文件名称:LocalShellExtParse:用于解析用户加载的 Shell 扩展的首次加载时间的脚本。 还枚举所有加载的仅为当前用户安装的 Shell 扩展
文件大小:3KB
文件格式:ZIP
更新时间:2024-06-20 17:29:27
Python
LocalShellExtParse LocalShellExtParse 是一个“离线”取证脚本,它将为 Shell 扩展生成“首次加载”时间线并识别仅为当前用户安装的 Shell 扩展。 这是识别使用 Shell 扩展作为持久性机制的恶意软件的有用方法。 更多信息可以在这篇博文中找到: : 注意:Regripper已更新,可以检测到这种持久性机制。 完整详细信息在这里: : 。 依赖关系 该脚本要求您使用 Python 绑定 ( ) 安装 Hivex。 Hivex 是 libguestfs 工具套件的一部分。 可以在此处找到 Linux 的安装: : 如果您使用的是 OSX,则可以在此处使用 brew tap: : 数据采集 该脚本解析NTUSER.DAT和UsrClass.DAT文件中的条目。 要使用该工具,您首先需要从要分析的主机收集文件。 我更喜欢FT
【文件预览】:
LocalShellExtParse-master
----LocalShellExtParse.py(6KB)
----README.md(2KB)