Redsketch 0.2.0

对于今天晚上的帖子,我将发布Redsketch版本0.2.0。 这是一条简短的帖子,因为我明天将为SANS Security East做准备!

现在内置了一些功能并公开:

检查

正如我上周提到的那样,我正在充实inspect功能,该功能可以帮助Redsketch确定包含数据的表。 这是一个示例:

  python redsketch.py​​-检查xp_tdungan_live_audit.mans 

输出:

该脚本将枚举数据库中的每个表,然后测试值。 列出具有数据的表,然后将表名与为解析器编写的表进行比较。

解析器

log2timeline相似,我正在构建-p开关以指定分析人员要解析的表。 例:

  python redsketch.py​​ -f xp_tdungan_live_audit.mans -p端口 

输出:

我们还可以放入--headers开关并输出Timesketch标头。

预取

最后,我还构建了一个Prefetch表解析器。 该解析器采用Created和Last Run值,并扩展程序执行事件。 这是一个示例:

  python redsketch.py​​ -f xp_tdungan_live_audit.mans -p预取 

GitHub上有更新的版本。