34
THRecon:功能强大的网络威胁追踪侦察工具套件
source link: http://www.freebuf.com/sectool/177401.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
今天给大家介绍的是一款名叫THRecon的工具,该工具可以收集终端信息,而这些信息可以用来进行事件响应分类、威胁追踪和现场取证。当你的系统发出安全警报时,该工具可以给你提供尽可能多的相关分析信息,并帮助你确定是否发生了入侵行为。
信息收集
Host Info Processes * Services Autoruns Drivers ARP DLLs * EnvVars Hosts File ADS DNS Strings* Users & Groups Ports Select Registry Hotfixes Handles* Sofware Hardware Event Logs Net Adapters Net Routes Sessions Shares Certificates Scheduled Tasks TPM Bitlocker Recycle Bin User Files* 数据主要从主机当前运行的进程和可执行文件中提取。
工具要求
1.要求Powershell 5.0及以上版本(扫描设备)。
2.要求Powershell 3.0及以上版本(目标系统)。
3.在没有psexec封装器(Invoke-THR_PSExec)的情况下扫描一台远程设备,则要求远程设备上开启WinRM服务。
快速安装
在Powershell中使用git命令进行安装,然后开启新的Powershell会话,安装命令如下:
git clone https://github.com/TonyPhipps/THReconC:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon
如果没有安装git的话,你可以新建一个文件夹,然后将项目源码拷贝到目录中,然后开启新的Powershell会话:
mkdir C:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon\
测试样例
如果你需要进行快速扫描,你需要在主机中创建一个空文件夹,然后在cmd中切换到该目录,默认输出结果会保存在当前目录中:
mkdir c:\temp\ cd c:\temp\ Invoke-THR-Quick
问题解决
【 安装Powershell模块 】
如果你的系统无法自动加载相关模块,你需要手动导入模块:
cd C:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon\ Import-ModuleTHRecon.psm1
工具运行截图
“Invoke-THR”命令的输出结果:
输出文件:
*参考来源: THRecon ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK