工具介绍
一款蓝队应急工具,支持最低版本: windows7 x64,必须右键以管理员运行此工具,否做功能会失效。
更新日志
2024/5/27:
memory scanner增加2024_5_27版本:
代码语言:javascript复制增加白加黑检测(100%检测白加黑)
增加shadow stack walk(100%检测各种 栈欺骗、'栈加密'、检测ROP漏洞利用技术)shadow stack walk需要芯片支持CET与系统支持CET机制,大部分intel的CPU需要bios开启,AMD的CPU则默认开启这个机制。
关于这个机制,微软在KeVerifyContextXStateCetU中所使用,具体移步
代码语言:javascript复制https://github.com/yardenshafir/cet-research/blob/master/src/KeVerifyContextXStateCetU.c后续更新计划:
代码语言:javascript复制预计更新java内存马扫描
预计更新mssql爆破检测
预计更新抹掉PE头检测之前更新记录:
代码语言:javascript复制2023/12/25:增加银狐的yara规则,检测截至目前的银狐样本
2023/8/3:door_scanner-alpha更新 ioc扫描 支持银狐扫描
2023/7/22:yara scanner推出测试版,多线程扫描,大量优化改进,5分钟扫描完全盘.支持导出报表,具体可以看yara scanner beta目录
2022/10/18:door scanner推出测试版,测试版增加prefetch搜集功能,修复了一些bug
2022/10/08:memory scanner支持windows7了!现在windows7 sp1与windows 2008能使用此工具了!工具列表
1. yara scanner 这个是应急用的给朋友定制的,他们说一个公司发现了一个病毒基本上其他的机器都有同样的文件只不过位置不一样要一个东西能全扫出来,功能列表。
代码语言:javascript复制全盘文件扫描,寻找指定的hash、文件名
yara扫描,可自定义yara文件进行扫描查找
ntfs stream流扫描,检测文件是否携带了ntfs stream数据
导出报告
配置项注释:
代码语言:javascript复制{
"scan_path": ["D:\system_image"], //扫描的目录.不要以\结尾,可以是磁盘根目录
"hashes": [
"EE9E2816170E9441690EBEE28324F43046056712" //要找的文件的hash,这是个数组
],
"filenames": [
"InstDrv.bin" //要找的文件名字,这是模糊匹配,这是个数组
],
"max_file_limit": 5002400 //最大读取文件的大小,超过这个大小的文件不读取
}可以编辑yara_rules目录,从而让这个工具变成webshell扫描工具、木马病毒扫描工具、特定信息扫描工具等等,自己配置yara请确保有yara文件,否做工具无法运行
2. door scanner 这个是应急用的给朋友定制的,主要用途扫描持久化后门,功能列表:
代码语言:javascript复制扫描计划任务、注册表自启动、开始菜单自启动、服务的项目
扫描dns缓存
扫描TCP表
扫描用户列表
扫描amcache,扫描历史程序启动记录[最低支持: windows8]
扫描登录日志,检测登录主机名、IP、检测RDP爆破[最低支持: windows7]
扫描域控日志,检测hash传递、万能钥匙域控横向移动[最低支持: windows7]
PowerShell执行历史记录扫描[最低支持: windows7]
[beta测试版]prefetch扫描,获取最近的程序执行记录
[beta测试版]runmru扫描,获取所有用户最近的通过"win r运行"执行的程序
[beta测试版]shimcache扫描,获取最近程序执行记录
[beta测试版]AppCompatFlags扫描,获取最近程序执行记录
[beta测试版]Muicache扫描,获取最近程序执行记录
[beta测试版]rdp服务(3389)对外远程链接记录
[beta测试版]rdp服务(3389)对内远程链接记录
对以上这些项目对接IOC进行检查,检查hash、IP、域名,标注可疑项目(需要自己申请APIKEY)
支持CSV报表导出
*代表正在内测稳定性,暂不公布,加入社区一起内测
好消息!离线扫描脚本已经就绪,支持离线云查扫描!
编辑offline_scan.py 填入你的API,然后选择要打开的CSV文件
代码语言:javascript复制headers = {
'apikey': "你的API key"
}
csvfile = open('./shimcache.csv', 'r')就可以把隔离网的进程信息进行离线云查扫描了!
配置项注释:
代码语言:javascript复制{
"apikey": "", //ioc的apikey,不配置默认不用ioc
"max_file_limit": 10737418240 //最大读取文件的大小,超过这个大小的文件不读取
}3. memory scan 这个是之前duckmemoryscan的进化版本,主要用途扫描内存后门,功能列表:
代码语言:javascript复制扫描内存马(任何在heap上的内存马,如cobalt strike、msf,xor、aes免杀loader等xxxoo变种)
标注内存中可疑的位置的进程、线程信息
yara内存扫描,默认规则扫描内存中是否存在ip、域名、PE文件
标注可疑的dll.如伪装成系统程序的dll、无数字签名的dll却加载到有数字签名的进程中
标注可疑的dll行为,如RPC dump lsass等
标注无数字签名的进程
扫描rootkit,检测是否有可疑的驱动程序
在有IOC情报源的情况下,扫描危险进程、高危dll
支持CSV报表导出
配置项注释:
代码语言:javascript复制{
"apikey": "", //ioc的apikey,不配置默认不用ioc
"ioc_scan_dll": 0, //是否用IOC扫描DLL,如果扫描的话会给出dll文件的安全性,但是会慢
"max_file_limit": 5002400 //最大读取文件的大小,超过这个大小的文件不读取
}可以编辑yara_rules目录,默认yara检测cobalt strike的beacon,也可以写其他的规则,比如扫描内存中是否有IP地址、是否有域名啥的,看yara编写配置. 请确保有yara文件,否做工具无法运行
4. 待做项目
由于目前工作繁忙原因,以下东西在待做列表中,按照顺序,优先实现,请star这个项目保持关注
代码语言:javascript复制yara scanner for linux
door scanner for linux
memory scanner for linux
weblog scanner
