EDRaser：一款功能强大的远程日志和文件数据清理工具

关于EDRaser

EDRaser是一款功能强大的数据清理工具，该工具基于Python开发，并提供了两种操作模式（即手动和自动模式），可以帮助广大研究人员远程删除目标计算机上的访问日志、Windows事件日志、数据库和其他文件。

支持的远程操作

在手动模式下，EDRaser可以显示可用的操作列表，其中包括：

1、Windows事件日志：从远程目标系统中删除Windows事件日志； 2、VMware漏洞利用：删除主机上的VMX和VMDK文件； 3、Web服务器日志：通过发送写入访问日志文件的包含恶意字符串的user-agent，从目标系统上运行的Web服务器中删除访问日志； 4、SysLogs：从运行了卡巴斯基EDR的Linux设备上删除系统日志syslog； 5、数据库：远程删除目标数据库中的所有数据；

工具下载

由于该工具基于Python开发，因此我们首先需要在本地设备上安装并配置好Python环境。

接下来，广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/SafeBreach-Labs/EDRaser.git

然后切换到项目目录中，使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件：

cd EDRaser

pip install -r requirements.txt

工具使用

自动模式

在自动模式下，EDRaser可以扫描的指定C类IP地址空间，以查找可以执行远程操作的目标系统，并对其进行自动化删除操作，其中包括：

1、远程删除Web服务器日志； 2、Linux系统日志删除； 3、删除Windows应用程序事件日志； 4、远程删除Windows事件日志； 5、WMX + VMDK文件删除；

下列命令可以直接以自动模式执行EDRaser：

python edraser.py --auto

手动模式

在手动模式下，我们可以选择针对目标系统执行特定的操作，从而获得更大的控制权。

下列命令可以直接以手动模式执行EDRaser：

python edraser.py --ip <ip_addr> --attack <attack_name> [--sigfile <signature file>]

参数解析：

--ip：要扫描的IP地址范围和目标设备地址（默认：localhost）； --sigfile：使用指定的加密签名DB（默认：signatures.db）； --attack：要执行的操作，可选项包括：['vmx', 'vmdk', 'windows_security_event_log_remote', 'windows_application_event_log_local', 'syslog', 'access_logs', 'remote_db', 'local_db', 'remote_db_webserver']； port：远程设备端口号； db_username：远程DB用户名； db_password：远程DB密码； db_type：远程DB类型，支持mysql和sqlite； db_name：远程DB数据库名称； table_name：远程DB表名； rpc_tools：VMware rpc_tools路径；

使用样例：

python edraser.py --attack windows_event_log --ip 192.168.1.133
python EDRaser.py -attack remote_db -db_type mysql -db_username test_user -db_password test_password -ip 192.168.1.10

数据库Web服务器

我们可以打开一个Web界面来插入和查看远程DB：

EDRaser.py -attack remote_db_webserver -db_type mysql -db_username test_user -db_password test_password -ip 192.168.1.10

上述命令将在localhost:8080地址上打开一个Web服务器，它将允许我们查看数据并将数据插入到远程给定的数据库中。

许可证协议

本项目的开发与发布遵循BSD-3-Clause开源许可证协议。