我需要设计一个解决方案,允许我提交一系列 MD5 哈希值,然后如果在网络上的任何机器 (Windows) 上发现这些哈希值,就会收到警报。我愿意接受现有的解决方案(可能是首选)。
我经常使用 EnCase 或 FTK 等工具与文件哈希结合使用来执行多项操作(识别已知的坏文件、排除已知的好文件等)。然而,尽管这两种工具都具有一定的功能,但它们都不是大型网络扫描的理想选择。
例如,如果可以配置像 SEP 这样的 A/V 来执行此操作,那就太理想了。它已经安装,并且已经在扫描或其他事件期间读取文件。无论解决方案是什么,似乎都应该在扫描目标上涉及代理。我们不能提取每个文件并对其进行哈希处理。它应该在客户端上进行,只报告结果。
任何帮助都值得感激。谢谢!
答案1
我不知道有任何自动解决方案可以做到这一点,但是这里有两个我想到的想法:
- ClamAV 是开源的:可能有一种方法可以修改(或者甚至可以开箱即用),以便它能够满足您的需要。也许可以通过设置本地签名更新存储库?
- 雅拉看起来也是一个不错的选择,尽管它本身无法获取签名。您需要编写一些脚本。
基本上,这里有两个签名匹配引擎,它们将负责繁琐的系统范围扫描过程。接下来,您要做的就是处理自动化。我猜,根据您的网络配置,它可以从几行 Python 代码和一个 cron-job 到 GPO。