RmTools！蓝队必备应急响应工具

2023/8/3：door_scanner-alpha更新 ioc扫描 支持银狐扫描2023/7/22：yara scanner推出测试版,多线程扫描,大量优化改进,5分钟扫描完全盘.支持导出报表,具体可以看yara scanner beta目录2022/10/18：door scanner推出测试版,测试版增加prefetch搜集功能,修复了一些bug2022/10/08：memory scanner支持windows7了!现在windows7 sp1与windows 2008能使用此工具了!

全盘文件扫描,寻找指定的hash、文件名yara扫描,可自定义yara文件进行扫描查找ntfs stream流扫描,检测文件是否携带了ntfs stream数据导出报告

{    "scan_path": ["D:\system_image"], //扫描的目录.不要以\结尾,可以是磁盘根目录    "hashes": [        "EE9E2816170E9441690EBEE28324F43046056712" //要找的文件的hash,这是个数组    ],    "filenames": [        "InstDrv.bin" //要找的文件名字,这是模糊匹配,这是个数组    ],  "max_file_limit": 5002400 //最大读取文件的大小,超过这个大小的文件不读取}

扫描计划任务、注册表自启动、开始菜单自启动、服务的项目扫描dns缓存扫描TCP表扫描用户列表扫描amcache,扫描历史程序启动记录[最低支持: windows8]扫描登录日志,检测登录主机名、IP、检测RDP爆破[最低支持: windows7]扫描域控日志,检测hash传递、万能钥匙域控横向移动[最低支持: windows7]PowerShell执行历史记录扫描[最低支持: windows7][beta测试版]prefetch扫描,获取最近的程序执行记录[beta测试版]runmru扫描,获取所有用户最近的通过"win+r运行"执行的程序[beta测试版]shimcache扫描,获取最近程序执行记录[beta测试版]AppCompatFlags扫描,获取最近程序执行记录[beta测试版]Muicache扫描,获取最近程序执行记录[beta测试版]rdp服务(3389)对外远程链接记录[beta测试版]rdp服务(3389)对内远程链接记录对以上这些项目对接IOC进行检查,检查hash、IP、域名,标注可疑项目(需要自己申请APIKEY)支持CSV报表导出

headers = {    'apikey': "你的API key"}csvfile = open('./shimcache.csv', 'r')

{    "apikey": "", //ioc的apikey,不配置默认不用ioc    "max_file_limit": 10737418240 //最大读取文件的大小,超过这个大小的文件不读取}

扫描内存马(任何在heap上的内存马,如cobalt strike、msf,xor、aes免杀loader等xxxoo变种)标注内存中可疑的位置的进程、线程信息yara内存扫描,默认规则扫描内存中是否存在ip、域名、PE文件标注可疑的dll.如伪装成系统程序的dll、无数字签名的dll却加载到有数字签名的进程中标注可疑的dll行为,如RPC dump lsass等标注无数字签名的进程扫描rootkit,检测是否有可疑的驱动程序在有IOC情报源的情况下,扫描危险进程、高危dll支持CSV报表导出

{    "apikey": "", //ioc的apikey,不配置默认不用ioc  "ioc_scan_dll": 0, //是否用IOC扫描DLL,如果扫描的话会给出dll文件的安全性,但是会慢    "max_file_limit": 5002400 //最大读取文件的大小,超过这个大小的文件不读取}

yara scanner for linuxdoor scanner for linuxmemory scanner for linuxweblog scanner