Part1 前言
大家好,我是ABC_123。过去一个月中,"蓝队分析取证工具箱"进行了大量优化与功能扩展。本次更新重点强化了以下模块:内存马分析功能、溯源反制功能、pcap流量包分析、冰蝎4.x流量分析、Java序列化文件分析等。祝大家顺利完成一年一度的网络安全大考,同时注意身体健康,多喝水。
声明:蓝队分析取证工具箱目前未与任何公司或者组织合作,该工具会一直免费更新下去,文末有下载地址。商务合作可以联系wx: abc123info
以往蓝队分析取证工具箱的功能介绍回顾:
《第121篇:蓝队分析取证工具箱2.16版+流量分析+大幅度更新》
《第73篇:蓝队分析研判工具箱V0.72,溯源辅助|资产测绘搜索|代码格式化|攻击流量解密|冰蝎哥斯拉解密|Java反编译》
Part2 技术研究过程
- 内存马分析功能更新
应多名网友的建议,添加“搜索关键字”功能,输入搜索关键字,在反编译后的内存马代码中会自动进行高亮显示;按回车键或者点击“向上查找”、“向下查找”按钮,会跳到下一个关键字,方便大家分析Java内存马功能及特征。
- 初步加入流量分析规则
大幅度更新流量包分析功能,导入一个pcap包文件,可以识别TCP协议的FTP、SMB、SSH、Telnet、SMTP、POP3、IMAP、VNC、WMI、LDAP、Mysql、SMB、RDP、SQLServer、Postgres数据库、WinRM、Redis数据库等流量内容;可以识别UDP协议中的DHCP、NTP、TFTP、NetBIOS、SNMP、Syslog、mDNS等流量内容。目前可以判断出NTP反射放大攻击、mDNS反射放大攻击、Redis弱口令、FTP匿名登录、SNMP弱口令等攻击行为。
- 新增冰蝎4.x流量分析功能
应多名网友建议,加入冰蝎4.x的流量分析解密功能;如果解密后文件内容是class文件,程序会自动识别并反编译class文件为java代码。
- Java序列化文件分析功能
针对实战环境中可能遇到的不同加密方式的Java序列化文件进行解密,同时也增加了关键字搜索功能。
- 扩充溯源反制功能
新增对于Burpsuite2.0版本、OWASP ZAP扫描工具的反制代码。
关注公众号"希潭实验室”,回复“蓝队”,即可得到此蓝队分析取证工具箱v3.12版本的下载地址。为便于交流蓝队技术,现已建立微信群“希水涵-蓝队技术交流群”,联系以下微信号可加群,期待你的加入!
Part3 总结
1. 该蓝队分析取证工具箱会一直更新下去,并且免费,大家有什么建议或者发现什么bug欢迎给我留言。
公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
(replace # with @)
扫一扫
3300
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
