Anti-Virus False Positives

Warning: You will get false positives from certain anti-virus programs like Windows Defender and Web Browsers saying they have detected malicious files. They are detecting on Sigma .yml files that are not executable and just contain certain signatures from malware. They are not malicious. If you are running Hayabusa for live analysis and do not want to cause any anti-virus alerts, be sure to use the live response packages that use encoded Sigma rules.

3.7.0 [2025/11/15] - CODE BLUE Release

New Features:

• Added a -V, --validate-checksums option to check chunk header checksums in the csv-timeline and json-timeline commands. (#1709) (@fukusuket)

Enhancements:

• Added four new command-line options --include-channel, --exclude-channel, --include-filename, and --exclude-filename to the log-metrics command. (#1715) (@fukusuket)
• Updated the Timesketch install readme to support Timesketch on ARM-based Macs. (#1719) (@fukusuket)

Bug Fixes:

• When validate_checksum is disabled (default), an infinite loop and memory leak when the data_size of an event is set to zero was fixed. (omerbenamram/evtx#264)
• -t, --threads was not working in the computer-metrics and search commands. (#1563) (@hach1yon)
• computer-metrics was giving incorrect results when logs from multiple comuters were scanned. (#1713) (@fukusuket)

アンチウィルスの過検知

注意: ウェブブラウザやWindows Defenderのような一部のアンチウイルス製品が、悪意のあるファイルを検出したと誤検知を出すことがあります。これは実行可能ではない Sigmaの.ymlファイル内にマルウェアのシグネチャに該当する記述が含まれているためであって、当該ファイル自体は悪意のあるものではありません。Hayabusa をライブ調査で実行していてアンチウイルスのアラートを出したくない場合は、Sigmaルールをエンコードしたライブレスポンス用のパッケージを必ず使用してください。

3.7.0 [2025/11/15] - CODE BLUE Release

新機能:

• csv-timelineおよびjson-timelineコマンドでチャンクヘッダーのチェックサムを確認する-V, --validate-checksumsオプションを追加した。 (#1709) (@fukusuket)

改善:

• log-metricsコマンドに、4つの新しいコマンドラインオプション --include-channel、--exclude-channel、--include-filename、--exclude-filename を追加した。 (#1715) (@fukusuket)
• Timesketchのインストール用Readmeを更新し、ARMベースのMacでのTimesketchサポートを追加した。 (#1719) (@fukusuket)

バグ修正:

• validate_checksumが無効（デフォルト設定）になっている場合、イベントのdata_sizeがゼロに設定されていると、無限ループとメモリリークが発生する問題が修正された。 (omerbenamram/evtx#264)
• -t, --threadsオプションがcomputer-metricsおよびsearchコマンドで機能していなかった。(#1563) (@hach1yon)
• 複数のコンピュータからのログをスキャンした際、log-metricsが誤った結果を返していた。 (#1713) (@fukusuket)