Всем привет. Представляю вам скрипт для форензики. Скрипт называется "Linux-explorer".
Разработчик -== intezer
Страница разработчика -== intezer/linux-explorer
Linux-explorer - Скрипт для форензики.
Возможности:
Посмотреть полный список процессов.
Осмотрите карту памяти процесса и извлеките строки памяти.
Дамп процесса памяти в один клик.
Автоматический поиск хэша в публичных службах.
VirusTotal.
AlienVault OTX.
MalShare.
Показывет список пользователей.
Поиск подозрительных файлов по имени / regex .
netstat.
Whois.
Logs.
Системный журнал.
auth.log (журнал проверки подлинности пользователя).
ufw.log (журнал брандмауэра).
История bash.
Антируткит:
chkrootkit.
YARA.
Сканирование файла или каталога с использованием подписей YARA by @ Neo23x0
Сканирование текущего адресного пространства памяти процесса
Загрузите свою подпись YARA.
Требования:
Python 2.7
Код:
Настройте ключи api.
# nano config.py
VT_APIKEY = '<key>'
OTX_APIKEY = '<key>'
MALSHARE_APIKEY = '<key>'Установка и запуск.
Код:
# wget https://github.com/intezer/linux-explorer/archive/master.zip -O master.zip
# unzip master.zip
# cd linux-explorer-master
# ./deploy.sh
Код:
Запуск в браузере - http://127.0.0.1:8080Дамп и поиск по Firefox.
dump process.
1)Процессы.
2)Пользователи.
3)Поиск.
4)Netstat.
5)Logs. System logs.
5)Logs. Если установлен и работает firewall ufw , то увидим логи в категории "Firewall".
5) Logs. Authentication - Думаю, не нужно объяснять.
5)Logs. Bash history. История командной оболочки "Bash".
6) Chkrootkit в GUI.
7)YARA. Сканирование файла или каталога с использованием подписей YARA by @ Neo23x0.
Сканирование текущего адресного пространства памяти процесса.
Загрузите свою подпись YARA.
Спасибо за внимание.
