PersistenceSniper
v1.17.1
Persistencesniper |
|---|
Persistencesniper es un módulo PowerShell que puede ser utilizado por equipos azules, respondedores de incidentes y administradores de sistemas para cazar persistencias implantadas en máquinas de Windows. También está disponible en PowerShell Gallery y está firmado digitalmente con un certificado de firma de código válido. La herramienta está en desarrollo activo con nuevos lanzamientos que saldrán por semana, así que asegúrese de usar la versión actualizada. Cuenta oficial de Twitter/X @PersistsNiper. |
Por qué escribir una herramienta de este tipo, podría preguntar. Bueno, para empezar, intenté mirar a mi alrededor y no encontré una herramienta que se adaptaba a mi caso de uso particular, que estaba buscando técnicas de persistencia conocidas, automáticamente, en múltiples máquinas, al tiempo que pudiera analizar y comparar fácilmente los resultados. Claro, las autorunas de Sysinternals es una herramienta increíble y definitivamente vale la pena usarlo, pero, dado que emite da como resultado formatos no estándar y no se puede ejecutar de forma remota a menos que haga algunas travesuras con su línea de comando equivalente, no me pareció un buen ajuste. Además, algunas de las técnicas que implementé hasta ahora en Persistencesniper aún no se han implementado en Autoruns, hasta donde yo sé. De todos modos, si lo que necesita es una herramienta basada en GUI fácil de usar con muchas funciones ya implementadas, Autoruns es el camino a seguir, de lo contrario, deja que Persistencesniper tenga una oportunidad, no se lo perderá.
Para aprender a usar Persistencesniper correctamente, diríjase a la wiki del proyecto.
Tl; Dr Si eres demasiado vago para leer el wiki (que recomiendo que hagas) puedes instalar, importar y disparar Persistencesniper con los siguientes tres comandos.
PS > Install-Module PersistenceSniper
PS > Import-Module PersistenceSniper
PS > Find-AllPersistence Las técnicas de persistencia implementadas hasta ahora se detallan en la página de detecciones del wiki de Persistencesniper.
La mayor parte de esta herramienta se basa en el trabajo de otros investigadores calificados, por lo que es correcto otorgar crédito donde se debe el crédito. Este proyecto no estaría presente si no fuera por:
Además, estas personas contribuyeron al proyecto:
También me gustaría dar créditos a mis compañeros en @aptortellini por la inundación de ideas que lo ayudaron a crecer de un guión orientado al texto en un módulo PowerShell de pleno derecho.
Este proyecto está bajo la versión de la cláusula Commons de la licencia del MIT. TL; DR: Puede copiar, modificar, distribuir y realizar el trabajo por cualquier razón, excluyendo propósitos comerciales, todo sin pedir permiso.
