Loki: мой опыт использования легковесного IOC-сканера для глубокой проверки системы

Если вы хоть немного интересуетесь темой кибербезопасности, наверняка сталкивались с таким понятием, как «IOC-сканер». Для меня это уже привычная часть инструментов при проверке подозрительных файлов или в поисках скрытых угроз на своем (и не только) компьютере. Сегодня хочу поделиться личным опытом знакомства с Loki — легковесной, но очень цепкой утилитой для поиска следов взломов и вредоносных программ.

Кто такой Loki и что он умеет?

Loki — это бесплатный и очень компактный инструмент для Windows и Linux, который сканирует систему на предмет «индикаторов компрометации» (IOC, от Indicators Of Compromise). Если совсем просто — он ищет следы, по которым можно заподозрить, что на компьютере поселился вредоносный код, либо им кто-то уже активно пользовался злоумышленник.

Что такое эти самые IOC?

IOC — это маркеры или "отпечатки", по которым можно определить, что с техникой происходило что-то нехорошее. К примеру, подозрительные хэши файлов (MD5, SHA1, SHA256), части вредоносного кода, результаты ранее опубликованных расследований инцидентов. Loki ищет все эти сигналы — плюс позволяет добавлять свои.

Для меня это как второй невидимый сторож, который видит чуть больше, чем стандартный антивирус, поскольку база «отпечатков» тут реальная, открытая и редактируемая. То есть, если появился новый вирус — вы или ваша команда можете добавить новые правила и тестировать их моментально. Удобно для исследователей и ИБ-энтузиастов.

Технологии внутри: немного о YARA, Thor и открытости

Loki не возник на ровном месте. Он использует части кода и правил из YARA (стандартная утилита для анализа вредоносов, многие её знают) и Thor (промышленный инструмент того же разработчика, что Loki, более "тяжелый" и для корпоративной среды).

Важно: база IOC в Loki — в открытом виде. Можно вручную поправить любую сигнатуру, добавить или убрать правила. У меня был реальный кейс, когда нужно было срочно проверить систему на очень свежую угрозу, и публичных антивирусных баз еще не было — добавил свой хэш, запустил скан — и сразу вижу результат.

Насколько глубоко сканирует? Примеры из практики

Loki умеет разное:

• Проверка локального диска или всех дисков сразу: можно выбрать быстренько пробежаться по «C:», или полностью исследовать весь компьютер.
• Интенсивный режим: если времени много и нужно копать максимально глубоко — есть специальная опция.
• Проверка на руткиты и уязвимости: не просто ищет файлы, но и анализирует системы на попытки скрыться на глубоком уровне.
• Работа с логами: удобно — предупреждения и тревоги можно настраивать, например, чтобы выводились только важные сигналы, или сразу подробные описания причины.

В отличие от обычных антивирусов, Loki даёт цветовую индикацию: всё красное — однозначно плохо, желтое — требует внимания, зеленое — можно выдохнуть. Очень наглядно, особенно для тех, кто параллельно изучает, как работает анализ угроз.

Как запускать и что смотреть после?

Есть подробная документация на официальном GitHub — секции «How-To Run LOKI and Analyse the Reports» и «Usage». На деле всё просто:

1. Распаковали архив (установка не нужна).
2. Запустили скрипт/исполняемый файл.
3. Ввели опции (можно без них, если просто хочется «автомат»).
4. Дождались окончания: увидели логи — смотрим на цветные зоны.

Реальный пример из жизни: на старом ноутбуке мой знакомый жаловался на постоянные тормоза, но защитник Windows ничего не находил. Прогнал Loki — увидел подозрительные файлы в системных папках с хэшами из свежего репорта вирусного всплеска. Погуглил, убедился, что это действительно опасно — и вручную удалил. Эксперимент удался!

Для кого и когда Loki особенно полезен?

• Исследователи вредоносных программ: легко добавлять свои правила, верифицировать гипотезы на живой машине.
• Админы в компаниях: Loki можно развернуть на многих машинах, собрать логи и понять, где скрываются реальные проблемы.
• Обычные пользователи: честно, не перегружено опциями, разобраться можно и без спецподготовки.

Кстати, для продвинутых — поддержка удалённых syslog-систем для централизованного сбора логов, настройка протокола передачи данных, возможность сообщать о ложных срабатываниях (это плюс к доверию — значит, продукт развивается и учитывает пользовательский опыт).

В чем ограничения и на что обратить внимание?

Loki — это не антивирус в классическом понимании (он не блокирует угрозы в режиме реального времени), а больше аналитический сканер. Зато его можно держать «про запас» и запускать тогда, когда остальное не помогло.

Ложные срабатывания бывают (особенно если большие кастомные базы), но продукт позволяет их оперативно отправлять на доработку или просто игнорировать, если знаете — что за файл.

Безопасность передачи данных — настройте протоколы, если боитесь отправки отчётов (иногда бывает важно для корпоративной среды).

Заключение: стоит ли пробовать?

Если вы привыкли довольствоваться только встроенным антивирусом, Loki расширит ваши возможности. Его легко запускать, не требуется установки, дает наглядные отчеты, а база «отпечатков» постоянно обновляется и настраивается.

Лично мне нравится его гибкость и прозрачность: можно развернуть у друга, быстро поймать свежий мусор, вручную проверить результат и быть уверенным, что не остался в неведении. Да, это не панацея, но замечательный второй уровень проверки в вашей системе защиты.

Официальная страница и инструкции: github.com/Neo23x0/Loki

Если будет что-то новое по работе Loki или найду кейс с интересным вредоносом — обязательно поделюсь.

По материалам официального GitHub, опыту работы с инструментом в домашних и рабочих условиях, а также обзорам специалистов по malware-аналитике (например, Bleeping Computer и Kaspersky.)

Аркадий Кузнецов

IT-эксперт • 15+ лет опыта в тестировании программного обеспечения

Несколько лет увлекаюсь тестированием софта различных категорий. За годы работы протестировал более 20000+ программ, помог тысячам пользователей выбрать подходящие решения. Регулярно публикую обзоры на основе реального опыта использования.

Связаться: ВКонтакте

Все обзоры основаны на личном опыте тестирования. Не сотрудничаю с производителями ПО — только честные оценки.

Похожие программы

Trend Micro Maximum Security

Trend Micro Maximum Security защищает ваши устройства, оптимизирует систему и обеспечивает безопасность в интернете.

360 Total Security

Комплексная защита и оптимизация вашего компьютера с 360 Total Security

NANO AntiVirus Pro

NANO AntiVirus Pro — простое антивирусное решение с защитой в реальном времени и карантином.

Advanced SystemCare Ultimate Offline Database

Обновляйте антивирусную базу данных Advanced SystemCare Ultimate без интернета.

Emsisoft Commandline Scanner

Сканируйте компьютер на наличие вредоносного ПО с помощью Emsisoft Commandline Scanner. Работайте через командную строку...

Dr.WEB CureIt!

Быстрое сканирование системы на наличие вредоносных программ

VirIT eXplorer Lite

Комплексное программное обеспечение для обеспечения безопасности вашего компьютера

Dr.Web Security Space

Комплексная защита компьютера с Dr.Web Security Space включает антивирус, родительский контроль, сканирование критически...

AppCheck

Защита от программ-вымогателей с AppCheck Anti-Ransomware

Avira Antivirus Pro

Avira Antivirus Pro обеспечивает защиту в реальном времени и предлагает различные типы сканирования.