Cortex XDR 配置提取工具介绍

Cortex XDR 配置提取工具介绍

Cortex XDR 配置提取器是一个开源项目，旨在帮助安全专家在红队评估和XDR设置审计过程中，分析和提取Cortex XDR Agent的数据库锁定文件。该项目的主要编程语言是Python。

项目基础介绍

该项目通过解析Palo Alto Networks的Cortex XDR Agent的数据库锁定文件，能够提取出Agent的设置信息，包括卸载密码的哈希值和盐值，以及其他可能的排除设置。Cortex XDR配置提取器为安全研究人员提供了一个强大的工具，可以在合法的范围内对系统进行安全审计。

核心功能

• 提取卸载密码的哈希值和盐值：帮助安全专家获取用于卸载Cortex XDR Agent的密码的哈希值和盐值。
• 解析排除设置：能够提取包括签名者名称排除、DLL安全排除、PE安全排除、Office文件安全排除、凭据收集模块排除、Webshell保护模块排除、子进程执行链排除、行为威胁模块排除、本地恶意软件扫描模块排除、内存保护模块状态和全局哈希排除、勒索软件保护模块的模式和设置等多种排除设置。

最近更新的功能

目前，项目的最新更新尚未包含具体的功能变更记录。根据项目的README文件，主要功能集中在提取上述安全设置和排除信息上。需要注意的是，从Agent版本8.1开始，可能无法再从锁定文件中提取数据，这一点尚未经过测试验证。

使用说明：项目的使用方式包括直接运行脚本并指定数据库锁定文件，或使用帮助选项获取使用说明。

法律免责声明：使用Cortex XDR配置提取器进行未授权的攻击是非法的。用户有责任遵守所有适用的当地、州和联邦法律。开发者不对任何滥用或由此程序造成的损害承担责任。该工具仅供教育目的使用。

关于Cortex XDR配置提取器：本项目基于mr d0x在2022年4月发布的技术方法。

贡献者：目前项目有2位贡献者，使用Python语言开发。

版权：本项目遵循GPL-3.0协议，版权属于GitHub, Inc。