<aside> <img src="/icons/home_lightgray.svg" alt="/icons/home_lightgray.svg" width="40px" /> HOME


Forensic Tools

Penetration Tools

Vulnerabilities & CVE

BB & Other

CTF

Blog & Books (KNiggas)

About(CV)

</aside>

<aside> <img src="/icons/list-indent_blue.svg" alt="/icons/list-indent_blue.svg" width="40px" /> Table of Contents

</aside>

Untitled

Info

PersistenceSniper - это модуль Powershell, который может использоваться SOC , специалистами по реагированию на инциденты и системными администраторами для поиска закрепов злоумышленниковна машинах с ОС Windows. Он также доступен в галерее Powershell Gallery и имеет цифровую подпись с действительным сертификатом подписи кода. Инструмент находится в стадии активной разработки, новые релизы выходят каждую неделю, поэтому обязательно используйте актуальную версию.

https://github.com/last-byte/PersistenceSniper

Зачем писать такой инструмент, спросите вы. Ну, для начала я попробовал поискать и не нашел инструмента, подходящего для моего конкретного случая использования, который бы искал известные техники персистентности, автоматически, на нескольких машинах, и при этом мог быстро и легко разбирать и сравнивать результаты. Конечно, Autoruns от Sysinternals - замечательный инструмент, и его определенно стоит использовать, но, учитывая, что он выводит результаты в нестандартных форматах и не может быть запущен удаленно, если вы не проделаете некоторые махинации с его эквивалентом в командной строке, я не нашел его подходящим для меня. Кроме того, некоторые из техник, которые я реализовал в PersistenceSniper, еще не были реализованы в Autoruns, насколько я знаю. В любом случае, если вам нужен простой в использовании инструмент с графическим интерфейсом и множеством уже реализованных функций, Autoruns - это то, что вам нужно, в противном случае дайте PersistenceSniper шанс, он его не упустит.

Tool

PersistenceSniper.zip

wget <https://github.com/last-byte/PersistenceSniper/releases/download/v1.15.1/PersistenceSniper.zip>

Usage

2 ‐ Usage

#Get-Help -Name Find-AllPersistence -Full

Import-Module .\\PersistenceSniper.psd1
Find-AllPersistence -PersistenceMethod All

Untitled