APT-Hunter 是用于 Windows 事件日志的威胁搜寻工具，它由紫色团队心态制作，用于检测隐藏在 Windows 事件日志海洋中的 APT 活动，以减少发现可疑活动的时间。APT-Hunter使用预定义的检测规则，并专注于统计发现异常，这在危害评估中非常有效。可以直接从 Excel 、 Timeline Explorer 、 Timesketch 等分析时间线产生的输出...

本文中有关该工具及其使用方式的完整信息：introducing-apt-hunter-threat-hunting-tool-using-windows-event-log

新发布信息：APT-HUNTER V3.0：使用多处理和新的酷炫功能重建

推特：@ahmed_khlief

领英：艾哈迈德·克里夫

从发布页面下载带有编译二进制文件的最新稳定版 APT-Hunter 。https://shells.systems/apt-hunter-v3-0-rebuilt-with-multiprocessing-and-new-cool-features/

APT-Hunter 使用 python3 构建，因此为了使用您需要安装所需库的工具。

python3 -m pip install -r requirements.txt

APT-Hunter 易于使用，您只需使用参数 -h 来打印帮助以查看所需的选项。

 python3 APT-Hunter.py -h

分析EVTX文件，你可以提供包含日志的目录或单个文件，APT猎手会检测日志的类型。

python3 APT-Hunter.py    -p /opt/wineventlogs/ -o Project1 -allreport

添加时间框架以关注特定时间轴：

python3 APT-Hunter.py    -p /opt/wineventlogs/ -o Project1 -allreport -start 2022-04-03 -end 2022-04-05T20:56

使用 String 或 regex 进行搜索：

python3 APT-Hunter.py  -hunt "psexec" -p /opt/wineventlogs/ -o Project2python3 APT-Hunter.py  -huntfile "(psexec|psexesvc)" -p /opt/wineventlogs/ -o Project2

使用包含正则表达式列表的文件进行搜索：

python3 APT-Hunter.py  -huntfile "huntfile.txt)" -p /opt/wineventlogs/ -o Project2

项目地址：https://github.com/ahmedkhlief/APT-Hunter