关于Dissect
功能介绍
1、根据所有取证数据和事件日志一次性生成事件时间轴; 2、识别组件中的异常情况; 3、在虚拟机磁盘中执行勒索软件加密事件响应; 4、在几小时内对上千台主机执行复杂的IoC检测; 5、将Bitlocker加密磁盘中的所有USN日志记录导出到Splunk,而无需等待解密; 6、直接从虚拟机管理程序收集所有实时虚拟机的取证数据; 7、支持将所有的分析数据导出为任何数据格式,例如CSV、JSON或Avro等,也可以直接传输到Splunk或Elastic;
工具要求
工具安装
git clone https://github.com/fox-it/dissect.git或者直接使用PyPI安装Dissect: pip install dissect
Docker镜像
docker run -it --rm -v /path/to/targets/:/mnt:ro ghcr.io/fox-it/dissect:3.2(向右滑动,查看更多)
工具使用 安装完成后,直接在命令行窗口中执行“target-”命令并按Tab键,就能够看到下列内容了:
$ target-<TAB>target-fs target-query target-shelltarget-dd target-mount target-reg(向右滑动,查看更多)
使用target-query获取基本信息
下列命令可以从一个目标收集基本的取证信息,其中包括主机名称、域名、操作系统信息、IP地址和用户信息等:
$ target-query /mnt/SCHARDT.001 -f hostname,domain,os,version,ips -d ';'<Target /mnt/SCHARDT.001> N-1A9ODN6ZXK4LQ;None;windows;Microsoft Windows XP (NT 5.1) 2600 ;['192.168.1.111'](向右滑动,查看更多)
输出结果如下:
$ target-query /mnt/SCHARDT.001 -f users<windows/user hostname='N-1A9ODN6ZXK4LQ' domain=None sid='S-1-5-18' name='systemprofile' home='%systemroot%\system32\config\systemprofile'><windows/user hostname='N-1A9ODN6ZXK4LQ' domain=None sid='S-1-5-19' name='LocalService' home='%SystemDrive%\Documents and Settings\LocalService'><windows/user hostname='N-1A9ODN6ZXK4LQ' domain=None sid='S-1-5-20' name='NetworkService' home='%SystemDrive%\Documents and Settings\NetworkService'><windows/user hostname='N-1A9ODN6ZXK4LQ' domain=None sid='S-1-5-21-2000478354-688789844-1708537768-1003' name='Mr. Evil' home='%SystemDrive%\Documents and Settings\Mr. Evil'>(向右滑动,查看更多)
使用target-shell浏览目标信息
target-shell /mnt/SCHARDT.001/> infoOS Plugin : WindowsPluginDisks :<SplitContainer size=4871268352 vs=<DissectVolumeSystem serial=3965578333>>Volumes :<Volume name='part_00007e00' size=4869333504 fs=<NtfsFilesystem>>Hostname : N-1A9ODN6ZXK4LQOS : Microsoft Windows XP (NT 5.1) 2600Domain : NoneIPs : ['192.168.1.111']/> cd sysvol/sysvol> cat boot.iniloader]timeout=30default=multi(0)disk(0)rdisk(0)partition(1)WINDOWSsystems]="Microsoft Windows XP Professional" /fastdetect/sysvol> cd Documents and Settings/sysvol/Documents and Settings> lsAll UsersDefault UserLocalServiceEvilNetworkService(向右滑动,查看更多)
使用target-fs计算文件哈希
target-fs targets/MSEDGEWIN10.tar cat "C:WindowsSystem32Driversnull.sys" | sha256sum32c714dd5588e5cdacc6980044d2a66a28c42b0d5208ac2ffbac5d64be95568 -(向右滑动,查看更多)
使用target-reg查看指定注册表键的子健并输出其内容
$ target-reg targets/MSEDGEWIN10.tar -k "HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\USB\VID_0E0F&PID_0003&MI_00"+ 'VID_0E0F&PID_0003&MI_00' (2020-12-09 12:06:15.867247+00:00)+ '7&3ae26960&0&0000' (2022-08-17 10:56:49.798122+00:00)- 'DeviceDesc' '@input.inf,%hid.devicedesc%;USB Input Device'- 'LocationInformation' '000b.0000.0000.005.000.000.000.000.000'- 'Capabilities' 128- 'Address' 5- 'ContainerID' '{ee33e11a-3a16-11eb-bde6-806e6f6e6963}'- 'HardwareID' ['USB\VID_0E0F&PID_0003&REV_0102&MI_00', 'USB\VID_0E0F&PID_0003&MI_00']- 'CompatibleIDs' ['USB\Class_03&SubClass_00&Prot_00', 'USB\Class_03&SubClass_00', 'USB\Class_03']- 'ClassGUID' '{745a17a0-74d3-11d0-b6fe-00a0c90f57da}'- 'Service' 'HidUsb'- 'Driver' '{745a17a0-74d3-11d0-b6fe-00a0c90f57da}\0000'- 'Mfg' '@input.inf,%stdmfg%;(Standard system devices)'- 'ConfigFlags' 0- 'ParentIdPrefix' '8&367bfb7c&0'(向右滑动,查看更多)
Dissect组成 当前版本的Dissect由下列开源项目组成:
dissect.cim dissect.clfs dissect.cstruct dissect.esedb dissect.etl dissect.eventlog dissect.evidence dissect.executable dissect.extfs dissect.fat dissect.ffs dissect.hypervisor dissect.ntfs dissect.ole dissect.regf dissect.sql dissect.squashfs dissect.target dissect.thumbcache dissect.util dissect.vmfs dissect.volume dissect.xfs Dissect线上体验版本 Dissect线上体验版本:
https://try.dissect.tools/
许可证协议 本项目的开发与发布遵循AGPL-3.0开源许可证协议。
项目地址 Dissect:
https://github.com/fox-it/dissect
【 原文始发于微信公众号(FreeBuf):Dissect:一款功能强大的事件响应和数字取证框架
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论