✨简介
DD安全助手是一款集成多种安全功能的工具箱,旨在帮助用户快速进行威胁情报查询、网络排查、主机信息收集、主机日志分析、IP类处理等安全相关操作
💡功能说明
1.情报查询模块:
- API配置管理:支持配置和管理每种服务的5个API密钥(微步、VirusTotal、鹰图),确保在API密钥失效或配额不足时能够自动切换到其他可用密钥。
- 单条查询:输入单个IP或域名,查询其威胁情报信息,包括是否恶意、威胁等级、可信度、标签、地理位置、whois等。
- 批量查询:支持从文件中批量读取IP或域名列表,进行威胁情报查询,并将结果保存到文本文件中。
- 高亮显示:针对不同程度的威胁,展示不同颜色的字体
- 结果复制:支持复制结果到剪贴板,方便进一步分析。
2.网络排查模块:
- 提取信息:从一键提取或主动输入的netstat -ano中提取网络连接信息。
- 提取所有IP地址:提取所有 IP 地址。
- 提取IP物理位置:查询IP地址的物理位置信息。
- 内容搜索:查询指定的IP/PID/Port等信息。
3.主机监控模块:【非管理员权限只可读取部分信息】
- 用户信息:查看系统用户列表,识别常见的异常用户。
- 计划任务:检索系统计划任务,检测其中应用程序的数字签名状态。
- 服务信息:查看系统服务详情,检测其中应用程序的数字签名状态。
- 启动项:查看启动项,检测其中应用程序的数字签名状态。
- 进程信息:查看当前进程列表,检测其中应用程序的数字签名状态。
- 重复进程检测:查看上述中重复存在的应用程序。
- 内容搜索:上述5个模块数据收集完成后,可以查询指定内容。
4.主机日志分析模块:【需要管理员权限】
- 安全日志:分析登录成功/失败以及其他登录事件。
- Windows PowerShell 日志:检测异常 PowerShell 命令。
- 自定义文件:加载第三方自定义日志文件(安全日志、PS日志)。
- RDP登录分析:列出多次尝试RDP登录的IP信息。
- SMB登录分析:列出多次尝试SMB登录的IP信息。
- SSH登录分析:列出多次尝试SSH登录的IP信息。
- 内容搜索:日志加载完成后,可以查询指定内容。
5.IP类处理模块:
- IP过滤:根据白名单过滤 IP 地址。(HW和日常研判必备,优先过滤公司IP/内网IP/公共DNS等,避免误封!)
- IP定位:查询 IP 地址的地理位置。
- IP段解析:解析 IP 段范围。
- IP提取并排序:从文本中提取并排序 IP 地址。
6.文件内容搜索模块:
- 在指定路径下搜索包含特定内容的文件,并进行时间排序 (忘了文件所在路径没关系,可以用它直接搜索)
7.免杀辅助模块:
- 哈希修改:修改文件哈希,绕过简单检测。
- 签名复制:复制文件签名,提升可信度。
- 图标提取:提取文件图标,绕过简单识别。
- 图片转 ICO:将图片转换为 ICO格式。
8.流量捕获模块: 【尝试模块待优化,可不用】
- 网络流量抓取:捕获网络流量,支持多协议过滤与实时分析
- 导出和读取:支持将捕获的数据包保存为PCAP文件,支持读取pcap包。
📌功能详情
情报查询
说明:
(1).鹰图会显示剩余积分,且设置了只查询最近1个月的前3页的存活端口
(2).未显示微步数据说明API没有余额了
(3).微步API只能查询IP(这里是用的普通用户的API,每日只能查询20个IP),可以尝试多注册几个账号,使用里面的API(这里注册了6个,每日可以查询120个)
(4).API配置里,每个服务只能写5个key,但是可以在API配置里替换无额度的key,或者在api_config.json里替换
网络排查:
通过点击提取信息或主动输入netstat -ano中提取的网络连接信息,可以从中筛选出外连IP,并针对外连IP可以定位物理地址并进行境内/境外的区分,并标记境外IP。
通过内容搜索可以查询指定的内容,如外连IP的PID,或PID对应的外连IP等。点击下一个可以查看多项匹配内容,并进行标记。
主机信息收集:
现在正在加载中~就不要点击工具的界面了,等待加载完成后会显示已加载XXX这时候可以查看收集的数据,也可以搜索指定的内容了
- 用户信息查看: 可以查看系统中的用户、隐藏用户、异常用户等
- 计划任务查看:
- 启动项信息查看:
主机日志分析:
日志类型里选择的安全日志与PowerShell日志是本机系统的,浏览里选择的安全日志和PowerShell日志是加载第三方的,如服务器的
击加载日志后,请等待日志加载完成,加载过程中不要点击GUI界面!!
- 加载安全日志: 这里日志类型里的是本地系统的安全日志,选择加载日志后可以在常用事件里选择对应的安全事件,这里主推登录成功/登录失败,其他安全事件里的内容可能解析不全
SSH登录分析结果:
- 加载Linux主机上的secure文件,可以点击”SSH登录分析”会提醒到对应目录提取日志文件,点击确定后,会弹出选择目录,找到对应文件,点击选择后,再点击确定,就可以看到结果了:
免杀辅助:
- 哈希修改: 修改文件哈希,绕过简单检测。
- 签名复制: 复制文件签名,提升可信度。
下载地址
百度网盘下载
🚀仅VIP专属·极速下载⚡
© 版权声明
1、本网站名称:
X黑手网
2、本站永久网址:https://www.xheishou.com
3、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
2、本站永久网址:https://www.xheishou.com
3、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
THE END
- 最新
- 最热
只看作者