溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章為大家展示了針對Windows的事件應急響應數字取證工具DFIRTriage怎么用,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
DFIRTriage描述
DFIRTriage這款工具旨在為安全事件應急響應人員快速提供目標主機的相關數據。該工具采用Python開發,代碼已進行了預編譯處理,因此廣大研究人員可以在不需要額外安裝依賴組件的情況下直接在目標主機中使用該工具了。該工具在運行過程中,將會自動化執行各種命令,獲取到的數據將存儲在工具執行目錄的根目錄下。除此之外,DFIRTriage還可以直接從USB驅動器中運行,也可以通過遠程Shell來在目標主機上運行。目前,該工具僅支持Windows平臺。
1、引入了高性能更新機制,清理了舊版本Bug,提升了工具性能;
2、重構了輸出目錄的結構;
3、移除了TZworks工具;
4、增加了新的命令行參數;
1、默認采集內存數據;
2、內存數據采集時需提供參數;
3、獲取內存之前進行可用空間檢查;
4、更新采集流程以避免Windows崩潰;
1、Windowsupdate.log文件
2、Windows Defender掃描日志
3、PowerShell命令行歷史記錄
4、HOST文件
5、Netstat輸出(含相關網絡連接的PID)
6、記錄所有目標主機中已登錄用戶的信息(Triage_info.txt)
7、新增Windows Event日志事件條目
1、可針對DFIRtriage輸出數據和日志文件進行關鍵詞搜索;
2、搜索工具為獨立的可執行文件-dtfind.exe;
3、雙擊即可運行
工具庫包含正確執行所需的完整工具集,并打包到一個名為“core.ir”的單個文件中。在Python中運行時,此“.ir”文件是DFIRtriage唯一必需的依賴項,位于名為data的目錄中(即“/data/core.ir”)。DFIRtriage的編譯版本嵌入了完整的工具集,不需要添加“./data/core.ir”文件。注:不再使用TZWorks實用程序。
廣大研究人員可以使用Git命令將項目源碼克隆至本地:
git clone https://github.com/travisfoley/dfirtriage.git
DFIRtriage直接從目標主機中獲取數據,對于遠程主機數據的獲取,需要將DFIRtriage文件復制到目標主機中,然后通過遠程Shell執行。(即SSH或PSEXEC)
1、映射網絡驅動器,使用賬號完成認證,該賬號需要擁有目標主機上的本地管理員權限,我們可以直接利用映射鏈接來將DFIRtriage拷貝到目標主機中。
2、現在,我們需要使用PSEXEC來與目標主機建立遠程Shell連接:
psexec \target_host cmd
3、拿到目標主機的遠程Shell之后,現在就能夠在目標主機上執行所有命令了。
注意:DFIRtriage必須以管理員權限運行。
完成后,按enter清除輸出目錄。如果運行可執行文件,則只剩下輸出的壓縮文檔和DFIRtriage.exe。如果直接運行Python代碼,則只剩下DFIRtriage-v4-pub.py和輸出的壓縮文檔。
輸出目錄名將包括目標主機名以及表示何時執行DFIRtriage的日期/時間代碼,日期/時間代碼格式為YYYYMMDDHHMMSS。
上述內容就是針對Windows的事件應急響應數字取證工具DFIRTriage怎么用,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
