以下是Internet上有关威胁搜寻工具,信息和资源的一些集合。

1.关萨


用法:


PS C:\ISOScripting\Kansa-master\Kansa-master> .\kansa.ps1 -target testmachine1
VERBOSE: Found Modules\\Modules.conf.
VERBOSE: 跑ning modules:
Get-PrefetchListing
Get-WMIRecentApps
Get-Netstat
Get-DNSCache
Get-ProcsWMI
Get-LogUserAssist
Get-SvcFail
Get-SvcTrigs
Get-WMIEvtFilter
Get-WMIFltConBind
Get-WMIEvtConsumer
Get-PSProfiles
Get-SchedTasks
Get-File
Get-LocalAdmins
VERBOSE: Waiting for Get-PrefetchListing to complete.

Id     Name            PSJobTypeName   State         HasMoreData     Location             Command
--     ----            -------------   -----         -----------     --------             -------
1      Job1            RemoteJob       Completed     True            testmachine1            <#...
VERBOSE: Waiting for Get-WMIRecentApps to complete.
3      Job3            RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-Netstat to complete.
5      Job5            RemoteJob       Completed     True            testmachine1            <#...
VERBOSE: Waiting for Get-DNSCache to complete.
7      Job7            RemoteJob       Completed     True            testmachine1            <#...
VERBOSE: Waiting for Get-ProcsWMI to complete.
9      Job9            RemoteJob       Completed     True            testmachine1            <#...
VERBOSE: Waiting for Get-LogUserAssist to complete.
11     Job11           RemoteJob       Failed        True            testmachine1            <#...
VERBOSE: Waiting for Get-SvcFail to complete.
13     Job13           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-SvcTrigs to complete.
15     Job15           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-WMIEvtFilter to complete.
17     Job17           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-WMIFltConBind to complete.
19     Job19           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-WMIEvtConsumer to complete.
21     Job21           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-PSProfiles to complete.
23     Job23           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-SchedTasks to complete.
25     Job25           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-File C:\Windows\WindowsUpdate.log to complete.
27     Job27           RemoteJob       Failed        False           testmachine1            <# ...
VERBOSE: Waiting for Get-LocalAdmins to complete.
29     Job29           RemoteJob       Failed        False           testmachine1            <#...
Script completed with warnings or errors. See C:\ISOScripting\Kansa-master\Kansa-master\Output_20181029102057\Error.Log
for details.


PS C:\ISOScripting\Kansa-master\Kansa-master> ls


    Directory: C:\ISOScripting\Kansa-master\Kansa-master


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       29/10/2018   8:54 AM                Analysis
d-----       29/10/2018   8:54 AM                Modules
d-----       29/10/2018  10:18 AM                Output_20181029101813
d-----       29/10/2018  10:18 AM                Output_20181029101855
d-----       29/10/2018  10:19 AM                Output_20181029101903
d-----       29/10/2018  10:20 AM                Output_20181029102044
d-----       29/10/2018  10:27 AM                Output_20181029102057
-a----       29/10/2018   8:54 AM             89 .gitignore
-a----       29/10/2018   8:54 AM           3217 CODE_OF_CONDUCT.md
-a----       29/10/2018   8:54 AM           3540 contributing.md
-a----       29/10/2018   8:54 AM          50110 kansa.ps1
-a----       29/10/2018   8:54 AM          11323 LICENSE
-a----       29/10/2018   8:54 AM           3212 MSLimitedPublicLicense.txt
-a----       29/10/2018   8:54 AM           3770 README.md


PS C:\ISOScripting\Kansa-master\Kansa-master>


2. 令人敬畏的事件响应

它是用于安全事件响应的精选工具和资源的清单,旨在帮助安全分析人员和DFIR团队。

3.工具可以扫描远程网络驱动器。 

4.扫描和修复系统的步骤
4.1下载 恶意软件版本3 


双击安装程序,然后按照提示进行操作。如有必要,请选择“蓝色帮助”选项卡以获取视频说明...。


安装完成或已安装Malwarebytes后,请执行以下操作:


打开恶意软件字节,选择> “settings” > “protection tab”


向下滚动到“扫描选项”,确保“扫描Rootkit”和“在存档中扫描”都处于打开状态。


返回“ DashBoard”,选择蓝色的“立即扫描”选项卡……


扫描完成后 处理任何找到的条目


要从Malwarebytes获取日志,请执行以下操作:

  • 点击 报告 tab >从主界面。
  • 双击 扫瞄 该日志显示刚刚执行的扫描的日期和时间。
  • 请点击 出口 >从导出中,您有两个选择:

    复制到剪贴板 –如果选择了右键,请单击右键单击您的答复,然后选择“粘贴”日志将粘贴到您的答复中
    文字档(* .txt) –如果选中,则必须命名文件并保存到选择的位置,建议使用“桌面”,然后附加以回复

     
  • 请使用“复制到剪贴板,然后右键单击以回复>选择“粘贴”,它将日志复制到您的回复中…



4.2 下载 Farbar恢复扫描工具 


备用下载选项: http://www.techspot.com/downloads/6731-farbar-recovery-scan-tool.html


注意注意:您需要运行与系统兼容的版本(32位或64位)。如果不确定哪个版本适用于您的系统,请下载它们并尝试运行它们。其中只有一个会在您的系统上运行,这将是正确的版本。


如果您的安全警报发送给FRST,请接受警报或关闭安全性以允许FRST运行。它不是恶意或以任何方式被感染…


请注意,必须从具有管理员身份的帐户运行FRST。
 双击运行它。工具打开时,单击  免责声明。(将向Windows 8/10用户提示有关Windows SmartScreen保护的信息-单击“更多信息并运行”。)

