THOR tập trung vào mọi thứ mà Antivirus bỏ sót. Với bộ chữ ký khổng lồ gồm hàng nghìn quy tắc YARA và Sigma, IOC, rootkit và kiểm tra sự bất thường, THOR có thể xử lý tất cả các loại mối đe dọa. THOR không chỉ phát hiện các cửa hậu và công cụ mà kẻ tấn công sử dụng mà còn phát hiện cả kết quả đầu ra, tệp tạm thời, thay đổi cấu hình hệ thống và các dấu vết khác của hoạt động độc hại.

THOR không cần phải cài đặt. Bạn chỉ có thể sao chép nó vào một hệ thống từ xa, chạy nó từ mạng chia sẻ hoặc sử dụng nó trên các ổ USB mà bạn mang theo đến các hệ thống bị ảnh hưởng.

Tuy nhiên, bạn có thể triển khai nó để đánh giá sự xâm phạm liên tục bằng cách sử dụng agent ASGARD.

THOR hỗ trợ nhiều cách khác nhau để báo cáo phát hiện. Nó viết nhật ký văn bản hoặc gửi tin nhắn SYSLOG đến hệ thống từ xa (TCP, UDP, CEF, JSON, TLS tùy chọn). Một báo cáo HTML được tạo vào cuối quá trình quét. Bạn có thể sử dụng Ứng dụng Splunk miễn phí hoặc Buồng phân tích ASGARD để phân tích các báo cáo của THOR về hàng nghìn hệ thống.

Bạn có thể dễ dàng thêm các chỉ báo và chữ ký của riêng mình từ nguồn cấp dữ liệu về mối đe dọa, các cuộc điều tra hoặc báo cáo về mối đe dọa của riêng bạn.

Công cụ hủy thông tin xác thực từ lâu đã được coi là cái gọi là công cụ sử dụng kép. Chỉ gần đây các công cụ chống vi-rút mới bắt đầu báo cáo chúng nhưng không phải tất cả các nhà cung cấp phần mềm chống vi-rút đều tuân theo thông lệ đó.

Nhiều công cụ chống vi-rút gặp sự cố khi phát hiện web shell. Điều này có thể là do nội dung của chúng có thể bị thay đổi dễ dàng và theo nhiều cách. THOR có nhiều quy tắc web shell và quy tắc săn lùng mối đe dọa nhằm phát hiện các đặc điểm đặc biệt thường thấy trong web shell.

Những kẻ tấn công không chỉ thả công cụ vào hệ thống cuối. Họ cũng sử dụng chúng. Việc thực thi các công cụ này để lại dấu vết trong bộ đệm và trên đĩa. THOR phát hiện nhiều tệp đầu ra được tạo bởi các công cụ hack và cho biết cách sử dụng chúng ngay cả khi tệp thực thi đã bị đối thủ xóa.

Trong khi làm việc trên các hệ thống bị xâm nhập, kẻ tấn công để lại dấu vết công việc của chúng, ngay cả khi không có phần mềm độc hại hoặc công cụ hack nào liên quan. THOR phát hiện các tệp tạm thời như kết xuất bộ nhớ quy trình của quy trình LSASS, chứa thông tin xác thực và kẻ tấn công có thể sử dụng để trích xuất các thông tin xác thực này trên hệ thống từ xa.

Phân tích Eventlog phân tích nhật ký sự kiện Windows cục bộ, kiểm tra IOC (ví dụ: IOC tên tệp) trong các mục nhập và áp dụng quy tắc Sigma cho từng mục nhật ký.

Một tính năng có tên THOR Remote cho phép bạn quét nhiều hệ thống cuối Windows từ một máy trạm đặc quyền duy nhất. Hãy coi nó như một PsExec kết hợp với sức mạnh của THOR.

Mô-đun Sổ đăng ký áp dụng tên tệp IOC và các quy tắc YARA của THOR để phát hiện Sổ đăng ký cho Sổ đăng ký và Tổ chức đăng ký đã tải.

Mô-đun SHIM Cache phân tích nội dung của AppCompatCache trên hệ thống Windows, áp dụng tất cả IOC tên tệp, quy tắc biểu thức chính quy bất thường hoặc chỉ in ra tất cả các mục để bạn xem xét. Mô-đun này cho phép bạn phát hiện các mục nhập độc hại hoặc đáng ngờ của các chương trình đã bị đối thủ xóa từ lâu.