todoList:开发一款Windows下最好用的应急响应工具?

todoList:开发一款Windows下最好用的应急响应工具?

有想法的同学可以留言评论,说不定能碰撞出好的idea。

目前我从事了一年多的应急响应工作,发现Windows下没有一款很好用的应急响应工具。

市面上已有的Windows应急响应工具,无非bat脚本、应急信息收集、进程分析、内存dump、数据恢复、webshell查杀等,大多数工具功能比较单一,缺少一个集大成者的工具。

反观渗透测试的工具却种类繁多。

下面说一些我的想法。

用C#进行开发

窗体GUI操作,简化操作。

写脚本虽然快,但是用户体验不是很多。大多数情况都是自己使用。

增强网络连接排查体验

Windows下通过命令行netstat查看网络连接。但是看不到网络连接对应的pid,又得tasklist去查询。然后又得去微步查ip信息等等。

比如可以集成微步、vt的接口,实现一键查询,自动研判。

在工具中集成logparer.dll

首先用过logparser.exe的同学都知道写他的sql语句有多么难受,可以看下我写好的sql语句汇总。

why?市面上的应急工具都是对logparser.exe的cmd封装调用来查询Windows安全事件。

会遇到什么问题呢?

  • 实战中经常会遇到evtx很大导致工具卡死的情况。cmd单线程调用会导致长时间等待执行完成。
  • logparse.exe是32位的程序,现在的系统基本都是64位,读一些系统目录文件总会不兼容。

最终效果就是把Windows应急排查的事件全部集成在一起。

demo

想到了接着写,持续开发。

Print Friendly, PDF & Email
赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

目前为止有一条评论

sshui 发布于5:33 下午 - 11月 2, 2022

gkd