0x01 Unix-like Artifacts Collector
一套用于安全事件响应调查的自动取证脚本,特点是无环境依赖限制,只使用系统默认的工具工作,支持AIX、Android、ESXi、AIX, Android, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD and Solaris系统。
0x02 工具特性
收集所有live_response和bodyfile工件,并在当前目录中创建输出文件。
./uac -a live_response/*,bodyfile/bodyfile.yaml .
基于完整配置文件收集所有工件,但不包括bodyfile/bodyfile.yaml工件,并在/tmp中创建输出文件。
./uac -p full -a !bodyfile/bodyfile.yaml /tmp
收集内存转储,然后根据完整配置文件收集所有工件。
./uac -a artifacts/memory_dump/avml.yaml -p full /tmp
收集内存转储,然后收集基于ir_triage配置文件的所有工件,不包括bodyfile/bodyfile.yaml工件。
./uac -a ./artifacts/memory_dump/avml.yaml -p ir_triage -a !artifacts/bodyfile/bodyfile.yaml /tmp
根据完整配置文件收集所有工件,但根据提供的日期范围限制数据收集。
./uac -p full /tmp --date-range-start 2021-05-01 --date-range-end 2021-08-31
从/mnt/ewf中装载的Linux磁盘映像中收集除实时响应工件之外的所有工件。
./uac -p full -a !live_response/* /tmp --mount-point /mnt/ewf --operating-system linux
获取工具包 https://github.com/tclahr/uac/
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白名单。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与本公众号无关。 ✦ ✦
原文始发于微信公众号(白帽学子):安全事件自动化取证工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论