探索FireEye的 SharPersist:一款强大的持久化模块分析工具

最新推荐文章于 2024-09-15 08:50:44 发布
最新推荐文章于 2024-09-15 08:50:44 发布
阅读量394 收藏 8
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00029/article/details/137627675

探索FireEye的 SharPersist:一款强大的持久化模块分析工具

SharPersist项目地址:https://gitcode.com/gh_mirrors/sha/SharPersist

项目简介

是由知名网络安全公司FireEye发布的一个开源项目,它是一个用于分析Windows系统持久化机制的工具。这款工具的设计目的是帮助安全研究人员、逆向工程师和系统管理员深入理解恶意软件如何在系统中实现长期驻留,进而提高对这类威胁的检测和防御能力。

技术分析

SharPersist的核心功能在于解析和模拟执行Windows系统的注册表启动项、服务、计划任务等常见的持久化策略。它基于Python编写,利用pywinautowinreg库与Windows API进行交互,实现了对各种持久化机制的模拟和分析。以下是其主要特性:

  • 全面性:覆盖了多种Windows持久化机制,包括注册表键值、服务、计划任务、RunOnce等。
  • 交互式:提供了一个命令行界面,方便用户输入目标文件或路径进行分析。
  • 可视化:通过图形化界面展示持久化模块的信息,便于理解和追踪。
  • 可扩展性:允许开发者添加新的持久化机制或者自定义插件。

应用场景

  1. 恶意软件分析:安全研究员可以使用SharPersist快速地分析可疑文件的持久化行为,洞察其潜在的恶意意图。
  2. 系统维护:IT管理员可以在部署新应用时,检查程序是否采用了不适当的持久化机制,防止不必要的系统资源占用。
  3. 教学研究:对于学习逆向工程和系统安全的学生来说,这是一个很好的实践平台,了解和研究Windows系统的持久化原理。

特点和优势

  • 开源免费:作为一个开源项目,任何人都可以查看源代码,学习并参与改进。
  • 灵活性:可以根据需要选择不同的分析模式,如单个文件分析或多文件批量分析。
  • 易用性:简单的命令行接口使得操作直观,即便对Python不熟悉也能轻松上手。

结语

无论是专业安全研究者还是对逆向工程感兴趣的初学者, SharPersist都是一款值得尝试的实用工具。它不仅提供了深入了解Windows持久化机制的途径,也提高了我们应对恶意软件的能力。如果你还没试过,不妨现在就去探索这个项目,开启你的持久化分析之旅吧!

