bitranox/fingerprint

# fingerprint 监控 Windows 注册表和文件更改 - 针对 Windows 注册表和文件的取证分析 “fingerprint” 记录 Windows 系统在文件和注册表方面的状态。 可以将此类指纹进行比较，以找出所有更改的数据。 可以结合 procmon 日志文件缩小数据范围，以便查看是哪个进程导致了更改。 可以对 Procmon 日志文件进行过滤，以仅显示已更改文件或注册表项的事件。 这使得查找系统更改的原因变得更加容易。 所有指纹均以 csv 格式存储，兼容 Excel，便于进行过滤、排序等操作。 您还可以使用第三方工具，如 “Meld”、“FC”、“diff” 来比较指纹。 您可以在批处理文件中使用 fingerprint 自动过滤出您感兴趣的事件——它对批处理非常友好 包含了源代码，但您也可以直接使用通过 pyinstaller 创建的 `fp.exe` 文件，该文件可从 `发布页 `_ 获取 ## 使用场景 监控蜜罐，监控系统更改，查找“隐藏的”注册表项或文件（例如演示版的过期信息），分析病毒活动，分析您的隐私是否受到侵害。您将能够找出系统中的每一个间谍程序、蠕虫病毒或黑客入侵，除非该程序仅驻留在内存中且未更改任何内容——但这极不可能发生 ## 用法 请查看 `Wiki `_ ## 安装 无需安装，直接使用 `发布页 `_ 中的 `fp.exe` 文件即可 ## 系统要求 使用 `.py` 文件时，将安装/需要以下依赖包： click python-registry pyinstaller（如果您想创建自己的 .exe 文件） ## 致谢 受 Regshot、InstallWatch Pro、SpyMe Tools、RegDiff、WhatChanged、RegFromApp、Uninstaller Pro 等工具启发 ## 许可证 本软件基于 `MIT 许可证 `_ 授权 参见 `许可证文件 `_ ## 示例会话 让我们通过一个例子来进行演练。假设我们有一款带有“试用期”的软件，并且该软件在试用期结束后停止运行。 在卸载并重新安装该软件后，它仍然显示“试用期已结束”——这说明该软件没有完全卸载，留下了一些文件或注册表项。 所有程序均从命令行启动。使用 fp.exe [command] --help 可显示包含所有命令行参数的帮助信息。 步骤1：在干净的系统中创建驱动器 c:\\ 的指纹： fp.exe files --fp_dir=c:\\ --f_output=c:\\fp\\fp1.csv fp.exe reg --f_output=c:\\fp\\reg1.csv 步骤2：在安装、运行并卸载软件后创建指纹： fp.exe files --fp_dir=c:\\ --f_output=c:\\fp\\fp2.csv fp.exe reg --f_output=c:\\fp\\reg2.csv 步骤3：创建差异文件。这些文件中存储了干净状态和卸载后状态之间的所有更改： fp.exe files_diff --fp1=c:\\fp\\fp1.csv --fp2=c:\\fp\\fp2.csv --f_output=c:\\fp\\fp1-fp2.csv fp.exe reg_diff --reg1=c:\\fp\\reg1.csv --reg2=c:\\fp\\reg2.csv --f_output=c:\\fp\\reg1-reg2.csv 步骤4：重新安装软件 使用 procmon 记录所有系统活动，并将日志保存为 csv 文件 "c:\\fp\\reinstall_procmon.csv" 过滤 Procmon 日志文件的方法很快就会说明，因为该功能目前正处于重构阶段。 如果您比较心急，可以使用旧版本 1.6（可从发布页获取）。 ## 备注 您可能会记录下相当多的干扰数据——目前还没有过滤器可以将其排除。另一方面——我通常会精确地隐藏在这些干扰数据中，所以我保留了它们 Procmon 日志文件可能会变得非常大——您可以在那里设置一些适当的过滤器（针对您正在检查的进程或程序）。 ## 待办事项 - travis windows

标签：API接口, CIDR输入, Conpot, DAST, HTTP工具, MIT许可, Procmon, PyInstaller, Python, Windows安全, 恶意软件分析, 数字取证, 数据包嗅探, 无后门, 沙箱分析, 注册表监控, 漏洞挖掘, 系统状态对比, 网络安全, 自动化脚本, 蜜罐监控, 逆向工具, 隐私保护, 黑盒测试