Kaleidora/Windows-Emergency-Response-Tools
GitHub: Kaleidora/Windows-Emergency-Response-Tools
跨平台的主机应急响应工具,一键收集Windows和Linux系统取证信息并利用YARA规则检测恶意文件。
Stars: 0 | Forks: 0
# Windows 应急响应检测工具
# 功能 系统进程列表 系统服务 系统日志 网络连接 计划任务 共享资源 最近三天修改的文件 显示进程和服务信息 显示进程和所有者 Yara 脚本(支持检测 Shell、勒索软件、挖矿等) Yara 脚本合集: https://github.com/InQuest/awesome-yara/tree/master https://segmentfault.com/q/1010000043271331
# 注意 安装 Yara 库时的常见陷阱 libyara.dll 找不到结果 解决方法:对 libyara.dll 进行全局搜索 只需将 libyara.dll 文件复制到正确的目录(Python 3 根目录)即可。 参考:https://blog.csdn.net/weixin_43781139/article/details/131087788
# Linux 应急响应检测工具
# 功能 1. 获取外网连接状态 2. 显示进程 3. 任务启动项 4. 检查异常端口 5. 检查计划任务 6. 监控与目标 IP 通信的进程 7. 按 CPU 使用率降序排列 8. 查询历史命令 9. 最近 7 天内修改的文件 10. 登录记录 11. 暴力破解主机 Root 账户的 IP 数量 12. 识别涉及暴力破解的 IP 13. 确定暴力破解的用户名字典 14. 成功登录的日期、用户名和 IP 15. 查询拥有 Sudo 权限的账户 16. 使用 YARA 规则检测文件 17. 一键执行所有命令并导出结果 18. 查找最近 72 小时内添加的文件 19. 退出
# 遇到的错误 ubuntu 安装 Yara 错误 OSError: /usr/lib/libyara.so: cannot open shared object file: No such file or directory 只需将 libyara.so 文件复制到此目录。 /usr/lib/libyara.so Root 用户权限 cp -r libyara.so /usr/lib/
centos centos7 直接安装 Yara 失败;仅在虚拟环境中成功。后续测试不会产生错误。 使用虚拟环境(可选): 如果您尚未设置虚拟环境,请考虑创建一个以隔离该项目的 Python 环境: python3 -m venv myenv source myenv/bin/activate
注意:选择一个命令 16. 使用 YARA 规则扫描文件 路径不要添加单引号或双引号,否则会导致错误。
# 功能 系统进程列表 系统服务 系统日志 网络连接 计划任务 共享资源 最近三天修改的文件 显示进程和服务信息 显示进程和所有者 Yara 脚本(支持检测 Shell、勒索软件、挖矿等) Yara 脚本合集: https://github.com/InQuest/awesome-yara/tree/master https://segmentfault.com/q/1010000043271331
# 注意 安装 Yara 库时的常见陷阱 libyara.dll 找不到结果 解决方法:对 libyara.dll 进行全局搜索 只需将 libyara.dll 文件复制到正确的目录(Python 3 根目录)即可。 参考:https://blog.csdn.net/weixin_43781139/article/details/131087788
# Linux 应急响应检测工具
# 功能 1. 获取外网连接状态 2. 显示进程 3. 任务启动项 4. 检查异常端口 5. 检查计划任务 6. 监控与目标 IP 通信的进程 7. 按 CPU 使用率降序排列 8. 查询历史命令 9. 最近 7 天内修改的文件 10. 登录记录 11. 暴力破解主机 Root 账户的 IP 数量 12. 识别涉及暴力破解的 IP 13. 确定暴力破解的用户名字典 14. 成功登录的日期、用户名和 IP 15. 查询拥有 Sudo 权限的账户 16. 使用 YARA 规则检测文件 17. 一键执行所有命令并导出结果 18. 查找最近 72 小时内添加的文件 19. 退出
# 遇到的错误 ubuntu 安装 Yara 错误 OSError: /usr/lib/libyara.so: cannot open shared object file: No such file or directory 只需将 libyara.so 文件复制到此目录。 /usr/lib/libyara.so Root 用户权限 cp -r libyara.so /usr/lib/
centos centos7 直接安装 Yara 失败;仅在虚拟环境中成功。后续测试不会产生错误。 使用虚拟环境(可选): 如果您尚未设置虚拟环境,请考虑创建一个以隔离该项目的 Python 环境: python3 -m venv myenv source myenv/bin/activate
注意:选择一个命令 16. 使用 YARA 规则扫描文件 路径不要添加单引号或双引号,否则会导致错误。
标签:Conpot, DNS信息、DNS暴力破解, HTTP工具, Mr. Robot, PE 加载器, Python安全工具, Webshell检测, Windows安全, YARA规则, 免杀技术, 勒索病毒检测, 后渗透, 后门检测, 工具集, 库, 应急响应, 挖矿检测, 数字取证, 暴力破解检测, 系统日志分析, 网络连接监控, 自动化分析, 自动化脚本, 计划任务分析, 跨站脚本, 逆向工具