• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Soft Linux-explorer - Forensic toolbox.

Литиум

Литиум

Well-known member
13.12.2017
337
600
Screenshot from 2018-07-23 12-37-00.png
Всем привет. Представляю вам скрипт для форензики. Скрипт называется "Linux-explorer".
Разработчик -== intezer
Страница разработчика -==

Linux-explorer - Скрипт для форензики.
May-blog-1-.jpg
Возможности:

Посмотреть полный список процессов.
Осмотрите карту памяти процесса и извлеките строки памяти.
Дамп процесса памяти в один клик.
Автоматический поиск хэша в публичных службах.
VirusTotal.
AlienVault OTX.
MalShare.
Показывет список пользователей.
Поиск подозрительных файлов по имени / regex .
netstat.
Whois.
Logs.

Системный журнал.
auth.log (журнал проверки подлинности пользователя).
ufw.log (журнал брандмауэра).
История bash.

Антируткит:

chkrootkit.

YARA.
Сканирование файла или каталога с использованием подписей YARA by @ Neo23x0
Сканирование текущего адресного пространства памяти процесса
Загрузите свою подпись YARA.

Требования:

Python 2.7
Код:
Настройте ключи api.
# nano config.py

VT_APIKEY = '<key>'
OTX_APIKEY = '<key>'
MALSHARE_APIKEY = '<key>'
Установка и запуск.
Код:
# wget https://github.com/intezer/linux-explorer/archive/master.zip -O master.zip
# unzip master.zip
# cd linux-explorer-master
# ./deploy.sh
Код:
Запуск в браузере - http://127.0.0.1:8080
Дамп и поиск по Firefox.
Screenshot from 2018-07-23 13-49-04.png
dump process.

1)Процессы.
Screenshot from 2018-07-23 13-53-17.png

2)Пользователи.

Screenshot from 2018-07-23 13-53-35.png

3)Поиск.
Screenshot from 2018-07-23 13-53-39.png

4)Netstat.

5)Logs. System logs.
Screenshot from 2018-07-23 13-54-03.png

5)Logs. Если установлен и работает firewall ufw , то увидим логи в категории "Firewall".
5) Logs. Authentication - Думаю, не нужно объяснять.
5)Logs. Bash history. История командной оболочки "Bash".
Screenshot from 2018-07-23 13-54-28.png



6) Chkrootkit в GUI.
Screenshot from 2018-07-23 13-54-39.png

7)YARA. Сканирование файла или каталога с использованием подписей YARA by @ Neo23x0.
Сканирование текущего адресного пространства памяти процесса.
Загрузите свою подпись YARA.
Screenshot from 2018-07-23 13-54-48.png

Спасибо за внимание.
 
  • Нравится
Реакции: Vertigo и Sunnych
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
220
1 014
Код:
Настройте ключи api.
# nano config.py
VT_APIKEY = '<key>'
OTX_APIKEY = '<key>'
MALSHARE_APIKEY = '<key>'
[/SPOILER]
Литиум про ключи api можно подробнее и с примером какие куда и откуда (если Вы настраивали). Заранее благодарен
 
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
Скрипт интересный, сомнений нет, но оформление статьи - лично мне, не понравилось, скомкано.
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб