威脅獵人必備的六個威脅追蹤工具

面對千頭萬緒的情報和數字痕跡，每位威脅獵人都有一套自己熟悉的抽絲剝繭的追蹤方法和工具。雖然威脅獵人之間會有一些非正式的渠道分享知識和工具，但是對于新手獵人來說，公共知識依然很重要，以下，我們整理了六種威脅獵人居家旅行必備的重要工具，供大家參考：

Kansa

Kansa是一個對威脅追蹤和事件響應都非常有用的工具，是一個“Powershell中的模塊化事件響應框架”。該工具有一個非常棒的主要功能：使用PowerShell Remoting“在企業主機中運行用戶貢獻模塊來收集數據，以便在事件響應、攻擊溯源或建立環境基線期間使用。”

這使采集大量數據變得更加容易，更重要的是，它還可以更快地建立基線。對于獵人來說，他們面臨的最大挑戰之一可能是在他們的環境中建立“正常情況”的基線。Kansa可以極大地幫助加快這項任務。

微軟Sysinternals套件

微軟的工具入圍可能讓你感到吃驚，但是微軟的Sysinternals套件確實不容錯過。這套工具有三個對于威脅獵人來說非常重要的功能：

• 進程資源管理器——將進程資源管理器視為任務管理器的高級版本，它允許獵人不僅可以查看進程，還可以查看進程已加載的DLL，以及已打開的注冊表項。這項功能在尋找可疑和惡意行為時非常有用。
• 進程監視器——進程監視器類似資源管理器，但它更關注文件系統，并且可以幫助獵人發現可能發生的“有趣”的變化。
• Autoruns——這個程序可檢測啟動時運行的可疑應用程序，這對于尋找系統上的駐留痕跡時非常方便。

Kroll Artifact Parser 

and Extractor (KAPE)

KAPE（或Kroll Artifact Parser and Extractor）是被事件響應專業人士和數字取證人員廣泛使用的工具。KAPE允許分析師設置特定的“目標”（基本上是文件系統中的特定位置）并自動解析結果并收集所有證據。但它不僅僅是一個美化的復制粘貼工具。它還解析關聯和相關數據（如EvidenceOfExecution、BrowserHistory等）以加快分類和分析。

該工具對于威脅獵人來說非常有價值，尤其是當他們在狩獵期間試圖從主機收集相關信息時。

GHIDRA

如果您已經是惡意軟件逆向工程領域的老手，就不會對IDA Pro和GHIDRA等工具感到陌生，后者是由美國國家安全局的一個秘密研究局設計。GHIDRA為安全研究人員提供了調試器、十六進制編輯器和反匯編器等工具，而且完全免費。

在威脅搜尋方面，逆向惡意軟件了解其內部運作可能非常關鍵！

Regshot

Regshot就像一個屏幕截圖工具和“diff”Linux命令行工具，但用于您的注冊表。它可幫助威脅獵人快速輕松地獲取注冊表的完整“屏幕截圖”，然后再拍攝第二張“屏幕截圖”并找出其中的差異。

當威脅獵人試圖查看基線中發生了何種變化，甚至在系統重新啟動之間可能發生了什么變化時，該功能會非常有用。

UACME

最后推薦的這個滲透工具請在專業人士指導下合法使用。UACME（或UAC-ME）可以讓任何人使用多種方法輕松繞過Windows用戶帳戶控制。對于事件調查和數字取證工作人員來說，該工具可以大大簡化工作進程。

對于網絡安全新手來說，威脅狩獵往往令人生畏，一部分原因是技術門檻和學習曲線陡峭，另一部分原因則是信息分享閉塞，如果不加入社區，就很難學習和分享技巧。希望本文的推薦清單能夠拋磚引玉，幫您找到心儀的工具。