威胁猎人必备的六个威胁追踪工具（非常详细）零基础入门到精通，收藏这一篇就够了

leah126

于 2024-07-19 08:57:28 发布

阅读量352

点赞数 7

分类专栏：渗透测试程序员编程文章标签：网络 web安全

本文链接：https://blog.csdn.net/leah126/article/details/140539400

版权

程序员同时被 3 个专栏收录

534 篇文章 96 订阅

订阅专栏

渗透测试

488 篇文章 24 订阅

订阅专栏

编程

218 篇文章 0 订阅

订阅专栏

面对千头万绪的情报和数字痕迹，每位威胁猎人都有一套自己熟悉的抽丝剥茧的追踪方法和工具。虽然威胁猎人之间会有一些非正式的渠道分享知识和工具，但是对于新手猎人来说，公共知识依然很重要，以下，我们整理了六种威胁猎人居家旅行必备的重要工具，供大家参考：

Kansa

Kansa是一个对威胁追踪和事件响应都非常有用的工具，是一个“Powershell中的模块化事件响应框架”。该工具有一个非常棒的主要功能：使用PowerShell Remoting“在企业主机中运行用户贡献模块来收集数据，以便在事件响应、攻击溯源或建立环境基线期间使用。”

这使采集大量数据变得更加容易，更重要的是，它还可以更快地建立基线。对于猎人来说，他们面临的最大挑战之一可能是在他们的环境中建立“正常情况”的基线。Kansa可以极大地帮助加快这项任务。

微软Sysinternals套件

微软的工具入围可能让你感到吃惊，但是微软的Sysinternals套件确实不容错过。这套工具有三个对于威胁猎人来说非常重要的功能：

进程资源管理器——将进程资源管理器视为任务管理器的高级版本，它允许猎人不仅可以查看进程，还可以查看进程已加载的DLL，以及已打开的注册表项。这项功能在寻找可疑和恶意行为时非常有用。
进程监视器——进程监视器类似资源管理器，但它更关注文件系统，并且可以帮助猎人发现可能发生的“有趣”的变化。
Autoruns——这个程序可检测启动时运行的可疑应用程序，这对于寻找系统上的驻留痕迹时非常方便。

Kroll Artifact Parser and Extractor (KAPE)

KAPE（或Kroll Artifact Parser and Extractor）是被事件响应专业人士和数字取证人员广泛使用的工具。KAPE允许分析师设置特定的“目标”（基本上是文件系统中的特定位置）并自动解析结果并收集所有证据。但它不仅仅是一个美化的复制粘贴工具。它还解析关联和相关数据（如EvidenceOfExecution、BrowserHistory等）以加快分类和分析。

该工具对于威胁猎人来说非常有价值，尤其是当他们在狩猎期间试图从主机收集相关信息时。

GHIDRA

如果您已经是恶意软件逆向工程领域的老手，就不会对IDA Pro和GHIDRA等工具感到陌生，后者是由美国国家安全局的一个秘密研究局设计。GHIDRA为安全研究人员提供了调试器、十六进制编辑器和反汇编器等工具，而且完全免费。

在威胁搜寻方面，逆向恶意软件了解其内部运作可能非常关键！

Regshot

Regshot就像一个屏幕截图工具和“diff”Linux命令行工具，但用于您的注册表。它可帮助威胁猎人快速轻松地获取注册表的完整“屏幕截图”，然后再拍摄第二张“屏幕截图”并找出其中的差异。

当威胁猎人试图查看基线中发生了何种变化，甚至在系统重新启动之间可能发生了什么变化时，该功能会非常有用。

UACME

最后推荐的这个渗透工具请在专业人士指导下合法使用。UACME（或UAC-ME）可以让任何人使用多种方法轻松绕过Windows用户帐户控制。对于事件调查和数字取证工作人员来说，该工具可以大大简化工作进程。

对于网络安全新手来说，威胁狩猎往往令人生畏，一部分原因是技术门槛和学习曲线陡峭，另一部分原因则是信息分享闭塞，如果不加入社区，就很难学习和分享技巧。希望本文的推荐清单能够抛砖引玉，帮您找到心仪的工具。

在安全分析、威胁搜寻或数字取证调查中，您最喜欢使用哪些工具？不妨在留言区给出您的推荐。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

leah126

关注

7
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
威胁猎人必备的六个威胁追踪工具（非常详细）零基础入门到精通，收藏这一篇就够了

希望本文的推荐清单能够抛砖引玉，帮您找到心仪的工具。内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。
复制链接

扫一扫