工具介绍
注:使用前建议先看下源码都执行了哪些操作!!!
工具功能
工具使用
注:在使用结束标志重新运行之前,请不要删除MrKaplan-Config.json文件,否则MrKaplan将无法使用该信息。
![MrKaplan!红队隐藏和清除痕迹工具]( "MrKaplan!红队隐藏和清除痕迹工具")
IOCs
MrKaplan是一款旨在帮助红队成员尽可能隐藏和清除痕迹的工具。它的工作原理是保存运行时间、用户名、文件快等信息,并将计算机“恢复”到MrKaplan运行之前的样子。
停止事件日志记录清除文件项目清除注册表项目可以为多个用户运行可以以用户和管理员身份运行(强烈建议以管理员身份运行)可以保存文件的时间戳可以排除某些操作并将工件留给蓝色团队
在计算机上开始操作之前,请使用“开始”标志运行MrKaplan,并在完成操作时使用“结束”标志再次运行它。
访问wiki页面中提到的工件的Powershell进程Powershell导入奇怪的base64 blob执行令牌操作的Powershell进程MrKaplan的注册表项:HKCU:SoftwareMrKaplan
下载地址
https://github.com/Idov31/MrKaplan
原文始发于微信公众号(Hack分享吧):MrKaplan!红队隐藏和清除痕迹工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论