以下是Internet上有关威胁搜寻工具,信息和资源的一些集合。
1.关萨
- GitHub – 戴夫哈尔/坎萨
- http://trustedsignal.blogspot.com/search/label/Kansa
- http://www.powershellmagazine.com/2014/07/18/kansa-a-powershell-based-incident-response-framework/
- Kansa:基于PowerShell的事件响应框架
用法:
PS C:\ISOScripting\Kansa-master\Kansa-master> .\kansa.ps1 -target testmachine1
VERBOSE: Found Modules\\Modules.conf.
VERBOSE: 跑ning modules:
Get-PrefetchListing
Get-WMIRecentApps
Get-Netstat
Get-DNSCache
Get-ProcsWMI
Get-LogUserAssist
Get-SvcFail
Get-SvcTrigs
Get-WMIEvtFilter
Get-WMIFltConBind
Get-WMIEvtConsumer
Get-PSProfiles
Get-SchedTasks
Get-File
Get-LocalAdmins
VERBOSE: Waiting for Get-PrefetchListing to complete.
Id Name PSJobTypeName State HasMoreData Location Command
-- ---- ------------- ----- ----------- -------- -------
1 Job1 RemoteJob Completed True testmachine1 <#...
VERBOSE: Waiting for Get-WMIRecentApps to complete.
3 Job3 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-Netstat to complete.
5 Job5 RemoteJob Completed True testmachine1 <#...
VERBOSE: Waiting for Get-DNSCache to complete.
7 Job7 RemoteJob Completed True testmachine1 <#...
VERBOSE: Waiting for Get-ProcsWMI to complete.
9 Job9 RemoteJob Completed True testmachine1 <#...
VERBOSE: Waiting for Get-LogUserAssist to complete.
11 Job11 RemoteJob Failed True testmachine1 <#...
VERBOSE: Waiting for Get-SvcFail to complete.
13 Job13 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-SvcTrigs to complete.
15 Job15 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-WMIEvtFilter to complete.
17 Job17 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-WMIFltConBind to complete.
19 Job19 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-WMIEvtConsumer to complete.
21 Job21 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-PSProfiles to complete.
23 Job23 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-SchedTasks to complete.
25 Job25 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-File C:\Windows\WindowsUpdate.log to complete.
27 Job27 RemoteJob Failed False testmachine1 <# ...
VERBOSE: Waiting for Get-LocalAdmins to complete.
29 Job29 RemoteJob Failed False testmachine1 <#...
Script completed with warnings or errors. See C:\ISOScripting\Kansa-master\Kansa-master\Output_20181029102057\Error.Log
for details.
PS C:\ISOScripting\Kansa-master\Kansa-master> ls
Directory: C:\ISOScripting\Kansa-master\Kansa-master
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 29/10/2018 8:54 AM Analysis
d----- 29/10/2018 8:54 AM Modules
d----- 29/10/2018 10:18 AM Output_20181029101813
d----- 29/10/2018 10:18 AM Output_20181029101855
d----- 29/10/2018 10:19 AM Output_20181029101903
d----- 29/10/2018 10:20 AM Output_20181029102044
d----- 29/10/2018 10:27 AM Output_20181029102057
-a---- 29/10/2018 8:54 AM 89 .gitignore
-a---- 29/10/2018 8:54 AM 3217 CODE_OF_CONDUCT.md
-a---- 29/10/2018 8:54 AM 3540 contributing.md
-a---- 29/10/2018 8:54 AM 50110 kansa.ps1
-a---- 29/10/2018 8:54 AM 11323 LICENSE
-a---- 29/10/2018 8:54 AM 3212 MSLimitedPublicLicense.txt
-a---- 29/10/2018 8:54 AM 3770 README.md
PS C:\ISOScripting\Kansa-master\Kansa-master>
2. 令人敬畏的事件响应
它是用于安全事件响应的精选工具和资源的清单,旨在帮助安全分析人员和DFIR团队。
3.工具可以扫描远程网络驱动器。
- 超级反间谍软件 –它可以扫描远程共享网络驱动器,自从2015年以来,MalwareBytes就无法进行扫描
- EMCO网络恶意软件清除程序 –
- Emsisoft – Emsisoft Anit恶意软件
4.扫描和修复系统的步骤
4.1下载 恶意软件版本3
双击安装程序,然后按照提示进行操作。如有必要,请选择“蓝色帮助”选项卡以获取视频说明...。
安装完成或已安装Malwarebytes后,请执行以下操作:
打开恶意软件字节,选择> “settings” > “protection tab”
向下滚动到“扫描选项”,确保“扫描Rootkit”和“在存档中扫描”都处于打开状态。
