最新的帖子

终点威胁狩猎工具& Steps

以下是我的一些来自互联网威胁狩猎工具,信息和资源的集合。




扫描和修复系统的步骤

4.1下载Malwarebytes.

双击安装程序并按照提示。如有必要,请选择视频指令的蓝色帮助选项卡....

安装完成或未安装Malwareb时执行以下操作:

打开Malwarebytes,选择> "设置" > "保护选项卡"

向下滚动到"扫描选项"确保在档案中扫描rootkit和扫描均在....

回到"仪表盘"选择the Blue "现在扫描"标签......

扫描完成后处理任何找到的参赛作品......

要从MalwareBytes获取日志执行以下操作:

  • 点击一下报告标签>来自主界面。
  • 双击扫描日志显示刚刚执行扫描的日期和时间。
  • 点击出口>从导出时,您有两个选项:

    复制到剪贴板 - 如果SELETED右键单击并选择"粘贴"日志将粘贴到您的回复中
    文本文件(* .txt) - 如果选择,您将不得不将文件命名并保存到一个选择地点,推荐"桌面"然后附加回复
     
  • 请用"复制到剪贴板,然后右键单击回复>选择"粘贴"这将将日志复制到您的回复...

选择:Web Cureit博士!:Dr.Web Cureit!实用程序将治愈一次受感染的系统,但它不设计为您的PC提供免受病毒的实时保护。

4.2 下载Farbar Recovery Scan工具 

替代下载选项:http://www.techspot.com/downloads/6731-farbar-recovery-scan-tool.html

笔记:您需要运行与系统兼容的版本(32位或64位)。如果您不确定哪个版本适用于您的系统下载两个版本并尝试运行它们。只有其中一个将在您的系统上运行,这将是正确的版本。

如果您的安全警报到FRST,请接受警报或将安全性关闭以允许FRST运行。它不是恶意或以任何方式感染......

请注意FRST必须从管理员状态的帐户运行...
 双击运行它。工具打开时单击 是的 免责声明。(Windows 8/10用户将提示有关Windows SmartScreen保护 - 单击更多信息并运行。)
  • 确保Accudate.txt.检查了下面的检查"可选的扫描"
  • 扫描按钮运行工具....
  • 它会制作一个日志(frst.txt.)在同一目录中运行该工具。请复制并粘贴您的回复。
  • 该工具还将创建一个名为的日志(Accudate.txt.)请附上该记录到您的回复。

编辑fixlist.txt.文件并将其放入您将FRST保存的文件夹中。"运行FRST修复时不要打开该文件"
笔记。它'重要的是,FRST和FIXLIST.TXT都在同一位置或修复程序不起作用。

FixList.txt示例:
开始
特写过程:
CheaterestorePoint:
HKU \ S-1-5-21-329538839-709975324-1257610972-1257610972-1000 \ ... \ run:[* hinzifmx<*>] => "C:\用户\新用户\ appdata \ local \ f8acb \ 9ce63.lnk" <====注意(具有无效字符的值名称)
C:\用户\新用户\ appdata \ local \ f8acb
S3 GDRV; \ ?? \ c:\ windows \ gdrv.sys [x]
FireWallrules:[{17277AF5-A816-4BB-A57C-C21541B4875B}] =>(允许)LOST = 2869
防火墙:[{8F312734-7E85-4F3A-B918-A3AE66575823]]}] =>(允许)LPORT = 1900
extentTemp:
主持人:
CMD:IPCONFIG / FLUSHDNS
结尾


打开FRST,然后按下修复按钮一次并等待。
该工具将在桌面(FixLog.txt)上的日志上,或者从中运行的文件夹。请发布到您的回复。

4.3 下载adwcleaner.由Malwarebytes.或者镜子
  • 右键单击adwcleaner.exe.并选择跑步 as Administrator(对于Windows Vista,7,8,8.1和10用户)
  • 接受EULA(我接受),然后点击扫描
  • 让扫描完成。一旦它'完成,确保不同选项卡中列出的每个项目都是检查一下然后点击干净的按钮。这将杀死所有活动流程
  • 清洁过程完成后,AdWCleaner会要求重新启动计算机,请执行此操作
  • 重新启动后,登录时会打开日志。请在下一个回复中复制/粘贴该日志的内容


4.4 下载微软's "恶意软件删除工具"

注意:确保获得正确的版本为您的系统。

右键单击该工具,选择“以管理员身份运行”该工具将展开选项窗口
在里面"扫描类型"窗口,选择快的扫描
执行扫描并在完成扫描时单击“完成”。

检索MSRT(恶意软件删除工具)日志如下
1)选择Windows键和R键在一起打开"跑步"功能
2)键入或复制/粘贴以下命令"跑线"然后按ENTER:

笔记pad C:\ Windows \ debug \ mrt.log

日志将包括每次MSRT运行的日志详细信息,所以最近的日志和时间将是必需的....

4.5 下载"Delfix by xplode."并将其保存到您的桌面上。

或者如果第一个链接关闭,则使用以下内容:"Delfix链接镜像"

如果您的安全计划警报DEFIX,请接受警报或关闭安全性。

双击启动程序。如果您使用Vista或更高版本,请右键单击,然后选择运行作为管理员

确保选中以下项目:
  • 删除消毒工具<-----这将删除我们可能使用的工具。
  • 清除系统恢复<---这将删除所有先前和可能利用的恢复点,将创建一个相对于系统状态的新点。
  • 重置系统设置<---这将将任何系统设置重置为默认设置,在清除或恶意软件/感染期间由我们更改

现在点击"跑步"并耐心等待直到工具已完成。

该工具在完成​​后会创建一个日志。我们不'需要你发布这个问题。

可以删除我们使用的工具的任何剩余文件/日志...


