PICT:一款功能强大的信息收集和事件响应工具 

PICT:一款功能强大的信息收集和事件响应工具 

关于PICT

PICT是一款功能强大的信息收集和事件响应工具,该工具可以帮助广大研究人员在受感染的终端节点中收集各种信息,以辅助进行网络安全事件应急响应。这些数据可能不够完整,但确实能够捕捉到很多有价值的取证信息。如果你想要获取完整的取证数据,你可以尝试获取完整的内存转储数据,并导出整个驱动器的镜像。

工具运行机制

该工具由多个Python脚本组成,能够以两种形式收集数据。第一种为摘要文件的形式,包含Shell命令输出以及从数据库提取数据等。比如说,浏览器模块能够输出一个browser_extensions.txt文件,其中将包含Safari、Chrome和Firefox安装的所有浏览器插件摘要信息。

第二种则是从文件系统收集的完整文件,这些文件将存储在集合文件夹中的一个子文件夹中。

工具下载

由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,使用下列命令将该项目源码克隆至本地:

git clone https://github.com/thomasareed/pict.git

工具语句

工具脚本的运行非常简单,脚本只接收一个必要参数,通过一个JSON格式的配置脚本传递即可:

./pict.py -c /path/to/config.json

这个配置脚本将描述工具如何收集信息以及需要收集何种信息,脚本内容大致如下:

{

"collection_dest" : "~/Desktop/",

"all_users" : true,

 

"collectors" : {

"browser" : "BrowserExtCollector",

"persist" : "PersistenceCollector",

"suspicious" : "SuspiciousBehaviorCollector",

"browserhist" : "BrowserHistoryCollector",

"bash_config" : "BashConfigCollector",

"bash_hist" : "BashHistoryCollector",

"processes" : "ProcessCollector",

"network_config" : "NetworkConfigCollector",

"profiles" : "ProfileCollector",

"certs" : "TrustedCertCollector"

},

 

"settings" : {

"keepL*SData" : true,

"zipIt" : true

},

 

"moduleSettings" : {

"browser" : {

"collectArtifacts" : true

}

},

 

"unused" : {

"installs" : "InstallationCollector"

}

}

模块自定义开发

模块必须由一个包含Collector类(在collectors/collector.py中定义)的子类的文件组成,且必须存放在collectors文件夹中。新的Collector模块可以直接通过拷贝collectors/template.py文件来生成,并根据需要进行自定义开发。

def __init__(self, collectionPath, allUsers)

我们可以根据需要来从重写这个方法,且必须在自定义代码执行之前调用Collector.init()方法,即初始化工具的配置属性。

def printStartInfo(self)

这是一个非常简单的方法,但模块开始执行收集任务的时候会调用这个方法,它会尝试将各种数据和当前场景信息输出到STDOUT,以便广大研究人员了解当前的任务进展情况。

def applySettings(self, settingsDict)

该模块可以应用任何自定义配置,每一个模块都会有一个自定义的设置,其中的settingsDict必须传递给父类,以便Collection类能够获取到模块的设置信息。

def collect(self)

这个方法是模块的核心,每当收集任务开始执行时都会调用这个方法,它能够将收集到的信息写入到文件中,并完成数据收集任务。

项目地址

PICT:【GitHub传送门

参考资料

https://github.com/munki/munki/blob/master/code/client/munkilib/FoundationPlist.py

本文作者:Alpha_h4ck, 转载请注明来自FreeBuf.COM

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/24063

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年9月12日 下午8:20
下一篇 2022年9月12日 下午8:24

相关推荐