PICT:一款功能强大的信息收集和事件响应工具
2022-9-11 09:31:56 Author: FreeBuf(查看原文) 阅读量:32 收藏


 关于PICT 

PICT是一款功能强大的信息收集和事件响应工具,该工具可以帮助广大研究人员在受感染的终端节点中收集各种信息,以辅助进行网络安全事件应急响应。这些数据可能不够完整,但确实能够捕捉到很多有价值的取证信息。如果你想要获取完整的取证数据,你可以尝试获取完整的内存转储数据,并导出整个驱动器的镜像。

 工具运行机制 

该工具由多个Python脚本组成,能够以两种形式收集数据。第一种为摘要文件的形式,包含Shell命令输出以及从数据库提取数据等。比如说,浏览器模块能够输出一个browser_extensions.txt文件,其中将包含Safari、Chrome和Firefox安装的所有浏览器插件摘要信息。

第二种则是从文件系统收集的完整文件,这些文件将存储在集合文件夹中的一个子文件夹中。

 工具下载 

由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,使用下列命令将该项目源码克隆至本地:

git clone https://github.com/thomasareed/pict.git

 工具语句 

工具脚本的运行非常简单,脚本只接收一个必要参数,通过一个JSON格式的配置脚本传递即可:

./pict.py -c /path/to/config.json

这个配置脚本将描述工具如何收集信息以及需要收集何种信息,脚本内容大致如下:

{
"collection_dest" : "~/Desktop/",
"all_users" : true,
"collectors" : {
"browser" : "BrowserExtCollector",
"persist" : "PersistenceCollector",
"suspicious" : "SuspiciousBehaviorCollector",
"browserhist" : "BrowserHistoryCollector",
"bash_config" : "BashConfigCollector",
"bash_hist" : "BashHistoryCollector",
"processes" : "ProcessCollector",
"network_config" : "NetworkConfigCollector",
"profiles" : "ProfileCollector",
"certs" : "TrustedCertCollector"
},
"settings" : {
"keepL*SData" : true,
"zipIt" : true
},
"moduleSettings" : {
"browser" : {
"collectArtifacts" : true
}
},
"unused" : {
"installs" : "InstallationCollector"
}
}

 模块自定义开发 

模块必须由一个包含Collector类(在collectors/collector.py中定义)的子类的文件组成,且必须存放在collectors文件夹中。新的Collector模块可以直接通过拷贝collectors/template.py文件来生成,并根据需要进行自定义开发。

def __init__(self, collectionPath, allUsers)

我们可以根据需要来从重写这个方法,且必须在自定义代码执行之前调用Collector.init()方法,即初始化工具的配置属性。

def printStartInfo(self)

这是一个非常简单的方法,但模块开始执行收集任务的时候会调用这个方法,它会尝试将各种数据和当前场景信息输出到STDOUT,以便广大研究人员了解当前的任务进展情况。

def applySettings(self, settingsDict)

该模块可以应用任何自定义配置,每一个模块都会有一个自定义的设置,其中的settingsDict必须传递给父类,以便Collection类能够获取到模块的设置信息。

def collect(self)

这个方法是模块的核心,每当收集任务开始执行时都会调用这个方法,它能够将收集到的信息写入到文件中,并完成数据收集任务。

 项目地址 

PICT:https://github.com/thomasareed/pict

参考资料:

https://github.com/munki/munki/blob/master/code/client/munkilib/FoundationPlist.py

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651192861&idx=4&sn=267d0c5d7412b2e0a40cc970d9456ea3&chksm=bd1e6c968a69e580312d6c6de788987fdf38772efc980cc820abe9f1f002d519c44360f55a9f#rd
如有侵权请联系:admin#unsafe.sh