解决方案:DFIRTriage：针对Windows的事件应急响应数字取证工具

　　解决方案:DFIRTriage：针对Windows的事件应急响应数字取证工具

　　文章目录工具

　　的新功能取决于环境、工具下载、操作流程输出、分析输出、目录和项目地址

　　DFIRTriage描述

　　DFIRTriage 是一种工具，旨在为安全事件响应者提供对目标主机数据的快速访问。该工具是用Python开发的，代码是预编译的，因此研究人员可以直接在目标主机上使用该工具，而无需安装其他依赖组件。在工具运行过程中，会自动执行各种命令，获取的数据将存储在工具执行目录的根目录中。除此之外，DFIRTriage还可以直接从USB驱动器或通过远程外壳在目标主机上运行。目前，该工具仅支持Windows平台。

　　工具新功能 一般：

　　1. 引入高性能更新机制，清理旧版本中的bug，提升工具性能;

　　2. 重构了输出目录的结构;

　　3.删除了TZworks工具;

　　4. 新增命令行参数;

　　内存采集：

　　1.默认采集内存数据;

　　2、内存数据采集时需要提供参数;

　　3.获取内存前检查可用空间;

　　4.更新采集进程以避免Windows崩溃;

　　

　　新工具：

　　1. 视窗更新.log文件

　　2. Windows Defender 扫描日志

　　3. PowerShell命令行历史记录

　　4. 主机文件

　　5. 网络统计输出（包括相关网络连接的PID）。

　　6. 记录所有目标主机中登录用户的信息（Triage_info.txt）

　　7. 添加 Windows 事件日志事件条目

　　DFIR分类搜索工具：

　　1.可以搜索DFIR分类输出数据和日志文件进行关键词;

　　2. 搜索工具是一个独立的可执行文件 - dtfind.exe;

　　3. 双击运行

　　依赖环境

　　工具库收录正确执行所需的完整工具集，并打包到一个名为 core.ir 的单个文件中。在Python中运行时，这个“.ir”文件是DFIRtriage唯一需要的依赖项，位于名为data的目录中（即“/data/core.ir”）。DFIRtriage的编译版本嵌入了完整的工具集，不需要添加“./data/core.ir”文件。注： 不再使用 TZWorks 实用程序。

　　工具下载

　　研究人员可以使用 Git 命令在本地克隆项目源代码

　　

　　git clone https://github.com/travisfoley/dfirtriage.git

　　操作流程

　　DFIRtriage直接从目标主机获取数据，要获取远程主机数据，需要将DFIRtriage文件复制到目标主机，然后通过远程shell执行。（即 SSH 或 PSEXEC）。

　　PSEXEC 的使用

　　1.映射网络驱动器，使用帐户完成身份验证，

　　帐户需要对目标主机具有本地管理员权限，我们可以直接使用映射链接将DFIRtriage复制到目标主机。

　　现在，我们需要使用 PSEXEC 与目标主机建立远程外壳连接

　　psexec \target_host cmd

　　3. 获取目标主机的远程 shell 后，现在可以在目标主机上执行所有命令。

　　注意：DFIR分类必须以管理员权限运行。

　　输出分析

　　完成后，按 Enter 清除输出目录。如果运行可执行文件，则仅保留输出压缩文档和 DFIRtriage .exe。如果直接运行 Python 代码，则只保留 DFIRtriage-v4-pub.py 和输出的压缩文档。

　　输出目录

　　输出目录名称将包括目标主机名和指示DFIRtriage执行时间的日期/时间代码，格式为YYYYMMDDHHMMSS。

　　项目地址

　　DFIRtriage： [GitHub portal].

　　解决方案:享受更专业的主题模板服务

　　前言：

　　PHP网站站长全面的SEO查询工具源码，喜欢就下载吧。

　　

　　身体：

　　网站全面的网络查询工具

　　源码站长SEO综合查询工具提供网站收录查询、站长查询、百度权重值查询等多种站长工具，可免费查询各种数据，包括收录量、外链、域名Whois查询、ping查询、子域名查询、服务器IP查询及关键词排名等。查询结果出来后，保存的数据记录会自动更新，网站域名更方便收录爬网支持上传二级目录访问！

　　附言

　　

　　件

　　下

　　负荷

　　文件名： PHP 网站 网站管理员综合 SEO 查询工具源代码