THOR-Lite besteht aus den beiden ausführbaren Programmen thor64-lite.exe und thor-lite-util.exe. Eine Installation ist nicht erforderlich, die Anwendungen können direkt in einer Eingabeaufforderung oder einer Batch-Datei ausgeführt werden. Entpacken Sie das Zip-Archiv, benennen Sie es in THOR-Lite um (optional) und speichern Sie es in einem beliebigen Pfad (z.B. C:\orgfiles\THOR-Lite). Kopieren Sie den Lizenzschlüssel in das Programmverzeichnis.
Programme und Konfigurationsdateien
Das Programmverzeichnis von THOR-Lite enthält alle notwendigen Programme und Konfigurationsdateien. Die wichtigsten sind:
thor64-lite.exe: Ist die Hauptkomponente von THOR-Lite und führt die eigentliche Suche nach Bedrohungen durch. Es durchsucht das System nach verdächtigen Dateien, Prozessen, Registrierungseinträgen und anderen Indikatoren für kompromittierte Systeme.thor-lite-util.exe: Ist ein Hilfsprogramm für Wartungsaufgaben, insbesondere für die Aktualisierung von Signaturen und Regeln, um sicherzustellen, dass THOR-Lite immer mit den neuesten Detektionsmethoden und Signaturen arbeitet..\config\directory-excludes.cfg: Enthält eine Liste von Verzeichnissen, die von der Überprüfung ausgeschlossen werden sollen. Hier können Pfade mit sensiblen Dateien wie Datenbanken oder Verzeichnisse mit vielen großen oder grundsätzlich unverdächtigen Dateien definiert werden, die nicht auf Bedrohungen geprüft werden sollen..\config\false_positive_filters.cfg: Wird verwendet, um bekannte Fehlalarme (False Positives) herauszufiltern. Diese Datei enthält Regeln, um bestimmte Dateien, Prozesse oder Muster auszuschließen, die fälschlicherweise als verdächtig eingestuft wurden, aber in der Umgebung als sicher gelten.
Lizenzschlüssel
Kopieren Sie den Lizenzschlüssel, den Sie bei der Registrierung erhalten haben, in das Programmverzeichnis. THOR überprüft beim Programmstart das Vorhandensein und die Gültigkeit des Lizenzschlüssels.
Signaturupdate
Führen Sie vor jedem Scan ein Upgrade der Signaturdatenbank durch. Stellen Sie auch bei geplanten Tasks sicher, dass vor dem Scannen immer ein Upgrade durchgeführt wird:
PS C:\orgfiles\THOR-Lite> .\thor-lite-util.exe upgrade
Mar 2 14:41:10 11-pc-1 THOR_LITE_UTIL: Info: Starting Upgrade Process
Mar 2 14:41:11 11-pc-1 THOR_LITE_UTIL: Info: License file found OWNER: <email> TYPE: THOR Lite STARTS: 2025/01/02 EXPIRES: 2025/07/06
Mar 2 14:41:11 11-pc-1 THOR_LITE_UTIL: Info: Downloading 'thorlite-win'
Mar 2 14:41:11 11-pc-1 THOR_LITE_UTIL: Info: already up-to-date
Mar 2 14:41:11 11-pc-1 THOR_LITE_UTIL: Info: THOR 10 detected, also updating signatures ...
Mar 2 14:41:11 11-pc-1 THOR_LITE_UTIL: Info: Starting Upgrade Process
Mar 2 14:41:11 11-pc-1 THOR_LITE_UTIL: Info: License file found OWNER: <email> TYPE: THOR Lite STARTS: 2025/01/02 EXPIRES: 2025/07/06
Mar 2 14:41:11 11-pc-1 THOR_LITE_UTIL: Info: Downloading 'signatures-lite'
Mar 2 14:41:12 11-pc-1 THOR_LITE_UTIL: Info: already up-to-dateScan unter Verwendung von Standardeinstellungen
Der einfachste Weg, einen System-Scan durchzuführen, ist das Ausführen des Programms thor64-lite.exe. Zu Beginn des Scans werden die in der THOR-Lite-Version deaktivierten Module, die eingestellten Parameter sowie Versionsinformationen zum Scanner und seinen Signaturdatenbanken angezeigt. Am Ende wird sowohl in der Eingabeaufforderung (falls das Programm in einer Konsole gestartet wurde) eine Zusammenfassung des Scan-Ergebnisses angezeigt, als auch, falls kein expliziter Log-Pfad angegeben wurde, eine Text-, eine CSV- und eine HTML-Datei mit den Scan-Ergebnissen im Programmverzeichnis abgelegt:
PS C:\orgfiles\THOR-Lite> .\thor64-lite.exe
[...]
Results
Info Results ALERTS: 0 WARNINGS: 0 NOTICES: 2 ERRORS: 0
Info For details see the log files written to ["11-PC-1_thor_2025-03-02_1553.txt" "11-PC-1_thor_2025-03-02_1553.html"]
Info Begin Time: Sun Mar 2 15:53:43 2025
Info End Time: Sun Mar 2 16:38:35 2025
Info Scan took 0 hours 44 mins 51 secs
Info Thor Scan finished END_TIME: Sun Mar 2 16:38:35 2025 ALERTS: 0 WARNINGS: 0 NOTICES: 2 ERRORS: 0
