在Linux常见安全事件应急响应工作中,需要分析人员输入大量工具和命令来获取系统数据,从而进行痕迹的提取和攻击流程的溯源分析,对于分析人员来说时效和命令的熟练度都十分高要求,因此,通过合适的数据提取脚本工具可以更好的帮助应急过程中及时高效的发现问题,并解决问题,针对常见linux系统应急响应工具脚本进行以下几款的整理,可以选择需要的测试使用。
1、Whoamifuck
Whoamifuck:是一款由shell编写的Linux应急响应脚本,能对基本的检查项进行输出和分析,并支持一些扩展的特色功能。
可以下载解压在u盘或者其他安全的移动盘,并对该文件夹赋予执行权限,在需要应急系统上进行执行既可以;
-h命令可以辅助查询操作指令
通过-m参数可以直接导出全量的数据为html格式
通过查看生成的html报告,即可非常方便的将所有需要的数据提取出来,并进行了初步的整理和分析。
2、GScan
GScan是一款方便的Linux安全分析工具,支持不同的模式检测系统上的安全情况。
运行-h可以查看不同的模式参数
直接通过python运行,既可以开展检测
对于存在的风险会进行标红,同时检测完成后会打印输出。
可以根据不同模式进行检测并输出对应的结果。
3、HScan
HScan是一款基于python的应急分析工具,其实就是将我们在做分析过程中的一些常见命令统计进行了执行并打印,方便进行查看和进一步分析。
完成后打开对应的结果txt文档即可查看。
4、Unhide
unhide 是一款强大的取证工具,主要用于查找和发现被隐藏的进程、TCP/UDP端口以及其他隐藏技术。对于应急分析过程中,一些后门进程或者网络连接会进行隐藏处理,直接通过命令是查看不到的,这会直接导致分析过程中漏点威胁信息,因此对于该工具的利用非常重要。
linux下可以直接安装该工具。
通过-h参数即可查看对应的运行参数,通过quick等参数即可直接运行检测。
原文始发于微信公众号(白帽少年):Linux应急分析工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论