FLARE-WMI 项目使用教程

FLARE-WMI 项目使用教程

flare-wmi 项目地址: https://gitcode.com/gh_mirrors/fl/flare-wmi

1. 项目目录结构及介绍

FLARE-WMI 项目包含以下主要目录和文件：

• DEFCON_23_Presentation：包含在 Defcon 23 大会上介绍该项目的幻灯片。
• WMI-IDS：一个概念验证的无代理主入侵检测系统，用于展示 WMI 对操作系统事件实时响应的能力。
• WMIParser：用于提取 WMI 仓库数据库文件中被恶意行为者篡改的 FilterToConsumerBindings 的取证分析器，该解析器是用 C 语言编写的。
• python-cim：一个纯 Python 解析器，用于读取 WMI 仓库数据库的结构，通过灵活的 API 提供读取访问。
• .gitattributes：Git 属性文件，用于定义仓库中文件的特定行为。
• .gitignore：Git 忽略文件，用于指定 Git 应该忽略的文件和目录。
• .travis.yml：Travis CI 配置文件，用于自动化测试和部署。
• LICENSE.txt：Apache-2.0 许可证文件，描述了项目的许可协议。
• README.md：项目的自述文件，提供了项目的简要描述和相关信息。

2. 项目的启动文件介绍

项目的启动主要依赖于 python-cim 模块。以下是启动项目的基本步骤：

1. 克隆项目仓库到本地环境。
2. 在项目根目录下，使用 Python 解释器运行 python-cim 模块中的脚本。
3. 根据需要选择相应的脚本，例如，使用 dump_persistence_locations.py 脚本转储持久化位置信息。

# 克隆项目仓库
git clone https://github.com/mandiant/flare-wmi.git

# 进入项目目录
cd flare-wmi

# 运行示例脚本
python python-cim/sample/dump_persistence_locations.py

3. 项目的配置文件介绍

项目的配置文件主要集中在 python-cim 模块中，以下是一些关键的配置文件：

• config.py：该文件包含了一些全局配置，如数据库路径、日志级别等。用户可以根据自己的需求修改这些配置。

# config.py 示例配置
DATABASE_PATH = 'path/to/wmi/repository.db'
LOG_LEVEL = 'DEBUG'

• sample/config.sample.json：这是一个配置示例文件，用于 python-cim 的示例脚本。用户可以基于此文件创建自己的配置文件，并根据需求修改。

{
  "target": "localhost",
  "port": 5985,
  "username": "your_username",
  "password": "your_password",
  "namespace": "root\\cimv2"
}

确保在运行任何脚本之前，正确配置了这些文件，以适应你的具体环境和需求。

flare-wmi 项目地址: https://gitcode.com/gh_mirrors/fl/flare-wmi