PersistenceSniper
v1.17.1
Persistênciasniper |
|---|
Persistncesniper é um módulo PowerShell que pode ser usado por equipes azuis, respondedores de incidentes e administradores de sistema para caçar persistências implantadas nas máquinas Windows. Também está disponível na Galeria PowerShell e é assinado digitalmente com um certificado de assinatura de código válido. A ferramenta está em desenvolvimento ativo, com novos lançamentos lançados a cada semana, portanto, use a versão atualizada. Conta Oficial do Twitter/X @PersistsNiper. |
Por que escrever essa ferramenta, você pode perguntar. Bem, para iniciantes, tentei olhar em volta e não encontrei uma ferramenta adequada ao meu caso de uso específico, que procurava técnicas conhecidas de persistência, automaticamente, em várias máquinas, além de poder analisar rápida e facilmente e comparar resultados. Claro, os automóveis do Sysinternals são uma ferramenta incrível e definitivamente vale a pena usar, mas, dado que a produção resulta em formatos não padrão e não pode ser executada remotamente, a menos que você faça algumas travessuras com sua linha de comando equivalente, não achei um bom ajuste para mim. Além disso, algumas das técnicas que implementei até agora no Persistncesniper ainda não foram implementadas em autoruns, até onde eu sei. De qualquer forma, se o que você precisa é uma ferramenta fácil de usar, com muitos recursos já implementados, as autoruns são o caminho a percorrer; caso contrário
Para aprender a usar o Persistncesniper corretamente, acesse o wiki do projeto.
Tl; dr, se você está com preguiça de ler o wiki (o que eu recomendo), você pode instalar, importar e disparar persistências com os três comandos a seguir.
PS > Install-Module PersistenceSniper
PS > Import-Module PersistenceSniper
PS > Find-AllPersistence As técnicas de persistência implementadas até agora são detalhadas na página Detecção do Wiki de Persistênciasniper.
A maior parte dessa ferramenta é baseada no trabalho de outros pesquisadores qualificados, por isso é certo dar crédito ao contrário. Este projeto não estaria por perto se não fosse:
Além disso, essas pessoas contribuíram para o projeto:
Eu também gostaria de dar créditos aos meus companheiros de companheiros da @Aptortellini para a enxurrada de idéias que o ajudaram a crescer de um script orientado para o texto para um módulo PowerShell de pleno direito.
Este projeto está na versão da Cláusula Commons da licença do MIT. TL; DR: Você pode copiar, modificar, distribuir e executar o trabalho por qualquer motivo, excluindo fins comerciais, tudo sem pedir permissão.
