ForensicsAssistant (FA取证助手)
Athena 没更新有一部分是因为这个项目
还是源于以前的一个很不错的想法
那时候还是个小穷逼,只有u盘,电脑都没得,所以就在想,如果有一个便携的,可以用于环境安全检查的工具不是很酷的吗?
2022-11-25 程序目前已有基本雏形
目前暂未放出主程序,FA取证助手套件其他小工具放出部分
2021年04月20日 已经记不得从什么时候开始开发的了
就假装是今天吧
- 以前试过通过纯命令行的方式进行操作,但是后面发现参数太多非常头疼,用起来非常不友好
- 后面换了一种方式,企图通过python的Tk来编写,但是发现非常难写,各种
BUG,头疼的不行
后面发现,为什么不通过Web进行编写呢? - 所以后面分为两个部分,一个
sensor,一个server,但是为了方便分析档案的拷贝,并不入库,直接以目录结构作为存储
Server 包含如下
- 目标主机取信息的配置
- 目标主机扫描规则
- 目标主机取信息的插件
- 新增 Web日志分析,这个分析只开始了第一步,刚开始了日志解析
Sensor 对在用户主机以管理员权限运行
- 根据服务的配置进行取对应数据
- 运行配置的插件
- 根据预定的规则对目标主机的文件进行全盘扫描
目前实现的功能
- 配置扫描规则 包含Yara,Hash,连接地址
等我有时间再说
2022年10月10日
先上一张服务端配置截图
运作模式为,服务端配置提取信息的内容,提取参数,添加对主机扫描的插件,保存配置后,通过sensor端,运行具体的提取功能。
sensor端提取截图如下
客户端数据提取完成后,即可在服务端进行展示,服务端展示内容如下
目前支持的功能如下
- 文件系统取证 通过磁盘中的文件进行提取信息
- 浏览器历史记录
- 命名管道
- 预读程序
- 启动目录
- 时间线
- HOSTS
- 提取主机杀毒记录
- 健康状态检查 对主机运行时的部分信息进行提取
- ARP表
- 网卡信息
- 进程信息
- 路由表
- 计划任务
- 服务信息
- 会话信息
- 网络共享
- 网络列表
- Wi-Fi 信息
- 端口转发
- 内存信息扫描 对内存中的部分数据与信息进行提取
- 剪切板
- 加载的DLL
- 进程打开的文件
- 文件系统扫描 对整个文件系统进行扫描以发现问题
- 图片附加信息扫描(EXIF)
- 数字证书信息扫描
- 扫描进程(Yara)
- 扫描文件(Yara)
- 注册表检查 检查注册表中的风险项
- 映像劫持 (IFEO)
- 文件安装历史
- 历史运行记录
- 历史打开文档
- 自动运行
- USB设备历史
- 用户协助
- 信息提取存留 提取目标主机中较为重要的部分信息,有助于后续分析
- MFT
- 提取进程内存
- 提取进程文件
- 注册表
- Windows日志
- 提取用户软件口令
- 扫描插件 自定义简单逻辑进行主机检查