taibeihacker
Moderator
在Microsoft Office,Acrobat Reader PDF和Zip FilesInduction中检测金丝雀令牌和可疑URL,网络安全,警惕和主动防御的动态领域是关键。恶意演员经常利用Microsoft Office文件和拉链档案,嵌入掩护URL或宏来启动有害行动。该Python脚本旨在通过审查Microsoft Office文档,Acrobat Reader PDF文档和ZIP文件的内容来检测潜在威胁,从而降低了无意中触发恶意代码的风险。
了解脚本识别脚本巧妙地标识了Microsoft Office文档(.docx,xlsx,pptx),Acrobat Reader PDF文档(.pdf)和ZIP文件。这些文件类型(包括办公室文档)是可以通过编程检查的ZIP档案。
对办公室和ZIP文件的解压缩和扫描,该脚本将内容解压缩到临时目录中。然后,它使用正则表达式将这些内容扫描为URL,以寻找妥协的潜在迹象。
脚本忽略某些URLSTO最小化的误报,包括一个要忽略的域列表,滤除了在办公室文档中通常发现的常见URL。这样可以确保将重点分析对异常或潜在的和谐的URL。
标记没有忽略列表中未url的可疑文件文件被标记为可疑。这种启发式方法允许基于您的特定安全环境和威胁格局的适应性。
清理和修复置柱扫描,该脚本通过擦除临时解压缩文件而清除,没有留下痕迹。
USAGETO有效地利用脚本:
Setup确保在系统上安装Python。将脚本定位在可访问的位置。使用command: python canarytokenscanner.py file_or_or_directory_path(替换file_or_directory_path用实际文件或目录路径)执行脚本。
Interpretation检查输出。请记住,这个脚本是一个起点。标记的文件可能不会有害,并不是所有恶意文件都会被标记。建议您采取手动检查和其他安全措施。脚本展示
加那利令牌扫描仪脚本正在使用的一个例子,证明了其检测可疑URL的能力。
免责声明脚本仅用于教育和安全测试目的。利用它负责并遵守适用的法律法规。