4.6 阅读以下链接以完全了解PC安全性和最佳实践

答复常见的安全问题和最佳实践

我需要注册表清洁剂吗?

照顾和冲浪保险箱


4.7下载Microsoft Safety Scanner

Microsoft Safety Scanner是一个扫描工具,旨在从Windows计算机查找和删除恶意软件。只需下载它并运行扫描以查找恶意软件并尝试通过已识别的威胁进行反转更改。
安全扫描仪仅在手动触发时扫描,并在下载后10天使用。

堪萨州



用法:


PS C:\ISOScripting\Kansa-master\Kansa-master> .\kansa.ps1 -target testmachine1
VERBOSE: Found Modules\\Modules.conf.
VERBOSE: Running modules:
Get-PrefetchListing
Get-WMIRecentApps
Get-Netstat
Get-DNSCache
Get-ProcsWMI
Get-LogUserAssist
Get-SvcFail
Get-SvcTrigs
Get-WMIEvtFilter
Get-WMIFltConBind
Get-WMIEvtConsumer
Get-PSProfiles
Get-SchedTasks
Get-File
Get-LocalAdmins
VERBOSE: Waiting for Get-PrefetchListing to complete.

Id     Name            PSJobTypeName   State         HasMoreData     Location             Command
--     ----            -------------   -----         -----------     --------             -------
1      Job1            RemoteJob       Completed     True            testmachine1            <#...
VERBOSE: Waiting for Get-WMIRecentApps to complete.
3      Job3            RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-Netstat to complete.
5      Job5            RemoteJob       Completed     True            testmachine1            <#...
VERBOSE: Waiting for Get-DNSCache to complete.
7      Job7            RemoteJob       Completed     True            testmachine1            <#...
VERBOSE: Waiting for Get-ProcsWMI to complete.
9      Job9            RemoteJob       Completed     True            testmachine1            <#...
VERBOSE: Waiting for Get-LogUserAssist to complete.
11     Job11           RemoteJob       Failed        True            testmachine1            <#...
VERBOSE: Waiting for Get-SvcFail to complete.
13     Job13           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-SvcTrigs to complete.
15     Job15           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-WMIEvtFilter to complete.
17     Job17           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-WMIFltConBind to complete.
19     Job19           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-WMIEvtConsumer to complete.
21     Job21           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-PSProfiles to complete.
23     Job23           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-SchedTasks to complete.
25     Job25           RemoteJob       Failed        False           testmachine1            <#...
VERBOSE: Waiting for Get-File C:\Windows\WindowsUpdate.log to complete.
27     Job27           RemoteJob       Failed        False           testmachine1            <# ...
VERBOSE: Waiting for Get-LocalAdmins to complete.
29     Job29           RemoteJob       Failed        False           testmachine1            <#...
Script completed with warnings or errors. See C:\ISOScripting\Kansa-master\Kansa-master\Output_20181029102057\Error.Log
for details.


PS C:\ISOScripting\Kansa-master\Kansa-master> ls


    Directory: C:\ISOScripting\Kansa-master\Kansa-master


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       29/10/2018   8:54 AM                Analysis
d-----       29/10/2018   8:54 AM                Modules
d-----       29/10/2018  10:18 AM                Output_20181029101813
d-----       29/10/2018  10:18 AM                Output_20181029101855
d-----       29/10/2018  10:19 AM                Output_20181029101903
d-----       29/10/2018  10:20 AM                Output_20181029102044
d-----       29/10/2018  10:27 AM                Output_20181029102057
-a----       29/10/2018   8:54 AM             89 .gitignore
-a----       29/10/2018   8:54 AM           3217 CODE_OF_CONDUCT.md
-a----       29/10/2018   8:54 AM           3540 contributing.md
-a----       29/10/2018   8:54 AM          50110 kansa.ps1
-a----       29/10/2018   8:54 AM          11323 LICENSE
-a----       29/10/2018   8:54 AM           3212 MSLimitedPublicLicense.txt
-a----       29/10/2018   8:54 AM           3770 README.md


PS C:\ISOScripting\Kansa-master\Kansa-master>




令人敬畏的事件响应

它是安全事件响应的策划工具和资源列表,旨在帮助安全分析师和DFIR团队。

工具可以扫描远程网络驱动器



Mimikatz.

A little tool to play with Windows security http://blog.gentilkiwi.com/mimikatz

  • //github.com/gentilkiwi/mimikatz/releases/tag/2.1.1-20181209 - mostly this will be flagged as a threat
  • //github.com/PowerShellMafia/PowerSploit - You can use this powershell script version to avoid that.

其他相关工具

  • Wireshark(http://www.esecurityplanet.com/open-source-security/5-big-improvements-in-wireshark.html)
  • OpenVas(http://www.openvas.org)
  • Nessus专业版
  • Rapid7 Nexpose.
  • QualveS Freescan.
  • Metasploit(//www.rapid7.com/products/metasploit/download.jsp)
  • John the Ripper(http://www.openwall.com/john/)
  • Kali Linux(//www.kali.org/downloads/)
  • Pentoo (http://www.pentoo.ch/download/)
  • Parrot Security OS(http://www.pentoo.ch/download/)
  • BackBox (//backbox.org/download)
  • Samurai Web Testing Framework (//sourceforge.net/projects/samurai/files/)
  • Immunity Canvas(//www.rapid7.com/products/metasploit/editions.jsp)
  • Core Impact Pro(http://www.coresecurity.com/content/core-impact-overview)





威胁分析公司




参考






暂无评论