【渗透工具】一款自动化分析网络安全应急响应工具--FindAll

简介

这款工具的推出将极大地提升蓝队应对网络安全事件的能力,不仅有助于提高响应效率,还能够降低工作复杂性。通过提供全面的信息搜集和高效的威胁分析,我们可以帮助蓝队成员在复杂的网络环境中保持优势,但应急响应是一个十分复杂的工作此工具只能帮助蓝队人员收集部分信息,如有异常发现还是需要进入客户电脑进行仔细分析,无法与市面上商业的取证分析软件相比。FindAll采用客户端-服务器(CS)架构,特别适用于那些无法直接登录远程主机进行安全检查的场景。在这种情况下,拥有相应权限的运维人员只需在目标主机上运行FindAll的Agent组件来收集必要的数据。

综合信息搜集

  • 系统基本信息: 除了输出系统详细信息以外,还会检查系统配置和补丁,识别可利用的漏洞。
  • 网络信息: 分析当前网络连接,如果填写了微步API即可轻松识别异常网络,本产品会根据异常网络情况找到对应的进程然后进行分析和识别。
  • 开机启动项: 审查启动时自动执行的程序。
  • 计划任务: 检测可能隐藏的恶意计划任务。
  • 进程排查: 识别和分析运行中的可疑或异常进程,快速定位后门文件。
  • 敏感目录排查: 检查关键文件和目录的异常变更。
  • 日志排查: 深入分析系统和应用日志,寻找安全事件的痕迹,会根据日志进行汇总方便人员进行分析。
  • 账户检测: 识别各个场景下创建的隐藏账户、克隆账户。

自动化威胁分析(填写微步API后)

  • 自动识别异常IP、进程和文件,显著提高分析效率。
  • 突出显示异常情况,使得团队成员能够集中关注重点进程。

快速异常识别与响应

  • 提供即时的异常检测和响应建议,帮助蓝队迅速应对威胁。

用户友好界面

  • 界面设计简洁直观,适合各水平的蓝队成员。
  • 简洁明了,适合各水平用户,包括网络安全领域新手。
  • 支持一键分析预览异常情况,快速定位风险项。

安装与使用

FindAll采用客户端-服务器(CS)架构,可以在本地进行一键扫描,也可以使用Agent进行扫描然后录入扫描结果,适用于无法直接登录远程主机进行安全检查的场景。

安装与使用

下载安装包一键安装即可:
远程扫描:Agent位于C:\Program Files\FindAll\resources\buildResources,结果位于C:\Findall\result.hb
本地扫描:一键扫描即可

Agent扫描分析

下载链接
公众号回复“FindAll1.1.0”下载

关注公共号

posted @ 2024-02-01 09:27  小C学安全  阅读(125)  评论(0编辑  收藏  举报