todoList:开发一款Windows下最好用的应急响应工具?
有想法的同学可以留言评论,说不定能碰撞出好的idea。
目前我从事了一年多的应急响应工作,发现Windows下没有一款很好用的应急响应工具。
市面上已有的Windows应急响应工具,无非bat脚本、应急信息收集、进程分析、内存dump、数据恢复、webshell查杀等,大多数工具功能比较单一,缺少一个集大成者的工具。
反观渗透测试的工具却种类繁多。
下面说一些我的想法。
用C#进行开发
窗体GUI操作,简化操作。
写脚本虽然快,但是用户体验不是很多。大多数情况都是自己使用。
增强网络连接排查体验
Windows下通过命令行netstat查看网络连接。但是看不到网络连接对应的pid,又得tasklist去查询。然后又得去微步查ip信息等等。
比如可以集成微步、vt的接口,实现一键查询,自动研判。
在工具中集成logparer.dll
首先用过logparser.exe的同学都知道写他的sql语句有多么难受,可以看下我写好的sql语句汇总。
why?市面上的应急工具都是对logparser.exe的cmd封装调用来查询Windows安全事件。
会遇到什么问题呢?
- 实战中经常会遇到evtx很大导致工具卡死的情况。cmd单线程调用会导致长时间等待执行完成。
- logparse.exe是32位的程序,现在的系统基本都是64位,读一些系统目录文件总会不兼容。
最终效果就是把Windows应急排查的事件全部集成在一起。
想到了接着写,持续开发。
赞赏
微信赞赏
支付宝赞赏
4条评论