
Buscador rápido es una herramienta liviana creada para la búsqueda de amenazas, análisis forense en vivo y clasificación en plataformas Windows y Linux. Se centra en la enumeración de puntos finales y la búsqueda de archivos sospechosos en función de varios criterios:
- ruta/nombre del archivo
- suma de comprobación md5 / sha1 / sha256
- coincidencia de contenido de cadena simple
- condición(es) de contenido complejo basado en YARA
¡Preparado para la batalla!
- fastfinder ha sido probado en casos reales en múltiples casos de uso de CERT, CSIRT y SOC
- El directorio de ejemplos ahora incluye malwares reales/comportamientos sospechosos o ejemplos de análisis de vulnerabilidades
Instalación
La versión compilada de este software está disponible. Si desea compilar a partir de fuentes, podría ser un poco complicado porque depende en gran medida de ir-yara y compilación CGO. De todos modos, encontrará una documentación detallada para Windows y para Linux.
Uso
_ _ _ _ _
|_ /\ /` | | | |\ | | \ |_ |) | /~~\ ./ | | | | | |/ |_ | \
2021-2022 | Jean-Pierre GARNIER | @codeyourweb
https://github.com/codeyourweb/fastfinder
uso: buscador rápido [-h|–help] [-c|–configuration “”] [-b|–build
“”] [-o|–output “”] [-n|–no-window]
[-u|–no-userinterface] [-v|–verbosity ]
[-t|–triage]
Respuesta a incidentes: buscador rápido de archivos sospechosos
Argumentos:
-h –help Imprimir información de ayuda
-c –configuration Archivo de configuración de búsqueda rápida. Defecto:
-b –build Muestra un paquete independiente con configuración y
reglas en un solo binario
-o –salida Guardar registros de fastfinder en el archivo especificado
-n –no-window Ocultar ventana de búsqueda rápida
-u –no-userinterface Ocultar interfaz de usuario avanzada
-v –verbosidad Verbosidad del registro del archivo
| 4: Solo alerta
| 3: Alerta y errores
| 2: Alertas, errores y operaciones de E/S
| 1: verbosidad completa)
. Predeterminado: 3
-t –triage Modo de clasificación (ejecución infinita: escanea cada archivo nuevo en
los directorios de ruta de entrada). Predeterminado: falso
Dependiendo de dónde esté buscando archivos, Buscador rápido podría usarse con derechos de administrador O de usuario simple.
Escanea y exporta coincidencias de archivos según tus necesidades
ejemplos de configuración están disponibles allí
aporte:
sendero: [] # hacer coincidir la ruta del archivo Y/O el nombre del archivo basado en una cadena simple
contenido:
grep: [] # hacer coincidir el valor de la cadena literal dentro del contenido del archivo
yara: [] # use la regla yara y especifique las rutas de las reglas para una búsqueda de patrones más compleja (comodines/regex/condiciones)
suma de control: [] # analizar md5/sha1/sha256 en el contenido del archivo
opciones:
contentMatchDependsOnPathMatch: true # si es verdadero, las rutas son un filtro previo para las búsquedas de contenido. Si es falso, las rutas y el contenido generan coincidencias
findInHardDrives: true # enumera el contenido del disco duro
findInRemovableDrives: true # enumera el contenido de la unidad extraíble
findInNetworkDrives: true # enumera el contenido de la unidad de red
findInCDRomDrives: true # enumera el CD-ROM físico y el iso / vhd montado…
producción:
copyMatchingFiles: true # crea una copia de cada archivo coincidente
base64Files: true # base64 contenido coincidente antes de copiar
filesCopyPath: ” # valor vacío copiará los archivos coincidentes en la carpeta fastfinder.exe
parámetros avanzados:
yaraRC4Key: ” # Las reglas de yara se pueden (des)/cifrar usando la clave RC4 especificada
maxScanFilesize: 2048 # ignorar archivos hasta maxScanFileSize Mb (predeterminado: 2048)
cleanMemoryIfFileGreaterThanSize: 512 # limpia la memoria interna de Fastfinder después de un escaneo pesado de archivos (predeterminado: 512Mb)
Buscar en todas partes o en rutas específicas:
- usar ‘?’ en rutas para caracteres comodín simples (p. ej., powershe??.exe)
- use ‘\*’ en las rutas para múltiples caracteres comodín (por ejemplo, \*.exe)
- Las expresiones regulares también están disponibles, simplemente encierre las rutas con barras (p. ej., /[0-9]{8}\.exe/)
- También se pueden usar variables de entorno (p. ej., %TEMP%\myfile.exe)
Notas importantes
- la ruta de entrada siempre es INSENSIBLE a mayúsculas y minúsculas
- la búsqueda de contenido en cadena (grep) siempre distingue entre mayúsculas y minúsculas
- las barras invertidas NO DEBEN escaparse (excepto con expresiones regulares) Para obtener más información, eche un vistazo a los ejemplos