SharPersist项目地址:https://gitcode.com/gh_mirrors/sha/SharPersist

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

操作系统权限维持
hackzkaq的博客
10-12 1014
配套练手靶场,全套安全课程及工具 ,搜索公众号:白帽子左一 WINDOWS 一、操作系统权限维持 SharPersist 用 C# 编写的 Windows 持久性工具包。下载链接: https://github.com/fireeye/SharPersist/releases 功能 补充 keepass:一款管理密码的软件 启动文件夹 Windows系统都有一个“启动”文件夹,把需要打开的程序的快捷方式放到“启动”文件夹里,就可以实现开机自动启动。 如果想要实现应用程序在所有的用户登录系统后都能自动启动
Window权限维持(三):服务
11-07 399
如果未正确配置Windows环境中的服务或这些服务可以用作持久性方法,则这些服务可能导致权限提升。创建一个新的服务需要管理员级别的特权,它已经不是隐蔽的持久性技术。然而,在红队的行动中,针对那些在威胁检测方面还不成熟的公司,可以用来制造进一步的干扰,企业应建立SOC能力,以识别在其恶意软件中使用基本技术的威胁。 命令行实现 如果帐户具有本地管理员特权,则可以从命令提示符创建服务。...
推荐开源项目:SharPersist - Windows持续性工具
gitblog_00096的博客
05-14 444
推荐开源项目:SharPersist - Windows持续性工具SharPersist 项目地址: https://gitcode.com/gh_mirrors/sh/SharPersist 在信息安...
红队笔记之巧用系统启动项玩转Windows权限维持
明光札记
12-06 1330
文章目录启动文件夹利用所在位置利用方法组策略的利用所在位置利用方法注册表利用所在位置利用方法方法一:使用reg add进行添加方法二:使用Metasploit后渗透模块添加方法三:使用SharPersist工具方法四:基于msdtc的dll劫持后门 Windows中有很多自动启动程序的方法,这些方法稍加利用可以即可帮助我们完成Windows下的权限维持,下文将分别从启动文件夹利用,组策略利用,注册表利用分别展开 启动文件夹利用 启动文件夹利用思路较为简单,即将Payload文件放在启动文件夹,再利用文件
SharPersist 开源项目安装与使用教程
gitblog_00921的博客
08-24 449
SharPersist 开源项目安装与使用教程 SharPersist项目地址:https://gitcode.com/gh_mirrors/sha/SharPersist 本教程旨在引导您了解并使用 SharPersist 开源项目。SharPersist 是一个由 FireEye 提供的工具,专注于 Windows 系统下的恶意软件持久化机制分析。接下来,我们将逐一解析项目的目录结构、启动文...
windows权限维持
dzqxwzoe的博客
09-12 420
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
tools:通用和针对恶意软件的分析工具
05-01
FireEye Labs是一家知名的安全研究机构,他们开发了一系列工具,旨在提高对通用和针对性恶意软件的分析能力。在这个名为"tools-master"的压缩包中,我们可以预见到一系列用C语言编写的工具,C语言因其高效和底层特性...
FireEye Labs推出针对恶意软件的分析工具
这些工具FireEye Labs开发,FireEye Labs是业界知名的网络安全公司,专注于高级威胁防护和研究,所以这些工具很可能是行业内高度专业化的安全分析工具。 描述部分提到了这些工具FireEye Labs开发的,这表明了...
Python-GeoLogonalyzer是一款实用工具可用于分析远程访问日志中的异常情况
08-10
Python-GeoLogonalyzer是一款专为日志分析而设计的实用工具,特别是在远程访问日志的异常检测方面表现突出。这个工具充分利用了Python语言的强大功能和丰富的库资源,旨在帮助网络安全专家和系统管理员识别可能的...
火炬线:FireEye Labs混淆字符串求解器-自动从恶意软件中提取混淆字符串
02-24
FireEye Labs混淆了字符串求解器 许多恶意软件作者并没有使用硬核打包程序来大量保护后门,而是通过仅模糊可执行文件的关键部分来逃避启发式检测。 通常,这些部分是用于配置域,文件和其他感染工件的字符串和资源。...
redline内存分析工具
12-13
Redline内存分析工具Fireeye对网络安全社区的重要贡献,它为安全研究人员和企业提供了强大的内存分析能力,有助于提升安全防护水平,及时发现和应对网络安全威胁。通过掌握和熟练使用Redline,安全专家可以更有效...
SharPersist:Windows持久化工具包指南
gitblog_00350的博客
09-15 990
SharPersist:Windows持久化工具包指南 SharPersist 项目地址: https://gitcode.com/gh_mirrors/sh/SharPersist ...
windows软件打包工具_Windows实用软件推荐(1)——实用小工具
weixin_39770226的博客
12-07 4898
给大家介绍一些Windows平台实用的小工具。1、Clipber 快贴快贴是一款跨平台的云剪贴板应用,简单、便捷,只需简单的复制便可实现电脑到电脑、电脑到手机、或手机到手机的传送。支持Windows、Mac OS、Android、iOS等常用平台。快贴官网介绍2、Defraggler 磁盘碎片整理Defraggler是由英国软件公司Piriform(就是著名的垃圾清理软件CCleaner开发商)所...
Window权限维持(二):计划任务
11-05 1090
Windows操作系统提供了一个实用程序(schtasks.exe),使系统管理员能够在特定的日期和时间执行程序或脚本。这种行为可作为一种持久性机制被red team利用。通过计划任务执行持久性不需要管理员权限,但如果已获得提升的权限,则允许进一步操作,例如在用户登录期间或在空闲状态期间执行任务。 计划任务的持久化技术可以手动实现,也可以自动实现。有效负载可以从磁盘或远程位置执行,它们...
Window权限维持(四):快捷方式修改
11-11 494
Windows快捷方式包含对系统上安装的软件或文件位置(网络或本地)的引用。自从恶意软件出现之初,便已将快捷方式用作执行恶意代码以实现持久性的一种方法。快捷方式的文件扩展名是.LNK,它为红队提供了很多机会来执行各种格式的代码(exe,vbs,Powershell,scriptlet等)或窃取NTLM哈希值。更隐蔽的方法是修改现有合法快捷方式的属性,但是生成具有不同特征的快捷方式可以...
PCA9685引脚图与16路舵机Arduino驱动源程序pdf资料
06-25
PCA9685引脚图与16路舵机Arduino驱动源程序pdf资料
基于领域知识图谱的智能问答系统设计与实现.docx
06-25
基于领域知识图谱的智能问答系统设计与实现
数据驱动的人力资本管理与数字化发展.docx
06-25
数据驱动的人力资本管理与数字化发展
exp4_2005.rar
最新发布
06-25
exp4_2005.rar
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

缪昱锨Hunter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值