SergioMazariego/Mantis

# Mantis Mantis 是一款使用 Go 语言开发的取证工具，旨在简化系统分析和调查工作。它能自动检索关键日志和取证分析工件，并利用 Sysinternals 和 NirSoft 的多种外部实用工具。 ## **系统要求** 在使用 Mantis 之前，您必须**手动下载并将必要的实用工具放置**在与 `mantis.exe` 可执行文件相同的文件夹中。 ### **必需下载** 1. **Sysinternals Suite** (来自 Microsoft) - 下载地址：[https://download.sysinternals.com/files/SysinternalsSuite.zip](https://download.sysinternals.com/files/SysinternalsSuite.zip) - 将 `SysinternalsSuite.zip` 文件夹放置在与 `mantis.exe` 相同的目录中。 2. **LastActivityView** (来自 NirSoft) - 下载地址：[https://www.nirsoft.net/utils/lastactivityview.zip](https://www.nirsoft.net/utils/lastactivityview.zip) - 将 `lastactivityview.zip` 文件夹放置在与 `mantis.exe` 相同的目录中。 ## 功能 ### LastActivityView - **描述**：LastActivityView 是 NirSoft 提供的一款 Windows 实用工具，用于收集有关近期系统活动、打开的文件以及用户操作的信息。 - **分析**：提供对近期用户活动的洞察，包括已执行的进程、文件访问和用户登录。有助于了解系统使用模式和识别可疑行为。 ### pslist64 - **描述**：pslist64 是 Sysinternals 套件中的命令行工具，用于列出系统上正在运行的进程的详细信息。 - **分析**：能够检查正在运行的进程，包括它们的进程 ID、父进程、内存使用情况和可执行路径。有助于识别恶意或可疑进程并了解其行为。 ### tcpvcon64 - **描述**：tcpvcon64 是用于显示系统上 TCP 连接详细信息的实用工具。 - **分析**：提供对活动网络连接的可见性，包括本地和远程 IP 地址、连接状态和进程 ID。有助于识别基于网络的攻击、监控网络活动以及追踪通信路径。 ### autorunsc64 - **描述**：autorunsc64 是用于显示系统自启动项的实用工具，包括启动程序、服务、驱动程序等。 - **分析**：允许检查自启动配置，以识别潜在的恶意软件持久化机制，例如恶意服务、计划任务和启动程序。有助于检测和移除未经授权或恶意的自启动项。 ### Event Viewer 日志 - **描述**：将事件查看器日志从 `%SystemRoot%\System32\winevt\Logs` 复制到指定的目标文件夹。 - **分析**：提供对 Windows 事件日志的访问，其中包含系统事件、错误、警告和用户活动的记录。对于调查安全事件、系统崩溃和应用程序错误非常有价值。 ### PowerShell 历史 - **描述**：将 PowerShell 历史记录文件从 `%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine` 复制到指定文件夹。 - **分析**：允许检查在系统上执行的 PowerShell 命令，包括用户输入、执行的脚本和命令输出。有助于了解管理操作、脚本活动和潜在的安全漏洞。 ### 临时文件夹 - **描述**：将系统临时文件夹 (`C:\WINDOWS\Temp`) 中的文件复制到指定目标。 - **分析**：提供对系统和应用程序进程生成的临时文件的访问。用于分析临时工件、识别恶意文件以及了解系统活动模式。 ## 使用说明 要使用 Mantis，首先请确保 **Sysinternals Suite 和 LastActivityView** 已以 .zip 格式正确放置在与可执行文件相同的目录中。 ## 编译说明 要编译 Mantis 工具，请按照以下步骤操作： 1. 如果您的系统尚未安装 Go，请先安装。您可以从官方网站下载并安装：[https://golang.org/dl/](https://golang.org/dl/)。 2. 从 GitHub URL 克隆 Mantis 仓库： git clone https://github.com/SergioMazariego/Mantis 3. 导航到 mantis Go 文件所在的目录。 cd Mantis 4. 使用以下命令编译 mantis 工具： go build mantis.go 此命令将编译 Go 代码并生成一个名为 mantis 的可执行文件（在 Windows 上为 mantis.exe）。 5. 编译成功后，您可以通过执行生成的可执行文件来运行 mantis 工具： mantis.exe 请务必以管理员身份运行该可执行文件以确保功能正常，因为 Mantis 执行的某些任务可能需要提升的权限。 完成！您已成功编译，现在可以使用 Mantis 工具进行系统分析和调查。 所有结果都保存在名为 **Artifacts** 的文件夹中，该文件夹位于运行 Mantis 的同一目录下。 ## 贡献 欢迎对 Mantis 进行贡献！随时欢迎提交 Issue 或 Pull Request 来改进工具的功能或添加新特性。 ## 许可证 本项目采用 [GPL-3.0 license](LICENSE) 授权。

标签：AI合规, Autoruns, Conpot, DAST, EVTX分析, Go语言, HTTP工具, LastActivityView, Mr. Robot, NirSoft, Sysinternals, Windows安全, Windows 调试器, 取证工具, 后渗透, 后渗透检测, 恶意软件分析, 无线安全, 日志审计, 日志检索, 流量监控, 程序破解, 系统分析, 网络分析, 网络安全审计, 网络连接分析, 自动化收集, 进程活动