關于PICT

PICT是一款功能強大的信息收集和事件響應工具，該工具可以幫助廣大研究人員在受感染的終端節點中收集各種信息，以輔助進行網絡安全事件應急響應。這些數據可能不夠完整，但確實能夠捕捉到很多有價值的取證信息。如果你想要獲取完整的取證數據，你可以嘗試獲取完整的內存轉儲數據，并導出整個驅動器的鏡像。

工具運行機制

該工具由多個Python腳本組成，能夠以兩種形式收集數據。第一種為摘要文件的形式，包含Shell命令輸出以及從數據庫提取數據等。比如說，瀏覽器模塊能夠輸出一個browser_extensions.txt文件，其中將包含Safari、Chrome和Firefox安裝的所有瀏覽器插件摘要信息。

第二種則是從文件系統收集的完整文件，這些文件將存儲在集合文件夾中的一個子文件夾中。

工具下載

由于該工具基于Python開發，因此我們首先需要在本地設備上安裝并配置好Python環境。接下來，使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/thomasareed/pict.git

工具語句

工具腳本的運行非常簡單，腳本只接收一個必要參數，通過一個JSON格式的配置腳本傳遞即可：

./pict.py -c /path/to/config.json

這個配置腳本將描述工具如何收集信息以及需要收集何種信息，腳本內容大致如下：

{"collection_dest" : "~/Desktop/","all_users" : true,"collectors" : {"browser" : "BrowserExtCollector","persist" : "PersistenceCollector","suspicious" : "SuspiciousBehaviorCollector","browserhist" : "BrowserHistoryCollector","bash_config" : "BashConfigCollector","bash_hist" : "BashHistoryCollector","processes" : "ProcessCollector","network_config" : "NetworkConfigCollector","profiles" : "ProfileCollector","certs" : "TrustedCertCollector"},"settings" : {"keepL*SData" : true,"zipIt" : true},"moduleSettings" : {"browser" : {"collectArtifacts" : true}},"unused" : {"installs" : "InstallationCollector"}}

模塊自定義開發

模塊必須由一個包含Collector類（在collectors/collector.py中定義）的子類的文件組成，且必須存放在collectors文件夾中。新的Collector模塊可以直接通過拷貝collectors/template.py文件來生成，并根據需要進行自定義開發。

def init(self, collectionPath, allUsers)

我們可以根據需要來從重寫這個方法，且必須在自定義代碼執行之前調用Collector.init()方法，即初始化工具的配置屬性。

def printStartInfo(self)

這是一個非常簡單的方法，但模塊開始執行收集任務的時候會調用這個方法，它會嘗試將各種數據和當前場景信息輸出到STDOUT，以便廣大研究人員了解當前的任務進展情況。

def applySettings(self, settingsDict)

該模塊可以應用任何自定義配置，每一個模塊都會有一個自定義的設置，其中的settingsDict必須傳遞給父類，以便Collection類能夠獲取到模塊的設置信息。

def collect(self)

這個方法是模塊的核心，每當收集任務開始執行時都會調用這個方法，它能夠將收集到的信息寫入到文件中，并完成數據收集任務。

網絡安全工程師企業級學習路線

這時候你當然需要一份系統性的學習路線

如圖片過大被平臺壓縮導致看不清的話，可以在文末下載（無償的），大家也可以一起學習交流一下。

一些我收集的網絡安全自學入門書籍

一些我白嫖到的不錯的視頻教程：

上述資料【掃下方二維碼】就可以領取了，無償分享

總結

以上是生活随笔為你收集整理的PICT：一款功能强大的信息收集和事件响应工具的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。