以下是互联网有关威胁狩猎工具,信息和资源的一些集合。
- GitHub - Davehull /堪萨州
- http://trustedsignal.blogspot.com/search/label/Kansa
- http://www.powershellmagazine.com/2014/07/18/kansa-a-powershell-based-incident-response-framework/
- 堪萨州:基于PowerShell的事件响应框架
用法:
PS C:\ISOScripting\Kansa-master\Kansa-master> .\kansa.ps1 -target testmachine1
VERBOSE: Found Modules\\Modules.conf.
VERBOSE: Running modules:
Get-PrefetchListing
Get-WMIRecentApps
Get-Netstat
Get-DNSCache
Get-ProcsWMI
Get-LogUserAssist
Get-SvcFail
Get-SvcTrigs
Get-WMIEvtFilter
Get-WMIFltConBind
Get-WMIEvtConsumer
Get-PSProfiles
Get-SchedTasks
Get-File
Get-LocalAdmins
VERBOSE: Waiting for Get-PrefetchListing to complete.
Id Name PSJobTypeName State HasMoreData Location Command
-- ---- ------------- ----- ----------- -------- -------
1 Job1 RemoteJob Completed True testmachine1 <#...
VERBOSE: Waiting for Get-WMIRecentApps to complete.
3 Job3 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-Netstat to complete.
5 Job5 RemoteJob Completed True testmachine1 <#...
VERBOSE: Waiting for Get-DNSCache to complete.
7 Job7 RemoteJob Completed True testmachine1 <#...
VERBOSE: Waiting for Get-ProcsWMI to complete.
9 Job9 RemoteJob Completed True testmachine1 <#...
VERBOSE: Waiting for Get-LogUserAssist to complete.
11 Job11 RemoteJob Failed True testmachine1 <#...
VERBOSE: Waiting for Get-SvcFail to complete.
13 Job13 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-SvcTrigs to complete.
15 Job15 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-WMIEvtFilter to complete.
17 Job17 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-WMIFltConBind to complete.
19 Job19 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-WMIEvtConsumer to complete.
21 Job21 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-PSProfiles to complete.
23 Job23 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-SchedTasks to complete.
25 Job25 RemoteJob Failed False testmachine1 <#...
VERBOSE: Waiting for Get-File C:\Windows\WindowsUpdate.log to complete.
27 Job27 RemoteJob Failed False testmachine1 <# ...
VERBOSE: Waiting for Get-LocalAdmins to complete.
29 Job29 RemoteJob Failed False testmachine1 <#...
Script completed with warnings or errors. See C:\ISOScripting\Kansa-master\Kansa-master\Output_20181029102057\Error.Log
for details.
PS C:\ISOScripting\Kansa-master\Kansa-master> ls
Directory: C:\ISOScripting\Kansa-master\Kansa-master
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 29/10/2018 8:54 AM Analysis
d----- 29/10/2018 8:54 AM Modules
d----- 29/10/2018 10:18 AM Output_20181029101813
d----- 29/10/2018 10:18 AM Output_20181029101855
d----- 29/10/2018 10:19 AM Output_20181029101903
d----- 29/10/2018 10:20 AM Output_20181029102044
d----- 29/10/2018 10:27 AM Output_20181029102057
-a---- 29/10/2018 8:54 AM 89 .gitignore
-a---- 29/10/2018 8:54 AM 3217 CODE_OF_CONDUCT.md
-a---- 29/10/2018 8:54 AM 3540 contributing.md
-a---- 29/10/2018 8:54 AM 50110 kansa.ps1
-a---- 29/10/2018 8:54 AM 11323 LICENSE
-a---- 29/10/2018 8:54 AM 3212 MSLimitedPublicLicense.txt
-a---- 29/10/2018 8:54 AM 3770 README.md
PS C:\ISOScripting\Kansa-master\Kansa-master>
2.令人敬畏的事件响应
它是安全事件响应的策划工具和资源列表,旨在帮助安全分析师和DFIR团队。
3.工具可以扫描远程网络驱动器。
- 超级空皮软件 - 它可以扫描远程共享网络驱动器,自2015年以来,Malwarebytes无法做到,尽管它曾经是
- EMCO网络恶意软件清洁器 –
- Emsisoft - Emsisoft Anit-Malware
4.扫描和修复系统的步骤
4.1下载 Malwarebytes版本3.
双击安装程序并按照提示。如有必要,请选择视频指令的蓝色帮助选项卡......。
安装完成或未安装Malwareb时执行以下操作:
打开Malwarebytes,选择> “settings” > “protection tab”
向下滚动到“扫描选项”确保在档案中扫描rootkit并且扫描均在...中。
返回“仪表板”选择蓝色“扫描立即扫描”标签......
扫描完成后 处理任何找到的参赛作品…
要从MalwareBytes获取日志执行以下操作:
- 点击一下 报告 tab >来自主界面。
- 双击 扫描 日志显示刚刚执行扫描的日期和时间。
- 点击 出口 >从导出时,您有两个选项:
复制到剪贴板 - 如果Seleted右键单击,请选择“粘贴”日志将粘贴到您的回复中
文本文件(* .txt) - 如果选择,您将不得不将文件命名并保存到选择地点,推荐“桌面”然后附加到回复
- 请使用“复制到剪贴板,然后右键单击回复>选择“粘贴”将日志复制到您的回复...
4.2 下载 Farbar Recovery Scan工具
替代下载选项: http://www.techspot.com/downloads/6731-farbar-recovery-scan-tool.html
笔记 :您需要运行与系统兼容的版本(32位或64位)。如果您不确定哪个版本适用于您的系统下载两个版本并尝试运行它们。只有其中一个将在您的系统上运行,这将是正确的版本。
如果您的安全警报到FRST,请接受警报或将安全性关闭以允许FRST运行。它不是恶意或以任何方式感染......
