红队人员反取证工具,用于在渗透测试后阶段抹除痕迹。

作者:Sec-Labs | 发布时间:

项目地址

https://github.com/PaulNorman01/Forensia

Forensia

红队人员反取证工具,用于在渗透测试后阶段抹除部分痕迹。

减少有效载荷燃尽并增加检测倒计时。可用于测试您的事件响应/取证团队的能力。

功能

  • 卸载 Sysmon 驱动程序。
  • Gutmann 方法文件销毁。
  • USNJrnl 禁用器。
  • Prefetch 禁用器。
  • 日志擦除和事件日志禁用器。
  • 用户助手更新时间禁用器。
  • 访问时间禁用器。
  • 清除最近项目
  • 清除 Shim 缓存
  • 清除 RecentFileCache
  • 清除 ShellBag
  • 删除 Windows Defender 检疫文件
  • 文件融化功能。

 

ad1a1b7183213149

重要更新

新增内容:

  • 清除最近项目
  • 清除 Shim 缓存
  • 清除 RecentFileCache
  • 清除 ShellBag
  • 清除检疫文件

待办事项

  • 在所有磁盘驱动器上执行 USNJRnl。

  • 重新写入未分配空间。

  • 进行一些细节上的优化。

鸣谢

https://github.com/Naranbataar/Corrupt

https://github.com/LloydLabs/delete-self-poc

https://github.com/OsandaMalith/WindowsInternals/blob/master/Unload_Minifilter.c

https://stackoverflow.com/users/15168/jonathan-leffler

https://github.com/GiovanniDicanio/WinReg

标签:工具分享, 痕迹清除