红蓝队监控辅助工具介绍:
此工具不是杀毒软件、不是杀毒软件、不是杀毒软件。
此工具是一个辅助监控工具(特殊场景和人员使用,见下面的适用场景),监控一些常见的病毒文件类型、Webshell、计划任务、服务等。
https://www.bilibili.com/video/BV1WRxseYETt/?vd_source=229f70258c44853078f16a5decbc2fb0
1、视频操作手册: 本视频。
2、适用场景:
(1)、红队:主要是防止被Github、某某公众号、星球等上面的开源(或闭源)工具有意或无意的投毒。
(2)、蓝队:攻防对抗演练、护网期间使用,特别适合于裸奔的客户。
(3)、病毒分析人员:调试分析病毒木马期间,监控释放的文件、创建的服务等等。
3、监控的内容:
1)默认监控常用病毒木马落地磁盘的类型
默认监控的文件类型已经内置。
2)默认监控的Webshell类型有如下: '.asp', '.asa', '.cer', '.cdx', '.htr', 'cfm', '.stm', '.shtm', '.shtml', '.aspx', '.asax', '.ashx', '.ashm', '.asmx', '.ascx', '.svc', '.soap', '.cshtml', '.config', '.php', '.php2', '.php3', '.php4', '.php5', '.phps', '.phtml', '.pht', '.php::$DATA', ".htaccess", '.jsp', '.jspx', '.jspf','.jspa', '.jsw', '.jsv', '.jtml', "war"
如果上述webshell类型还不能满足,用户可以去自定义添加,比如添加.abc文件后缀,那样就会同时监控上述类型和用户自定义的.abc类型。
3)默认监控 计划任务的创建和修改
4)默认监控 windows服务的创建和修改
3、工具监控截图(每个部分都有单独的日志留存)
4、同步日志(为溯源提供帮助)
日志信息同步网络空间其他的主机(比较实用,防止被入侵后,清除了日志,包括系统日志也可以同步)
这里采用单向同步且启用版本控制,防止日志被覆盖。
推荐工具(不是做广告哈~)
简单介绍一下设置:
被同步端设置(也就是需要把日志上传到其他主机的一端):
同步端设置(也就是远程备份日志的主机端):
同步过来的日志文件,且有版本控制
PS:
1、由于本人水平有限,目前未能实现对注册表的监控。 计划未来版本新增注册表的监控。如有大佬会的,请私我,感谢。
2、建议使用管理员权限运行本程序。
3、代码写的烂,写的仓促,还有许多需要优化的地方,放在下一个版本中解决吧。
4、小"彩蛋":在监控过程中,不需要停止任务,可以随时添加需要监控的Webshell后缀。
5、后期打算给程序加一个防止结束本进程的功能,有大佬有现成代码的,请私我,感谢!