安全事件自动化取证工具

admin 2023年3月9日13:23:07评论44 views字数 1210阅读4分2秒阅读模式

0x01 Unix-like Artifacts Collector

一套用于安全事件响应调查的自动取证脚本,特点是无环境依赖限制,只使用系统默认的工具工作,支持AIX、Android、ESXi、AIX, Android, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD and Solaris系统。

安全事件自动化取证工具

0x02 工具特性

  • 无需依赖项即可在任何地方运行(无需安装)。

  • 可定制和可扩展的集合和工件。

  • 在工件收集过程中遵守波动的顺序。

  • 从磁盘上没有二进制文件的进程中收集信息。

  • 哈希正在运行的进程和可执行文件。

  • 从文件和目录中提取信息以创建bodyfile(包括ext4的增强文件属性)。

  • 收集用户和系统配置文件和日志。

  • 从应用程序收集工件。

  • 使用不同的方法和工具从Linux系统获取易失性内存。

0x03 UAC使用    

基于完整配置文件收集所有工件,并在/tmp中创建输出文件

./uac -p full /tmp

收集所有live_response和bodyfile工件,并在当前目录中创建输出文件

./uac -a live_response/*,bodyfile/bodyfile.yaml .

基于完整配置文件收集所有工件,但不包括bodyfile/bodyfile.yaml工件,并在/tmp中创建输出文件。

./uac -p full -a !bodyfile/bodyfile.yaml /tmp

收集内存转储,然后根据完整配置文件收集所有工件。

./uac -a artifacts/memory_dump/avml.yaml -p full /tmp

收集内存转储,然后收集基于ir_triage配置文件的所有工件,不包括bodyfile/bodyfile.yaml工件。

./uac -a ./artifacts/memory_dump/avml.yaml -p ir_triage -a !artifacts/bodyfile/bodyfile.yaml /tmp

根据完整配置文件收集所有工件,但根据提供的日期范围限制数据收集。

./uac -p full /tmp --date-range-start 2021-05-01 --date-range-end 2021-08-31

从/mnt/ewf中装载的Linux磁盘映像中收集除实时响应工件之外的所有工件。

./uac -p full -a !live_response/* /tmp --mount-point /mnt/ewf --operating-system linux

获取工具包

https://github.com/tclahr/uac/

安全事件自动化取证工具

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白名单。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与本公众号无关。

 

原文始发于微信公众号(白帽学子):安全事件自动化取证工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月9日13:23:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全事件自动化取证工具http://cn-sec.com/archives/1592940.html

发表评论

匿名网友 填写信息