内容简介:今天给大家介绍的是一款名叫THRecon的工具,该工具可以收集终端信息,而这些信息可以用来进行事件响应分类、威胁追踪和现场取证。当你的系统发出安全警报时,该工具可以给你提供尽可能多的相关分析信息,并帮助你确定是否发生了入侵行为。* 数据主要从主机当前运行的进程和可执行文件中提取。1.要求Powershell 5.0及以上版本(扫描设备)。
今天给大家介绍的是一款名叫THRecon的工具,该 工具 可以收集终端信息,而这些信息可以用来进行事件响应分类、威胁追踪和现场取证。当你的系统发出安全警报时,该工具可以给你提供尽可能多的相关分析信息,并帮助你确定是否发生了入侵行为。
信息收集
Host Info | Processes * | Services | Autoruns | Drivers |
ARP | DLLs * | EnvVars | Hosts File | ADS |
DNS | Strings* | Users & Groups | Ports | Select Registry |
Hotfixes | Handles* | Sofware | Hardware | Event Logs |
Net Adapters | Net Routes | Sessions | Shares | Certificates |
Scheduled Tasks | TPM | Bitlocker | Recycle Bin | User Files |
* 数据主要从主机当前运行的进程和可执行文件中提取。
工具要求
1.要求Powershell 5.0及以上版本(扫描设备)。
2.要求Powershell 3.0及以上版本(目标系统)。
3.在没有psexec封装器(Invoke-THR_PSExec)的情况下扫描一台远程设备,则要求远程设备上开启WinRM服务。
快速安装
在Powershell中使用git命令进行安装,然后开启新的Powershell会话,安装命令如下:
git clone https://github.com/TonyPhipps/THReconC:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon
如果没有安装git的话,你可以新建一个文件夹,然后将项目源码拷贝到目录中,然后开启新的Powershell会话:
mkdir C:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon\
测试样例
如果你需要进行快速扫描,你需要在主机中创建一个空文件夹,然后在cmd中切换到该目录,默认输出结果会保存在当前目录中:
mkdir c:\temp\ cd c:\temp\ Invoke-THR-Quick
问题解决
【 安装Powershell模块 】
如果你的系统无法自动加载相关模块,你需要手动导入模块:
cd C:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon\ Import-ModuleTHRecon.psm1
工具运行截图
“Invoke-THR”命令的输出结果:
输出文件:
*参考来源: THRecon ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《THRecon:功能强大的网络威胁追踪侦察工具套件》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 网络协议 5 - ICMP 与 ping:投石问路的侦察兵
- MassDNS:一款功能强大的高性能DNS子域名查询枚举侦察工具
- LibreOffice 7.1 发布,开源办公套件
- LibreOffice 6.3 发布,开源办公套件
- LibreOffice 6.4.2 发布,开源办公套件
- LibreOffice 6.4.3 发布,开源办公套件
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。