Cortex-XDR-Config-Extractor 使用教程
1. 项目的目录结构及介绍
Cortex-XDR-Config-Extractor 项目的目录结构如下:
Cortex-XDR-Config-Extractor/
├── img/
│ └── (图像文件)
├── LICENSE
├── README.md
├── XDRConfExtractor.py
img/
:包含项目相关的图像文件。LICENSE
:项目的许可证文件,采用 GPL-3.0 许可证。README.md
:项目的说明文档。XDRConfExtractor.py
:项目的启动文件,用于解析和提取 Cortex XDR 代理的配置。
2. 项目的启动文件介绍
项目的启动文件是 XDRConfExtractor.py
,该文件主要用于解析 Cortex XDR 代理的数据库锁定文件,并提取代理设置、卸载密码的哈希和盐值以及可能的排除项。
使用方法
python XDRConfExtractor.py [Filename]
[Filename]
:需要解析的数据库锁定文件的路径。
帮助信息
python XDRConfExtractor.py -h
通过运行上述命令,可以获取该工具的使用帮助信息。
3. 项目的配置文件介绍
Cortex-XDR-Config-Extractor 项目没有明确的配置文件,其主要功能是通过解析数据库锁定文件来提取配置信息。数据库锁定文件的获取方式如下:
获取数据库锁定文件
代理版本 < 7.8
在 Windows 系统上,任何经过身份验证的用户都可以通过 Cortex XDR 控制台在系统托盘中生成支持文件。数据库锁定文件可以在以下路径中找到:
logs_[ID].zip\Persistence\agent_settings.db\
代理版本 ≥ 7.8
对于运行版本 7.8 或更高版本的代理,支持文件是加密的。但如果您在 Windows 机器上具有提升的权限,可以直接从以下目录复制未加密的文件:
C:\ProgramData\Cyvera\LocalSystem\Persistence\agent_settings.db\
代理版本 > 8.1
据推测,从代理版本 8.1 开始,不再可能从锁定文件中提取数据。这一说法尚未经过测试。
总结
Cortex-XDR-Config-Extractor 是一个用于解析和提取 Cortex XDR 代理配置的工具。通过解析数据库锁定文件,可以获取代理设置、卸载密码的哈希和盐值以及可能的排除项。使用该工具时,请确保遵守相关法律法规,仅在合法授权的情况下使用。