ThorAPTScanner（THOR）是一款专注于检测高级持续性威胁（APT）的安全检测工具。它通过使用大量的YARA和Sigma规则、IOCs（Indicators of Compromise）、rootkit检测和异常检查来覆盖各种威胁。THOR能够检测攻击者使用的后门和工具，以及输出文件、临时文件、系统配置变更和其他恶意活动的痕迹。

THOR的特点包括：

- 无需安装，可以直接复制到远程系统、从网络共享运行或使用USB驱动器。

- 支持多种报告方式，包括文本日志、SYSLOG消息和HTML报告。

- 能够检测到杀毒软件可能遗漏的威胁。

- 支持多种操作系统，包括Windows、Linux、macOS和AIX。

- 提供了超过30,000个YARA签名，包括webshell规则、异常规则、恶意软件规则、黑客工具和工具输出规则、恶意脚本和宏规则、漏洞代码规则以及注册表和日志文件匹配规则 。

THOR的检测能力不仅限于SQL注入和XSS，它还覆盖了广泛的攻击技术和工具，包括但不限于：

- 检测rootkit和隐藏的恶意软件。

- 检测系统文件的异常和可疑的PE文件特性。

- 检测黑客工具的输出文件和临时文件。

- 检测系统配置的变更和异常的注册表项。

- 检测网络和系统资源的异常使用模式。

THOR还能够与ASGARD代理一起部署，用于持续的泄露评估，并且可以集成到现有的基础设施和工作流程中。此外，THOR的高检测率在行业内享有盛誉，适合全球范围内的威胁猎人使用 。