【渗透工具】D-Eyes为绿盟科技一款检测与响应工具
2023-12-29 08:31:14 Author: 菜鸟学信安(查看原文) 阅读量:4 收藏

D-Eyes为绿盟科技一款检测与响应工具,可在如下方面开展支撑:

作为应急响应工具,支持勒索挖矿病毒及webshell等恶意样本排查检测,辅助安全工程师应急响应时排查入侵痕迹,定位恶意样本。
作为基线检查工具,辅助检测和排查操作系统配置缺陷;(TODO)
作为软件供应链安全检查工具,可提取web应用程序开源组件清单(sbom),判别引入的组件风险。(TODO)

运行

Windows

请以管理员身份运行cmd,之后再输入D-Eyes路径运行即可或进入终端后切换到D-Eyes程序目录下运行程序。

Linux

请以root身份运行

文件扫描

若扫到恶意文件,会在D-Eyes所在目录下自动生成扫描结果D-Eyes.xlsx文件,若未检测到恶意文件则不会生成文件,会在终端进行提示。

Windows

默认扫描(默认以5个线程扫描C盘)命令:D-Eyes fs指定路径扫描(-P 参数)单一路径扫描:D-Eyes fs -P D:\tmp 多个路径扫描:D-Eyes fs -P C:\Windows\TEMP,D:\tmp,D:\tools指定线程扫描(-t 参数)命令:D-Eyes fs -P C:\Windows\TEMP,D:\tmp -t 3指定单一规则扫描(-r 参数)命令:D-Eyes fs -P D:\tmp -t 3 -r Ransom.Wannacrypt规则名称即将yaraRules目录下的规则去掉后缀.yar, 如:指定Ransom.Wannacrypt.yar规则,即-r Ransom.Wannacrypt

Linux

默认扫描(默认以5个线程扫描全盘)命令:./D-Eyes fs指定路径扫描(-P 参数)单一路径扫描:./D-Eyes fs -P /tmp 多个路径扫描:./D-Eyes fs -P /tmp,/var指定线程扫描(-t 参数)命令:./D-Eyes fs -P /tmp,/var -t 3指定单一规则扫描(-r 参数)命令:./D-Eyes fs -P /tmp -t 3 -r Ransom.Wannacrypt规则名称即将yaraRules目录下的规则去掉后缀.yar, 如:指定Ransom.Wannacrypt.yar规则,即-r Ransom.Wannacrypt。

进程扫描

进程扫描的结果在终端上进行提示。

Windows:

默认扫描(默认扫描全部进程)命令:D-Eyes ps指定进程pid扫描(-p参数)命令:D-Eyes ps -p 1234指定规则扫描(-r参数)命令:D-Eyes ps -p 1234 -r Ransom.Wannacrypt检测指定外联IP的进程可将恶意ip添加到工具目录ip.config文件当中,执行D-Eyes ps程序会自动检测是否有进程连接该IP,最后结果会输出到终端。ip.config文件格式(换行添加即可),如:0.0.0.0127.0.0.1

Linux:

默认扫描(默认扫描全部进程)命令:./D-Eyes ps指定进程pid扫描(-p参数)命令:./D-Eyes ps -p 1234指定规则扫描(-r参数)命令:./D-Eyes ps -p 1234 -r Ransom.Wannacrypt检测指定外联IP的进程可将恶意ip添加到工具目录ip.config文件当中,执行D-Eyes ps程序会自动检测是否有进程连接该IP,最后结果会输出到终端。ip.config文件格式(换行添加即可),如:0.0.0.0127.0.0.1

查看主机信息

Windows命令:D-Eyes hostLinux命令:./D-Eyes host

查看主机网络信息,并导出外联IP

Windows命令:D-Eyes netstatLinux命令:./D-Eyes netstat

主机若存在远程连接,执行该条命令后会在工具同级目录下自动生成“RemoteConnectionIP.csv”文件,之后可直接将该文件上传到“绿盟NTI威胁研判模块”查询主机所有远程连接IP信息。绿盟NTI威胁研判模块网址:https://ti.nsfocus.com/advance/#/judge

查看主机账户

Windows命令:D-Eyes usersLinux命令:./D-Eyes users

显示主机CPU使用率前15个进程信息

Windows命令:D-Eyes topLinux命令:./D-Eyes top

查看计划任务

Windows命令:D-Eyes taskLinux命令:./D-Eyes task

查看自启项

Windows命令:D-Eyes autorunsLinux命令:./D-Eyes autoruns

导出主机基本信息

Windows命令:D-Eyes summaryLinux命令:./D-Eyes summary

执行该条命令后会在工具同级目录下自动生成“SummaryBaseInfo.txt”文件,文件内容包括主机系统信息、主机用户列表、主机计划任务及主机IP信息。

Linux主机自检命令

Linux命令:./D-Eyes sc

目前Linux自检功能支持以下模块检测:

  • 空密码账户检测

  • SSH Server wrapper检测

  • SSH用户免密证书登录检测

  • 主机 Sudoer检测

  • alias检测

  • Setuid检测

  • SSH登录爆破检测

  • 主机Rootkit检测

  • 主机历史命令检测

  • 主机最近成功登录信息显示

  • 主机计划任务内容检测

  • 环境变量检测

  • 系统启动服务检测

  • TCP Wrappers 检测

  • inetd配置文件检测

  • xinetd配置文件检测

  • 预加载配置文件检测

公众号后台回复“552”获取网盘下载链接

文章转自 小C学安全,侵权请联系删除


文章来源: http://mp.weixin.qq.com/s?__biz=MzU2NzY5MzI5Ng==&mid=2247499237&idx=1&sn=9eb818ff93449f4aa7a5d04bb31cddd3&chksm=fdef8af272203c30baad7457f028c98cfd6771c8721bca1ac3103f5eaa76f7d48008f4892e0e&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh