面对千头万绪的情报和数字痕迹,每位威胁猎人都有一套自己熟悉的抽丝剥茧的追踪方法和工具。虽然威胁猎人之间会有一些非正式的渠道分享知识和工具,但是对于新手猎人来说,公共知识依然很重要,以下,我们整理了六种威胁猎人居家旅行必备的重要工具,供大家参考:
Kansa
Kansa是一个对威胁追踪和事件响应都非常有用的工具,是一个“Powershell中的模块化事件响应框架”。该工具有一个非常棒的主要功能:使用PowerShell Remoting“在企业主机中运行用户贡献模块来收集数据,以便在事件响应、攻击溯源或建立环境基线期间使用。”
这使采集大量数据变得更加容易,更重要的是,它还可以更快地建立基线。对于猎人来说,他们面临的最大挑战之一可能是在他们的环境中建立“正常情况”的基线。Kansa可以极大地帮助加快这项任务。
微软Sysinternals套件
微软的工具入围可能让你感到吃惊,但是微软的Sysinternals套件确实不容错过。这套工具有三个对于威胁猎人来说非常重要的功能:
-
进程资源管理器——将进程资源管理器视为任务管理器的高级版本,它允许猎人不仅可以查看进程,还可以查看进程已加载的DLL,以及已打开的注册表项。这项功能在寻找可疑和恶意行为时非常有用。
-
进程监视器——进程监视器类似资源管理器,但它更关注文件系统,并且可以帮助猎人发现可能发生的“有趣”的变化。
-
Autoruns——这个程序可检测启动时运行的可疑应用程序,这对于寻找系统上的驻留痕迹时非常方便。
Kroll Artifact Parser and Extractor (KAPE)
KAPE(或Kroll Artifact Parser and Extractor)是被事件响应专业人士和数字取证人员广泛使用的工具。KAPE允许分析师设置特定的“目标”(基本上是文件系统中的特定位置)并自动解析结果并收集所有证据。但它不仅仅是一个美化的复制粘贴工具。它还解析关联和相关数据(如EvidenceOfExecution、BrowserHistory等)以加快分类和分析。
该工具对于威胁猎人来说非常有价值,尤其是当他们在狩猎期间试图从主机收集相关信息时。
GHIDRA
如果您已经是恶意软件逆向工程领域的老手,就不会对IDA Pro和GHIDRA等工具感到陌生,后者是由美国国家安全局的一个秘密研究局设计。GHIDRA为安全研究人员提供了调试器、十六进制编辑器和反汇编器等工具,而且完全免费。
在威胁搜寻方面,逆向恶意软件了解其内部运作可能非常关键!
Regshot
Regshot就像一个屏幕截图工具和“diff”Linux命令行工具,但用于您的注册表。它可帮助威胁猎人快速轻松地获取注册表的完整“屏幕截图”,然后再拍摄第二张“屏幕截图”并找出其中的差异。
当威胁猎人试图查看基线中发生了何种变化,甚至在系统重新启动之间可能发生了什么变化时,该功能会非常有用。
UACME
最后推荐的这个渗透工具请在专业人士指导下合法使用。UACME(或UAC-ME)可以让任何人使用多种方法轻松绕过Windows用户帐户控制。对于事件调查和数字取证工作人员来说,该工具可以大大简化工作进程。
对于网络安全新手来说,威胁狩猎往往令人生畏,一部分原因是技术门槛和学习曲线陡峭,另一部分原因则是信息分享闭塞,如果不加入社区,就很难学习和分享技巧。希望本文的推荐清单能够抛砖引玉,帮您找到心仪的工具。
在安全分析、威胁搜寻或数字取证调查中,您最喜欢使用哪些工具?不妨在留言区给出您的推荐。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取