请注意FRST必须从管理员状态的帐户运行...
双击运行它。工具打开时单击 是的 免责声明。(Windows 8/10用户将提示有关Windows SmartScreen保护 - 单击更多信息并运行。)
- 确保 Accudate.txt. 在“可选扫描”下检查
- 按 扫描 按钮运行工具......
- 它会制作一个日志(frst.txt.)在同一目录中运行该工具。请复制并粘贴您的回复。
- 该工具还将创建一个名为的日志(Accudate.txt.)请附上该记录到您的回复。
编辑 fixlist.txt. 文件并将其放入您将FRST保存的文件夹中。 “运行FRST修复时不要打开该文件”
笔记。 FRST和FIXLIST.TXT都非常重要,或者修复程序不起作用。
FixList.txt示例:
开始
特写过程:
CheaterestorePoint:
HKU \ S-1-5-21-329538839-709975324-1257610972-1257610972-1000 \ ... \ run:[* hinzifmx<*>] =>“C:\用户\新用户\ appdata \ local \ f8acb \ 9ce63.lnk”<====注意(具有无效字符的值名称)
C:\用户\新用户\ appdata \ local \ f8acb
S3 GDRV; \ ?? \ c:\ windows \ gdrv.sys [x]
FireWallrules:[{17277AF5-A816-4BB-A57C-C21541B4875B}] => (Allow) LPort=2869
防火墙:[{8F312734-7E85-4F3A-B918-A3AE66575823]]}] => (Allow) LPort=1900
extentTemp:
主持人:
CMD:IPCONFIG / FLUSHDNS
结尾
打开FRST,然后按下修复按钮一次并等待。
该工具将在桌面(FixLog.txt)上的日志上,或者从中运行的文件夹。请发布到您的回复。
4.3 下载 adwcleaner. by Malwarebytes 或者 镜子
- 右键单击 adwcleaner.exe. and select
以管理员身份运行 (对于Windows Vista,7,8,8.1和10用户)
- 接受EULA(我接受),然后点击 扫描
- 让扫描完成。完成后,请确保不同选项卡中列出的每个项目都是 检查一下 and click on the 干净的 按钮。这将杀死所有活动流程
- 清洁过程完成后,AdWCleaner会要求重新启动计算机,请执行此操作
- 重新启动后,登录时会打开日志。请在下一个回复中复制/粘贴该日志的内容
4.4 下载微软 “恶意软件删除工具”
注意:确保获得 正确的版本为您的系统。
右键单击该工具,选择“以管理员身份运行”该工具将展开选项窗口
在“扫描类型”窗口中,选择 快的 Scan
执行扫描并在完成扫描时单击“完成”。
检索MSRT(恶意软件删除工具)日志如下
1)选择Windows键和R键将一起打开“运行”功能
2)将以下命令键入或复制/粘贴到“运行行”,然后按ENTER:
笔记 pad C:\ Windows \ debug \ mrt.log
日志将包括每次MSRT运行的日志详细信息,所以最近的日志和时间将是必需的......
4.5 下载 “德克布德·Xplode” 并将其保存到您的桌面上。
或者如果第一个链接关闭,则使用以下内容: “Delfix Link镜像”
如果您的安全计划警报DEFIX,请接受警报或关闭安全性。
双击启动程序。 如果您使用Vista或更高版本,请右键单击,然后选择运行作为管理员
确保选中以下项目:
- 删除消毒工具< - 这将删除我们可能使用的工具。
- 清除系统恢复< - 这将删除所有先前和可能的已利用恢复点,将创建一个相对于系统状态的新点。
- 重置系统设置< - 这将将任何系统设置重置为在清除或恶意软件/感染期间通过我们更改的默认设置
现在点击“ 跑步 “并耐心等待直到工具已完成。
该工具在完成后会创建一个日志。我们不需要你发布这个问题。
可以删除我们使用的工具的任何剩余文件/日志...
4.6 阅读以下链接以完全了解PC安全性和最佳实践
答复常见的安全问题和最佳实践
我需要注册表清洁剂吗?
照顾和 冲浪保险箱
4.7下载Microsoft Safety Scanner
Microsoft Safety Scanner是一个扫描工具,旨在从Windows计算机查找和删除恶意软件。只需下载它并运行扫描以查找恶意软件并尝试通过已识别的威胁进行反转更改。
5. Mimikatz.
A little tool to play with Windows security http://blog.gentilkiwi.com/mimikatz
- //github.com/gentilkiwi/mimikatz/releases/tag/2.1.1-20181209 – mostly this will be flagged as a threat
- //github.com/PowerShellMafia/PowerSploit – You can use this powershell script version to avoid that.
TBC.
笔测试工具:
- Wireshark(http://www.esecurityplanet.com/open-source-security/5-big-improvements-in-wireshark.html)
- OpenVas(http://www.openvas.org)
- Nessus专业版
- Rapid7 Nexpose.
- QualveS Freescan.
- Metasploit(//www.rapid7.com/products/metasploit/download.jsp)
- John the Ripper(http://www.openwall.com/john/)
- Kali Linux(//www.kali.org/downloads/)
- Pentoo (http://www.pentoo.ch/download/)
- Parrot Security OS(http://www.pentoo.ch/download/)
- BackBox (//backbox.org/download)
- Samurai Web Testing Framework (//sourceforge.net/projects/samurai/files/)
- Immunity Canvas(//www.rapid7.com/products/metasploit/editions.jsp)
- Core Impact Pro(http://www.coresecurity.com/content/core-impact-overview)
威胁分析公司:
参考: