freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

THRecon:功能强大的网络威胁追踪侦察工具套件
2018-07-22 15:00:05

今天给大家介绍的是一款名叫THRecon的工具,该工具可以收集终端信息,而这些信息可以用来进行事件响应分类、威胁追踪和现场取证。当你的系统发出安全警报时,该工具可以给你提供尽可能多的相关分析信息,并帮助你确定是否发生了入侵行为。

信息收集

Host Info Processes* Services Autoruns Drivers
ARP DLLs* EnvVars Hosts File ADS
DNS Strings* Users & Groups Ports Select Registry
Hotfixes Handles* Sofware Hardware Event Logs
Net Adapters Net Routes Sessions Shares Certificates
Scheduled Tasks TPM Bitlocker Recycle Bin User Files

* 数据主要从主机当前运行的进程和可执行文件中提取。

工具要求

1.要求Powershell 5.0及以上版本(扫描设备)。

2.要求Powershell 3.0及以上版本(目标系统)。

3.在没有psexec封装器(Invoke-THR_PSExec)的情况下扫描一台远程设备,则要求远程设备上开启WinRM服务。

快速安装

在Powershell中使用git命令进行安装,然后开启新的Powershell会话,安装命令如下:

git clone https://github.com/TonyPhipps/THReconC:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon

如果没有安装git的话,你可以新建一个文件夹,然后将项目源码拷贝到目录中,然后开启新的Powershell会话:

mkdir C:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon\

测试样例

如果你需要进行快速扫描,你需要在主机中创建一个空文件夹,然后在cmd中切换到该目录,默认输出结果会保存在当前目录中:

mkdir c:\temp\

cd c:\temp\

Invoke-THR-Quick

问题解决

安装Powershell模块

如果你的系统无法自动加载相关模块,你需要手动导入模块:

cd C:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon\

Import-ModuleTHRecon.psm1

工具运行截图

"Invoke-THR"命令的输出结果:

a.png

输出文件:

b.png*参考来源:THRecon,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 响应命令 # 追踪技术
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