venator-ir/CertutilCacheReporter
GitHub: venator-ir/CertutilCacheReporter
一款 Windows 数字取证工具,用于自动化枚举、解析和关联 certutil.exe 的 CryptnetUrlCache 下载缓存痕迹,支持 YARA 扫描与 CSV 报告导出,服务于事件响应与威胁狩猎调查。
Stars: 0 | Forks: 0
# Certutil Cache Reporter (CCR)
Certutil Cache Reporter 是一款 Windows 取证工具,用于分析由 `certutil.exe` 创建的 **CryptnetUrlCache** 痕迹。该独立工具会枚举所有用户配置文件中的缓存条目,提取下载元数据,关联下载内容,计算加密哈希值,执行可选的 YARA 扫描,并将结果导出为 CSV 报告,适用于数字取证调查、事件响应和威胁狩猎。
https://github.com/user-attachments/assets/302b6ce9-b6f3-401b-b04e-db02582d1362
## 目的
在大多数真实的 IR/Hunt(事件响应/威胁狩猎)场景中,该工具可以轻松部署用于实时系统分析或全盘镜像分析。即使其他证据已被删除或无法获取(例如事件日志被清除、下载的文件被删除、无法归因于威胁行为者),CryptnetUrlCache 痕迹通常也能保留下来。当然,这只是众多可用于下载文件的 [LOLBin](https://lolbas-project.github.io/lolbas/Binaries/Certutil/) 之一,幸运的是,它会留下大量痕迹。
## 功能
* 枚举以下对象的 CryptnetUrlCache 痕迹:
* 标准用户配置文件
* SYSTEM profile
* 支持:
* 实时 Windows 系统
* 挂载的取证镜像
* 离线 Windows 目录
* 解析 Cryptnet 元数据以提取:
* 下载 URL
* 下载时间戳(UTC 和本地)
* HTTP Last-Modified 标头
* HTTP ETag
* 下载文件大小
* 将元数据与缓存内容文件关联
* 计算:
* MD5
* SHA-1
* SHA-256
* 检测常见文件类型
* 可选的 YARA 扫描
* 未提供时自动下载 YARA
* 未提供时自动下载 YARA Forge Core 规则
* 支持自定义 YARA 可执行文件
* 支持自定义规则目录
* 支持完全禁用 YARA
* 生成全面的 CSV 报告
* 显示实时进度和扫描统计信息
## 要求
* Windows
* .NET 8 Runtime
## 用法
```
CertutilCacheReporter.exe [options]
```
### 选项
| 选项 | 描述 |
| ------------------ | ----------------------------------------------------- |
| `-d ` | Windows 安装根目录(默认:`C:\`) |
| `-o
标签:.NET 8, Ubuntu, YARA, 云资产可视化, 库, 应急响应, 数字取证, 网络信息收集, 自动化脚本