快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

THRecon:功能强盛的收集威胁追踪侦查工具套件

今天给人人先容的是一款名鸣THRecon的工具,该工具可以网络终端信息,而这些信息可以用来进行事故响应分类、威胁追踪以及现场取证。当你的体系发出安全警报时,该工具可以给你提供绝可能多的相干阐发信息,并帮助你确定是否发生了入侵举动。

信息网络

Host Info Processes* Services Autoruns Drivers
ARP DLLs* EnvVars Hosts File ADS
DNS Strings* Users & Groups Ports Select Registry
Hotfixes Handles* Sofware Hardware Event Logs
Net Adapters Net Routes Sessions Shares Certificates
Scheduled Tasks TPM Bitlocker Recycle Bin User Files

* 数据首要从主机当前运行的进程以及可执行文件中提取。

工具请求

1.请求Powershell 5.0及以上版本(扫描设备)。

2.请求Powershell 3.0及以上版本(目标体系)。

3.在没有psexec封装器(Invoke-THR_PSExec)的情形下扫描一台遥程设备,则请求遥程设备上开启WinRM服务。

快速装置

在Powershell中使用git命令进行装置,数据库黑客,然后开启新的Powershell会话,装置命令以下:

git clone https://github.com/TonyPhipps/THReconC:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon

要是没有装置git的话,你可以新建一个文件夹,然后将项目源码拷贝到目录中,然后开启新的Powershell会话:

mkdir C:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon\

测试样例

要是你需要进行快速扫描,你需要在主机中创建一个空文件夹,然后在cmd中切换到该目录,默认输出效果会保存在当前目录中:

mkdir c:\temp\

cd c:\temp\

Invoke-THR-Quick

问题解决

装置Powershell模块

要是你的体系没法自动加载相干模块,你需要手动导入模块:

cd C:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon\

Import-ModuleTHRecon.psm1

工具运行截图

“Invoke-THR”命令的输出效果:

a.png

输出文件:

b.png*参考来源:THRecon,Alpha_pck编译,

您可能还会对下面的文章感兴趣: