蓝队应急工具

1. 全盘文件扫描,寻找指定的hash、文件名2. yara扫描,可自定义yara文件进行扫描查找3. ntfs stream流扫描,检测文件是否携带了ntfs stream数据4. 导出报告

{    "scan_path": ["D:\system_image"], //扫描的目录.不要以\结尾,可以是磁盘根目录    "hashes": [        "EE9E2816170E9441690EBEE28324F43046056712" //要找的文件的hash,这是个数组    ],    "filenames": [        "InstDrv.bin" //要找的文件名字,这是模糊匹配,这是个数组    ],  "max_file_limit": 5002400 //最大读取文件的大小,超过这个大小的文件不读取}

1. 扫描计划任务、注册表自启动、开始菜单自启动、服务的项目2. 扫描dns缓存3. 扫描TCP表4. 扫描用户列表6. 扫描amcache,扫描历史程序启动记录[最低支持: windows8]7. 扫描登录日志,检测登录主机名、IP、检测RDP爆破[最低支持: windows7]8. 扫描域控日志,检测hash传递、万能钥匙域控横向移动[最低支持: windows7]9. PowerShell执行历史记录扫描[最低支持: windows7]10. [beta测试版]prefetch扫描,获取最近的程序执行记录11. [beta测试版]runmru扫描,获取所有用户最近的通过"win+r运行"执行的程序12. [beta测试版]shimcache扫描,获取最近程序执行记录13. [beta测试版]AppCompatFlags扫描,获取最近程序执行记录14. [beta测试版]Muicache扫描,获取最近程序执行记录15. [beta测试版]rdp服务(3389)对外远程链接记录16. [beta测试版]rdp服务(3389)对内远程链接记录17. 对以上这些项目对接IOC进行检查,检查hash、IP、域名,标注可疑项目(需要自己申请APIKEY)18. 支持CSV报表导出

headers = {    'apikey': "你的API key"}csvfile = open('./shimcache.csv', 'r')

{    "apikey": "", //ioc的apikey,不配置默认不用ioc    "max_file_limit": 10737418240 //最大读取文件的大小,超过这个大小的文件不读取}

1. 扫描内存马(任何在heap上的内存马,如cobalt strike、msf,xor、aes免杀loader等xxxoo变种)2. 标注内存中可疑的位置的进程、线程信息3. yara内存扫描,默认规则扫描内存中是否存在ip、域名、PE文件4. 标注可疑的dll.如伪装成系统程序的dll、无数字签名的dll却加载到有数字签名的进程中5. 标注可疑的dll行为,如RPC dump lsass等6. 标注无数字签名的进程7. 扫描rootkit,检测是否有可疑的驱动程序8. 在有IOC情报源的情况下,扫描危险进程、高危dll9. 支持CSV报表导出

{    "apikey": "", //ioc的apikey,不配置默认不用ioc  "ioc_scan_dll": 0, //是否用IOC扫描DLL,如果扫描的话会给出dll文件的安全性,但是会慢    "max_file_limit": 5002400 //最大读取文件的大小,超过这个大小的文件不读取}

1.yara scanner for linux2.door scanner for linux3.memory scanner for linux4.weblog scanner