一、工具介绍
FindAll 是一款轻量化蓝队工具,专为应急响应场景量身定制。该工具集成了强大的信息收集与威胁情报联动功能,特别适合团队在多台主机环境中快速排查安全风险。FindAll 采用客户端 - 服务器(CS)架构,这一设计使其在无法直接登录远程主机进行安全检查的场景中尤为适用。
FindAll 的显著优势在于其综合的信息收集能力和简洁直观的界面设计。用户无需掌握复杂的命令行操作,即可轻松上手,显著降低了使用门槛。这使得即使是网络安全领域的新手,也能迅速掌握并有效进行数据分析和安全事件排查。
以下是 FindAll 信息采集的主要类别:
- 系统基本信息 : 除了输出系统详细信息以外,还会检查系统配置和补丁,识别可利用的漏洞。
- 网络信息 : 分析当前网络连接,如果填写了微步 API 即可轻松识别异常网络,本产品会根据异常网络情况找到对应的进程然后进行分析和识别。
- 开机启动项: 审查启动时自动执行的程序。
- 计划任务 : 检测可能隐藏的恶意计划任务。
- 进程排查 : 识别和分析运行中的可疑或异常进程,快速定位后门文件。
- 敏感目录排查 : 检查关键文件和目录的异常变更。
- 日志排查: 深入分析系统和应用日志,寻找安全事件的痕迹,会根据日志进行汇总方便人员进行分析。
- 账户检测 : 识别各个场景下创建的隐藏账户、克隆账户。
通过这些全面的信息采集,FindAll 能够为用户提供详尽的安全态势感知,助力团队高效应对各类安全威胁。
二、工具使用
2.1 工具安装
github 下载:https://github.com/FindAllTeam/FindAll
网盘下载 FindAll 密码为微信昵称缩写加 0320
下载安装包一键安装即可
2.2 工具使用
2.2.1 本地扫描
2.2.2 远程扫描
Findall 不仅支持本地收集信息进行应急还支持远程收集信息,Agent 位于 C:\Program Files\FindAll\resources\buildResources
将 Agent 放进要扫描的系统里,用管理员执行程序
运行程序后,将 result.hb 上传到 FindAll GUI 客户端进行分析
2.3 应急使用
2.3.1 威胁情报联动
可提供额外的 API 设置入口,方便与服务端联动,做到自动识别异常 IP、进程和文件,显著提高分析效率。
2.3.2 网络连接信息
2.3.3 进程排查
2.3.4 系统日志
正文完
FindAll超给力!应急响应必备神器,多主机环境快速定位风险,CS架构更是让安全性加倍!