【工具分享】DD-security-tool应急响应工具

工具介绍

0x01 工具介绍 

DD安全助手是一款集成多种安全功能的工具箱，支持网络排查、主机信息收集、安全日志查询、IP类处理、文件内容搜索等相关操作。下载方式见文末。

工具使用

⌨网络排查:通过点击提取信息或主动输入netstat -ano中提取的网络连接信息，可以从中筛选出外连IP，并针对外连IP可以定位物理地址并进行境内/境外的区分，并标记境外IP。

通过内容搜索可以查询指定的内容，如外连IP的PID，或PID对应的外连IP等。点击下一个可以查看多项匹配内容，并进行标记。

🖥主机信息:

现在正在加载中~就不要点击工具的界面了，等待加载完成后会显示已加载XXX这时候可以查看收集的数据，也可以搜索指定的内容了

• 用户信息查看，启动项，进程排查等功能

📋日志分析:日志类型里选择的安全日志与PowerShell日志是本机系统的，浏览里选择的安全日志和PowerShell日志是加载第三方的，如服务器的点击加载日志后，请等待日志加载完成，加载过程中不要点击GUI界面！！

  加载安全日志:这里日志类型里的是本地系统的安全日志，选择加载日志后可以在常用事件里选择对应的安全事件，这里主推登录成功/登录失败，其他安全事件里的内容可能解析不全

  RDP登录分析结果:加载本地和第三方安全日志后，可以点击"RDP登录分析"来查看有哪些IP进行了rdp的登录尝试和爆破，以及登录成功

  SMB登录分析结果:加载本地和第三方安全日志后，可以点击"SMB登录分析"来查看有哪些IP进行了smb的登录尝试和爆破，以及登录

⚙IP类处理

  IP过滤:首先在'白名单IP列表'里填入我们的白名单，比如公司IP/公共DNS/内网IP等，点击'白名单读取'，就会在本地会生成白名单文件 whitelist.txt；白名单读取成功后就可以在'待筛选IP列表'里输入我们的IP，比如攻击IP，点击'开始处理'后，就可以在'筛选后的IP列表'中看到过滤后的IP地址了。这时候可以查询IP的威胁情报下一步进行上报或者封禁。

  IP定位:查询 IP 地址的地理位置

🧲文件内容搜索:在指定路径下搜索包含特定内容的文件，并进行时间排序，在文件路径下选择一条路径右键可以选择`打开所在目录

 

 下载链接