文章总结： pyrsistencesniper是一款基于Python开发的跨平台恶意软件持久化检测工具，可扫描Windows、Linux和macOS系统上的117种持久化技术。该工具支持直接分析磁盘镜像、Velociraptor集合和KAPE转储文件，通过libregf库原生解析注册表单元实现30秒内完成高负载系统扫描。其核心能力包括基于Authenticode签名的过滤机制、YAML检测配置文件自定义规则、自动添加文件存在性/SHA-256哈希/LOLBIN分类等注释，并支持将结果导出为控制台、CSV、HTML及XLSX格式，有效提升事件响应效率。 综合评分： 100 文章分类： 恶意软件,安全工具,应急响应,终端安全

PyrsistenceSniper – 一款能够检测 Windows、Linux 和 macOS 系统上 117 种持久性恶意软件技术的工具

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月24日 16:05 北京

在小说阅读器读本章

去阅读

PyrsistenceSniper 是一款用于检测离线持久性的高级工具，使网络安全分析师能够识别 Windows、Linux 和 macOS 平台上的 117 种不同的持久性机制。

Hexastrike 开发的这款基于 Python 的解决方案最初受到 Autoruns 和 PersistenceSniper 的启发，无需实时访问系统即可快速对取证收集进行分类。

根据 Hexastrike GitHub 代码库的描述，PyrsistenceSniper 可以直接扫描已挂载的磁盘镜像、Velociraptor集合和 KAPE 转储文件。该工具利用 libregf 库原生解析注册表单元，因此能够在 30 秒内完成对高负载系统的全面扫描。

Hexastrike 的分析师解释说，调查人员可以利用基于签名的过滤来验证 Authenticode 签名，并将真正的恶意持久化与默认操作系统噪声区分开来。

PyrsistenceSniper 检测到 117 种持久化技术

命令行界面提供详细的终端输出，根据公认的 MITRE ATT&CK 技术以可视化的方式标记异常情况。

pip install pyrsistencesniper # Scan a KAPE collection python -m pyrsistencesniper /mnt/case042/C # HTML report for client delivery python -m pyrsistencesniper /mnt/case042/C –format html –output report.html # Filter to specific ATT&CK techniques python -m pyrsistencesniper /mnt/case042/C –technique T1547 T1546

安全研究人员报告称，PyrsistenceSniper 支持对 NTUSER.DAT 或 SYSTEM 注册表单元等隔离文件进行独立工件扫描，这在无法获取完整目录结构时尤其有用。

主要能力

• 基于签名的过滤 ——Authenticode 验证将合法的操作系统默认设置与持久性条目区分开来，包括基于值的白名单无法识别的已交换二进制文件和 DLL 代理。
• YAML 检测配置文件 ——允许和阻止规则可全局配置或针对每个检查进行配置。无需修改代码库即可使检查适应客户基线。
• 查找增强功能 — 每个结果都会自动添加文件存在性、SHA-256 哈希值、Authenticode 签名者和 LOLBin 分类的注释。
• 单文件插件系统 ——添加新的持久性检查只需要一个文件。声明式检查无需重写方法；复杂的逻辑只需重写一个 run() 方法。

Maurice Fielenbach 指出，每个发现都会自动添加文件存在性检查、SHA-256 哈希值和已知的 LOLBin 分类，以简化事件响应过程。

网络安全专业人员可以部署基于 YAML 的检测配置文件，以全局或针对单个检查自定义允许和阻止规则。

Hexastrike 文档解释说，该系统会优先处理阻止规则，自动将匹配项归类为高严重性，同时过滤掉已知良好的实体，例如 Microsoft 签名的二进制文件。

威胁猎手强调，这种有针对性的抑制机制可以消除冗余警报，在取证分析期间通常可将总输出量减少高达 90%。

Hexastrike 将该工具独特的持久性检查与九种不同的 MITRE ATT&CK 技术直接结合起来，以确保标准化的威胁报告。

PyrsistenceSniper 涵盖 117 项检查，涉及最常被滥用的 Windows 持久化攻击途径：

| MITRE ID | 技术 | 检查 | | — | — | — | | T1547 | 启动/登录自动启动执行 | 43 | | T1546 | 事件触发执行 | 36 | | T1574 | 劫持执行流程 | 24 | | T1137 | 办公应用程序启动 | 7 | | T1543 | 创建或修改系统进程 | 3 | | T1053 | 计划任务/作业 | 2 | | T1556 | 修改身份验证流程 | 2 |

安全团队利用这些分类来追踪各种机制，从被劫持的执行流程到被篡改的身份验证过程，涵盖了所有受感染的环境。下表展示了 PyrsistenceSniper 识别出的部分具体持久化技术。

法医调查人员 可以将 PyrsistenceSniper 的调查结果导出为各种格式，包括控制台、CSV、HTML 和 XLSX，以便与现有的分析工作流程无缝集成。

Maurice Fielenbach 重点介绍了最近的更新，这些更新引入了交互式 HTML 报告，允许防御者动态筛选和排序严重性评级。

事件响应团队经常使用 CSV 和 XLSX 输出，同时堆叠多个受损系统中的异常指标。

安全工程师可以使用标准包管理器直接从 Python 包索引安装 PyrsistenceSniper，也可以通过从官方源代码编译来安装。

开发团队还提供了一个官方的 Docker 容器，使分析人员无需配置本地 Python 环境或系统依赖项即可扫描分类数据集。数字取证专业人员经常利用这种容器化方法，在事件响应过程中动态导出完整的 HTML 报告和 CSV 文件。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《PyrsistenceSniper – 一款能够检测 Windows、Linux 和 macOS 系统上 117 种持久性恶意软件技术的工具》