在Windows应急分析工作中,安全人员需要结合不同的工具进行系统数据的查询、提取和分析,对于一款使用方便且能够快速提取系统信息的数据采集分析工作对于应急分析工作的开展来说十分重要,也是针对几款常见的windows分析工具进行使用和简单对比,大家可以选择一款自己喜欢的工作进行使用。
|
工具名称 |
个人使用 |
|
图形化界面,UI漂亮数据展示直观,支持上传文件分析,部分分析提供异常标志 需要安装,一般应急操作禁止安装行为,分析内容较少 |
|
|
WinLogCheckV3.4.1.exe |
分析内容全面,支持文件内容检索,日志内容较多,无需安装即可使用 界面可视化较差,部分能力只是做了信息的提取,需要人工深入分析排查 |
|
EmergencyTookit.exe |
工具集,包含各类应急响应工具,可针对需求进行选择并使用 使用较为繁琐,需要精准选择且熟悉所有常用工具 |
1.1 [email protected]
FindAll:专为网络安全蓝队打造的应急响应工具,致力于协助团队成员更高效地应对和分析网络安全挑战。它融合了前沿的信息搜集与自动化分析功能,旨在提升安全事件处理的效率和精准度。
工具支持系统账号、网络、自启动、计划任务、进程、痕迹、日志和系统等信息的自动提取分析。
针对提取的数据进一步分析,并对初步判断的威胁信息进行标记,通过数据以及详细信息等进行可视化展示。
1.2 WinLogCheckV3.4.1.exe
WinLogCheck是一款专门用于分析Windows日志的工具,主要用于检测和分析各种日志类型,帮助用户识别潜在的安全威胁和系统问题。该工具的主要功能包括:
- 登录成功和失败日志分析:可以查看所有登录成功和失败的记录,支持按登录类型和IP地址进行筛选1。
- RDP登录记录分析:能够查看RDP登录记录,判断是否通过代理软件登录。
- SQL Server数据库分析:检测SQL Server数据库是否存在爆破行为和配置修改记录。
- 域控主机日志分析:分析域控主机的日志,检测是否存在漏洞利用、密码抓取等行为。
- 主机进程和外联分析:检测主机上的进程和外联信息,识别是否存在恶意文件或IP。
- 远控软件记录分析:检测常用远控软件的使用记录,定位IP和操作动作。
运行后自动开始采集信息
采集完成后通过可视化界面进行展示,并对采集后的数据进行分类
可以通过不同的分类查询对应的信息,进行深入的排查和分析
1.3 EmergencyTookit.exe
EmergencyTookit 是一款专为Windows系统设计的应急响应解决方案,旨在帮助用户在面对系统安全事件、故障排查等紧急情况时,能够迅速、高效地收集关键信息、定位问题根源并采取相应措施。
它集合了市面上轻量且优秀的工具,经过精心挑选和优化,以满足应急响应过程中对速度和准确性的严格要求。
双击可以运行可视化界面,针对内部每一项功能都是一个独立的工具模块
通过点击不同的菜单,打开独立的工具脚本开始对应的数据采集和分析
针对以上一系列windows系统应急分析工具来说,都会很大程度的帮助我们更快更高效的实现安全事件的分析和排查,可以根据具体的现场环境和需求选择适合自己的工具进行使用。
原文始发于微信公众号(白帽少年):Windows应急分析工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论