相关文件。
• travis.yml: Travis CI的配置文件，用于自动化构建和测试。
• LICENSE, Pipfile, requirements.txt: 许可证文件，依赖管理文件。
• README.md: 项目的主要说明文件。
• 主要执行脚本 loki.py 和辅助工具如 loki-upgrader.exe。

项目的启动文件介绍

loki.py

这是Loki的主运行脚本。通过这个Python脚本，用户可以启动扫描过程。它接受多个命令行参数以自定义扫描行为，例如指定扫描路径、设置文件大小限制、日志记录选项等。运行此脚本前需确保满足其运行依赖。

运行示例

在命令行中，你可以像这样运行Loki（确保已安装必要的依赖并有执行权限）:

python loki.py -p /path/to/scan

项目的配置文件介绍

Loki主要依赖命令行参数来定制化扫描行为，没有直接的单一配置文件。然而，从文档和项目结构来看，自定义配置可以通过以下几种方式进行：

• 命令行参数: 用户通过命令行向 loki.py 提供参数进行配置。
• 版本控制系统: 如 .gitmodules, 虽不直接作用于扫描配置，但管理了外部依赖的版本。
• 潜在的配置文件：虽然不在最初提及的结构中，但从V0.16.2起，Loki支持通过 excludes.cfg 文件定义排除规则，位于 config 文件夹内，这是一种间接的配置方式。

为了更复杂的配置需求，可能需要手动调整脚本内部变量或利用环境变量，但这通常不是推荐的做法，除非在深度定制的情景下。

总结，Loki的使用与配置高度依赖于其提供的命令行界面，强调灵活性而非传统的配置文件管理。在实际部署中，理解每个命令行参数的作用对于有效使用Loki至关重要。