Evasor – 自动化查找可执行文件的安全评估工具 (蓝队/应急响应神器)

文章来源：Khan安全攻防实验室

被黑客入侵，还在苦苦一步步去找哪里被中了木马？看哪个恶意进程？哪个外联端口吗？

Evasor、傻瓜、爽就完事了

Evasor是一种自动化的安全评估工具，可在Windows操作系统上找到可用于绕过任何应用程序控制规则的现有可执行文件。它非常易于使用，快速，节省时间并且完全自动化，可以为您生成报告，包括描述，屏幕截图和缓解建议。
下载Evasor项目并进行编译。验证是否从引用树中将App.config文件从项目中排除。

从bin文件夹运行Evasor.exe。从下面选择数字选项：

1.找到可用于绕过应用程序控制的可执行文件！

• 检索所有正在运行的进程的相对路径
• 通过以下方法检查每个进程（可执行文件）是否容易受到DLL注入的攻击：
1. 使用默认参数从路径C： Windows System32 mavinject.exe运行“ MavInject” Microsoft组件。
2. 检查MavInject执行的退出代码，如果进程正常退出，则意味着该进程易受DLL注入的攻击，可用于绕过应用程序控制。

2.查找容易受到DLL劫持的进程！

• 检索所有正在运行的进程
• 对于每个正在运行的进程：
1. 检索已加载的过程模块
2. 通过创建带有已加载模块（DLL）名称的空文件或覆盖工作进程目录中的存在模块文件，检查是否存在将数据写入工作进程目录的权限。
3. 如果写入操作成功–看来该进程容易受到DLL劫持的攻击。

3.查找潜在的可劫持资源文件

• 通过扩展名在计算机上搜索特定文件。
• 尝试将文件替换到另一个位置，以验证该文件是否可替换，并且最终很容易受到资源劫持的影响。
• 扩展名：xml，config，json，bat，cmd，ps1，vbs，ini，js，exe，dll，msi，yaml，lib，inf，reg，log，htm，hta，sys，rsp

4.生成自动评估报告词文档包括对测试的描述和屏幕截图。
项目地址：https://github.com/cyberark/Evasor