产品介绍

设计背景

    该工具设计之初是由于进行部分应急响应工作中,目标主机已确定存在问题,对目标主机磁盘内存等存储介质全部通过镜像的方式固化数据。

    被分析主机由于各种原因,绝大部分配置并不理想,磁盘完整提取过程需要较久时间,在此期间对主机运行时信息进行简单提取保存,对主机情况有简单了解,并且可通过插件确认部分线索,方便此类工作开展。

工具构成

    目前工具主要由以下几组程序构成

  • FA 取证助手 了解详情
    • 该工具主要用于应急过程中,对主机运行时信息提取并进行简单分析。

  • RA 远程镜像工具 了解详情
    • 该工具仅适用于Windows,运行后开放指定端口,客户端可通过浏览器或迅雷对磁盘镜像进行下载。Linux系列系统有较多方式方便进行镜像,故未做适配。

  • EA 邮件助手 了解详情
    • 适用于大量分析邮件文件(eml),对邮件附件进行批量提取并分析,或匹配特定关键字,也可提取eml文件基础信息,例如收发人、标题、附件数量等等基础信息。

  • RF 远程取证助手 了解详情
    • 该工具主要针对常见存在漏洞并被利用硬件设备,简化硬件设备远程提取难度。

  • SF 文件搜索助手 了解详情
    • 对目标主机进行检查过程中,部分情况包含保密检查类工作,需要检索包含特定关键字文档或文件,该程序正在努力适配不同的文档文件。

联系方式

可通过QQ群:419252623 或 添加微信拉入群聊

添加好友拉群
FA 取证助手

    该程序主要用于应急过程中,对主机部分运行时信息进行提取,方便对主机大致信息了解,并存储部分阅读友好数据。该程序目前提取系统仅支持Windows,Linux 类系统提取程序目前正在适配中。

    程序主要由 3 部分构成,分析主程序、探针(sensor)端、与规则(配置)类文件,使用方式为如下。

  1. 启动主程序,通过浏览器打开配置页面
  2. 配置好程序提取配置与参数
  3. 将程序目录拷贝至大容量存储设备
  4. 将大容量存储设备接入目标主机
  5. sensor 程序需要 rules ( yara 规则)目录,与 config.db(配置与扫描参数,插件)支持
  6. 以管理员方式运行sensor程序
  7. sensor 运行结束后,会在上层路径中创建 machines 目录,并在其中创建对应主机存档目录
  8. 将 machines 目录中产生的主机档案目录拷贝至分析主机同目录下
  9. 启动 FA分析主程序 查看分析结果

功能

  • 文件系统取证
  • |- 浏览器历史记录
  • |- 预读程序
  • |- 时间线
  • |- 主机杀毒记录
  • |- 命名管道
  • |- 启动目录
  • |- Hosts
  • |- 部分软件痕迹
  • 健康状态检查
  • |- ARP表
  • |- 进程信息
  • |- 计划任务
  • |- 会话信息
  • |- 网络列表
  • |- 端口转发
  • |- 网卡信息
  • |- 路由表
  • |- 服务信息
  • |- 网络共享
  • |- Wi-Fi信息
  • |- 防火墙规则
  • 内存信息扫描
  • |- 剪切板
  • |- 进程打开的文件
  • |- 加载的DLL
  • 文件系统扫描
  • |- 图片附加信息(exif)
  • |- 数字证书信息扫描
  • |- Yara 扫描进程
  • |- Yara 扫描文件
  • 注册表检查
  • |- 映像劫持IFEO
  • |- 历史运行记录
  • |- 软件安装历史
  • |- 历史打开文档
  • |- USB设备历史
  • |- 常规检查
  • 信息提取
  • |- MFT(NTFS文件表)
  • |- 进程转储
  • |- Windows 日志
  • |- 部分软件存储口令
  • |- 提取进程文件
  • |- 注册表文件
  • 自定义插件
  • |- 根据用户需求提取指定内容

被提取适用系统

  • Windows

分析程序适用平台

  • Windows
  • Linux
  • MacOS

程序版本

  • Ver:0.05 Beta
档案管理页面 档案首页 扫描结果页面 进程列表 网络连接页面 设置页面 探针程序
下载
RA 远程镜像工具

    应急分析过程中,部分线索为云上主机,对远程 Windows 主机进行镜像过程中,相对于 Linux 系统存在诸多不便,可通过该程序开放 Web 服务访问主机磁盘。

    该程序运行后,会产生一个随机Key,也可指定固定Key,通过浏览器访问该程序,输入Key后,进入到镜像下载界面

适用系统

  • Windows

程序版本

  • Ver:0.05 Beta
镜像下载页面 程序运行界面
下载
EA 邮件助手

    进行分析任务时,偶尔会有大量eml邮件内容提供,进行邮件文件分析时一般分为几个分析方向,存在特定内容、特定类型内容(例如链接)、附件、标题、IP,进行批量eml文件分析过程中,可先对邮件内容或附件进行提取。

    该程序经实测,分析eml文件出错概率约为0.2%。后续将继续尝试提升解析成功率,并会尝试加入一些自动邮件分析功能

功能

  • 根据正则匹配内容
  • 批量提取附件
  • 根据eml批量生成列表
  • Windows 平台支持对邮件内容与附件进行简单安全检查(需自行建立规则)

适用系统

  • Windows
  • Linux
  • MacOS

程序版本

  • Ver:0.05 Beta
帮助界面
下载
RF 远程取证助手

    该工具,主要针对部分易受攻击并易受利用硬件设备,对攻击与镜像设备存储过程进行简化,减少利用难度。

功能

  • 仅支持某早期防火墙
  • 获取设备基础信息
  • 增加 shell
  • 优化磁盘镜像

适用系统

  • Windows
  • Linux
  • MacOS

程序版本

  • Ver:0.05 Beta
帮助页面
下载
SF 文件搜索助手

    该程序主要适用于应急过程中,存在部分确认文件或部分内容,或进行类似保密检查类任务,该程序目前仅支持部分文本文档过滤。该程序工作方式为先获取文件后缀,获取后缀失败后,根据文件内容判断文件类型,并送入对应处理函数。该程序目前仅支持文件文本内容,图片类数据未进行处理,后续会努力适配

功能

  • 支持文件内容过滤
  • 支持格式:doc、docx、pdf、xlsx、eml与常见文本文档

适用系统

  • Windows
  • Linux
  • MacOS

程序版本

  • Ver:0.05 Beta
帮助页面
下载