  • 确保 Addition.txt 在“可选扫描”下选中
    用户发布的图片
     
  • 按 扫瞄 按钮以运行该工具…。
  • 它将生成一个日志(FRST.txt)在同一目录下运行该工具。请复制并粘贴到您的回复中。
  • 该工具还将创建一个名为(Addition.txt)请将该日志附加到您的回复中。

编辑 fixlist.txt 文件,并将其放入保存FRST的文件夹中。 “运行FRST修复程序时不要打开该文件”
注意。请务必将FRST和fixlist.txt放在同一位置,否则此修复程序将无法使用。

fixlist.txt示例:

开始
关闭流程:
CreateRestorePoint:
HKU \ S-1-5-21-329538839-709975324-1257610972-1000 \ ... \运行:[* hinzifmx<*>] =>“ C:\ Users \ New User \ AppData \ Local \ f8acb \ 9ce63.lnk”<====注意(值名称带有无效字符)
C:\ Users \ New User \ AppData \ Local \ f8acb
S3 gdrv; \ ?? \ C:\ 视窗 \ gdrv.sys [X]
防火墙规则:[{17277AF5-A816-4BBB-A57C-C21541B4875B}] => (Allow) LPort=2869
防火墙规则:[{8F312734-7E85-4F3A-B918-A3AE66575823}] => (Allow) LPort=1900
空温度:
主持人:
CMD:ipconfig / flushDNS
结束



打开FRST并按一次“修复”按钮,然后等待。
该工具将在桌面(Fixlog.txt)或从其运行的文件夹上进行日志记录。请发布到您的回复中。


4.3 下载 AdwCleaner by Malwarebytes 或者从这里 镜子

  • 右键点击 AdwCleaner.exe and select 用户发布的图片以管理员身份运行 (对于Windows Vista,7、8、8.1和10个用户)
  • 接受EULA(我接受),然后点击 扫瞄
  • 让扫描完成。完成后,请确保不同标签中列出的每个项目都 已检查 and click 上 the 清洁 按钮。这将杀死所有活动进程
  • 清理过程完成后,AdwCleaner会要求重新启动计算机,执行此操作
  • 重新启动后,登录时将打开一个日志。请在下一个答复中复制/粘贴该日志的内容





4.4 下载Microsoft的 “恶意软件删除工具”


注意:确保获得 您系统的正确版本。

右键单击该工具,选择“以管理员身份运行”,该工具将展开到选项窗口
在“扫描类型”窗口中,选择  Scan
执行扫描,扫描完成后单击完成。

如下检索MSRT(恶意软件删除工具)日志
1)同时选择Windows键和R键以打开“运行”功能
2)在“运行行”中键入或复制/粘贴以下命令,然后按Enter:


记事本c:\ windows \ debug \ mrt.log


该日志将包含MSRT每次运行时的日志详细信息, 需要按日期和时间的最新日志…。

4.5 下载 “ Xplode的Delfix” 并将其保存到您的桌面。

如果第一个链接断开,请使用以下命令: “ Delfix链接镜像”

如果您的安全程序向Delfix发出警报,请接受警报或关闭安全性。


双击以启动程序。 如果您使用的是Vista或更高版本,请右键单击并选择以管理员身份运行


确保检查以下项目:

  • 删除消毒工具<-这将删除我们可能使用的工具。
  • 清除系统还原<—这将删除所有以前的和可能被利用的还原点,将创建一个相对于当前系统状态的新点。
  • 重置系统设置<—这会将系统在清理或恶意软件/感染期间更改的所有系统设置重置为默认设置

现在点击“”,请耐心等待,直到工具完成。


该工具完成后将创建一个日志。我们不需要您发布此信息。


我们使用的工具中的所有残余文件/日志都可以删除...

4.6 阅读以下链接以全面了解PC安全性和最佳实践


常见安全问题和最佳实践的答案


我需要注册表清理器吗?


保重 安全冲浪

4.7下载Microsoft安全扫描仪


Microsoft安全扫描程序是一种扫描工具,旨在从Windows计算机中查找和删除恶意软件。只需下载它并运行扫描以查找恶意软件,然后尝试撤消已识别威胁所做的更改。

安全扫描程序仅在手动触发时进行扫描,并且可以在下载后10天使用。 

5.米米卡兹
A little tool to play with 视窗 security http://blog.gentilkiwi.com/mimikatz

  • //github.com/gentilkiwi/mimikatz/releases/tag/2.1.1-20181209 – mostly this will be flagged as a threat
  • //github.com/PowerShellMafia/PowerSploit – You can use this powershell script version to avoid that.

待定

笔测试工具:

  • Wireshark(http://www.esecurityplanet.com/open-source-security/5-big-improvements-in-wireshark.html)
  • OpenVAS(http://www.openvas.org)
  • Nessus专业版
  • Rapid7 Nexpose
  • Qualys FreeScan
  • Metasploit(//www.rapid7.com/products/metasploit/download.jsp)
  • John the Ripper(http://www.openwall.com/john/)
  • Kali 的Linux(//www.kali.org/downloads/)
  • Pentoo (http://www.pentoo.ch/download/)
  • Parrot 安全 OS(http://www.pentoo.ch/download/)
  • BackBox (//backbox.org/download)
  • Samurai Web Testing Framework (//sourceforge.net/projects/samurai/files/)
  • Immunity Canvas(//www.rapid7.com/products/metasploit/editions.jsp)
  • Core Impact Pro(http://www.coresecurity.com/content/core-impact-overview)

威胁分析公司:

参考文献:

通过 约翰扬

发表评论