返回“ DashBoard”,选择蓝色的“立即扫描”选项卡……
扫描完成后 处理任何找到的条目…
要从Malwarebytes获取日志,请执行以下操作:
- 点击 报告 tab >从主界面。
- 双击 扫瞄 该日志显示刚刚执行的扫描的日期和时间。
- 请点击 出口 >从导出中,您有两个选择:
复制到剪贴板 –如果选择了右键,请单击右键单击您的答复,然后选择“粘贴”日志将粘贴到您的答复中
文字档(* .txt) –如果选中,则必须命名文件并保存到选择的位置,建议使用“桌面”,然后附加以回复
- 请使用“复制到剪贴板,然后右键单击以回复>选择“粘贴”,它将日志复制到您的回复中…
4.2 下载 Farbar恢复扫描工具
备用下载选项: http://www.techspot.com/downloads/6731-farbar-recovery-scan-tool.html
注意注意:您需要运行与系统兼容的版本(32位或64位)。如果不确定哪个版本适用于您的系统,请下载它们并尝试运行它们。其中只有一个会在您的系统上运行,这将是正确的版本。
如果您的安全警报发送给FRST,请接受警报或关闭安全性以允许FRST运行。它不是恶意或以任何方式被感染…
请注意,必须从具有管理员身份的帐户运行FRST。
双击运行它。工具打开时,单击 是 免责声明。(将向Windows 8/10用户提示有关Windows SmartScreen保护的信息-单击“更多信息并运行”。)
- 确保 Addition.txt 在“可选扫描”下选中
- 按 扫瞄 按钮以运行该工具…。
- 它将生成一个日志(FRST.txt)在同一目录下运行该工具。请复制并粘贴到您的回复中。
- 该工具还将创建一个名为(Addition.txt)请将该日志附加到您的回复中。
编辑 fixlist.txt 文件,并将其放入保存FRST的文件夹中。 “运行FRST修复程序时不要打开该文件”
注意。请务必将FRST和fixlist.txt放在同一位置,否则此修复程序将无法使用。
fixlist.txt示例:
开始
关闭流程:
CreateRestorePoint:
HKU \ S-1-5-21-329538839-709975324-1257610972-1000 \ ... \运行:[* hinzifmx<*>] =>“ C:\ Users \ New User \ AppData \ Local \ f8acb \ 9ce63.lnk”<====注意(值名称带有无效字符)
C:\ Users \ New User \ AppData \ Local \ f8acb
S3 gdrv; \ ?? \ C:\ 视窗 \ gdrv.sys [X]
防火墙规则:[{17277AF5-A816-4BBB-A57C-C21541B4875B}] => (Allow) LPort=2869
防火墙规则:[{8F312734-7E85-4F3A-B918-A3AE66575823}] => (Allow) LPort=1900
空温度:
主持人:
CMD:ipconfig / flushDNS
结束
打开FRST并按一次“修复”按钮,然后等待。
该工具将在桌面(Fixlog.txt)或从其运行的文件夹上进行日志记录。请发布到您的回复中。
4.3 下载 AdwCleaner by Malwarebytes 或者从这里 镜子
- 右键点击 AdwCleaner.exe and select
以管理员身份运行 (对于Windows Vista,7、8、8.1和10个用户) - 接受EULA(我接受),然后点击 扫瞄
- 让扫描完成。完成后,请确保不同标签中列出的每个项目都 已检查 and click 上 the 清洁 按钮。这将杀死所有活动进程
- 清理过程完成后,AdwCleaner会要求重新启动计算机,执行此操作
- 重新启动后,登录时将打开一个日志。请在下一个答复中复制/粘贴该日志的内容
4.4 下载Microsoft的 “恶意软件删除工具”
注意:确保获得 您系统的正确版本。
右键单击该工具,选择“以管理员身份运行”,该工具将展开到选项窗口
在“扫描类型”窗口中,选择 快 Scan
执行扫描,扫描完成后单击完成。
如下检索MSRT(恶意软件删除工具)日志
1)同时选择Windows键和R键以打开“运行”功能
2)在“运行行”中键入或复制/粘贴以下命令,然后按Enter:
记事本c:\ windows \ debug \ mrt.log
该日志将包含MSRT每次运行时的日志详细信息, 需要按日期和时间的最新日志…。
4.5 下载 “ Xplode的Delfix” 并将其保存到您的桌面。
如果第一个链接断开,请使用以下命令: “ Delfix链接镜像”
如果您的安全程序向Delfix发出警报,请接受警报或关闭安全性。
双击以启动程序。 如果您使用的是Vista或更高版本,请右键单击并选择以管理员身份运行
确保检查以下项目:
- 删除消毒工具<-这将删除我们可能使用的工具。
- 清除系统还原<—这将删除所有以前的和可能被利用的还原点,将创建一个相对于当前系统状态的新点。
- 重置系统设置<—这会将系统在清理或恶意软件/感染期间更改的所有系统设置重置为默认设置
现在点击“跑”,请耐心等待,直到工具完成。
该工具完成后将创建一个日志。我们不需要您发布此信息。
我们使用的工具中的所有残余文件/日志都可以删除...
4.6 阅读以下链接以全面了解PC安全性和最佳实践
常见安全问题和最佳实践的答案
我需要注册表清理器吗?
保重 安全冲浪
4.7下载Microsoft安全扫描仪
Microsoft安全扫描程序是一种扫描工具,旨在从Windows计算机中查找和删除恶意软件。只需下载它并运行扫描以查找恶意软件,然后尝试撤消已识别威胁所做的更改。
5.米米卡兹
A little tool to play with 视窗 security http://blog.gentilkiwi.com/mimikatz
- //github.com/gentilkiwi/mimikatz/releases/tag/2.1.1-20181209 – mostly this will be flagged as a threat
- //github.com/PowerShellMafia/PowerSploit – You can use this powershell script version to avoid that.
待定
笔测试工具:
- Wireshark(http://www.esecurityplanet.com/open-source-security/5-big-improvements-in-wireshark.html)
- OpenVAS(http://www.openvas.org)
- Nessus专业版
- Rapid7 Nexpose
- Qualys FreeScan
- Metasploit(//www.rapid7.com/products/metasploit/download.jsp)
- John the Ripper(http://www.openwall.com/john/)
- Kali 的Linux(//www.kali.org/downloads/)
- Pentoo (http://www.pentoo.ch/download/)
- Parrot 安全 OS(http://www.pentoo.ch/download/)
- BackBox (//backbox.org/download)
- Samurai Web Testing Framework (//sourceforge.net/projects/samurai/files/)
- Immunity Canvas(//www.rapid7.com/products/metasploit/editions.jsp)
- Core Impact Pro(http://www.coresecurity.com/content/core-impact-overview)
威胁分析公司:
参考文献:
