FENRIR是THOR和LOKI之后的第三个工具。THOR是我们功能齐全的APT扫描仪，为企业客户提供许多模块和导出类型。LOKI是一个免费且开放的IOC扫描仪，使用YARA作为签名格式。这两个前辈的问题在于，两者都对Linux平台有一定的要求。我们为特定的Linux版本构建THOR，以匹配YARA模块所需的正确libc。LOKI需要在Linux上安装Python和YARA才能运行。

工具基础特性
Bash脚本
无需安装，无需代理
使用常用工具来提取属性，例如md5sum、grep以及不同模式的stat
可在Linux、Unix和macOS系统平台下运行
智能排除（根据文件大小、扩展名和某些目录），以加快扫描速度
不留痕迹

工具使用

Fenrir的运行流程如下：

1、读取IoC文件；

2、获取操作参数，并配置递归扫描的起始路径（目录）；

3、检查lsof输出中的C2服务器；

4、检查需排除的目录（可在脚本的Header中配置）；

5、检查需要扫描的特殊文件扩展名（可在脚本的Header中配置）；

6、检查IoC文件中的文件名（完整路径）是否匹配；

7、检查需要排除的文件大小（可在脚本的Header中配置）；

8、检查文件中的某些字符串（通过grep实现）；

9、检查给定哈希值；

10、检查文件更改和创建时间戳；

工具运行截图

扫描执行，匹配不同类型的demo目录：

文章来与及下载：

https://github.com/Neo23x0/Fenrir