Мне нужно разработать решение, которое позволит мне отправлять серию хешей MD5, а затем получать оповещения, если эти хеши найдены на любом компьютере (Windows) в сети. Я открыт для существующих решений (вероятно, предпочтительнее).

Я часто использую такие инструменты, как EnCase или FTK в сочетании с хешами файлов, чтобы сделать несколько вещей (определить известные плохие файлы, исключить известные исправные файлы и т.д.). Тем не менее, ни один из этих инструментов не идеален для сканирования большой сети, хотя там есть некоторые возможности.

Например, было бы идеально, если бы A/V, такой как SEP, мог быть настроен для этого. Он уже установлен и уже читает файлы во время сканирования или других событий. Каким бы ни было решение, похоже, что на объекте сканирования должен быть агент. Мы не можем вытащить каждый файл и хэшировать его. Это должно произойти на клиенте только с сообщенными результатами.

Любая / вся помощь приветствуется. Спасибо!

3 ответа3

0

Я не знаю ни одного автоматического решения, которое бы это делало, но вот две идеи из головы:

  • ClamAV с открытым исходным кодом: вероятно, есть способ изменить (или, возможно, даже использовать его из коробки), чтобы он делал именно то, что вы хотите. Может быть, путем настройки локального хранилища обновлений подписи?
  • Яра также кажется хорошим кандидатом, хотя сам по себе не может получить подписи. Вам нужно будет сделать некоторые сценарии.

По сути, у вас есть два механизма сопоставления сигнатур, которые позаботятся об утомительном общесистемном процессе сканирования. Отсюда вам нужно позаботиться об автоматизации. Я полагаю, что в зависимости от конфигурации вашей сети, она может перейти от пары строк Python и задания cron к объектам GPO.

0

Возможно, вам поможет проект с открытым исходным кодом md5deep (http://md5deep.sourceforge.net/). Он поддерживает как рекурсивный расчет различных хэш-дайджестов (включая MD5) содержимого в пути. Программа также поддерживает возможность предоставить (черный) список MD5 для сравнения.

Вам необходимо подключить его к различным машинам в сети и разработать какое-либо решение для связи между компьютерами.

-1

Спасибо за ваши ответы. Это то, что я слышу от некоторых людей, которых я знаю в этой отрасли.

Это может быть сделано с помощью SEP, возможно, несколькими различными способами. Вот одна ссылка:http://www.symantec.com/business/support/index?page=content&id=HOWTO80848

В Bit9/Carbon Black есть функция для этого. https://www.bit9.com/solutions/carbon-black/

Bigfix (IBM Endpoint Manager) может сделать это. ... не удалось опубликовать ссылку

Брандмауэр Palo-Alto может хэшировать файлы, пока они находятся в пути. Не удалось опубликовать ссылку.

Не пойми меня неправильно. Бесплатный / открытый исходный код это здорово. Обычно это компромисс за то, сколько работы по настройке / реализации вам нужно будет выполнить самостоятельно.

Еще раз спасибо!

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .