DoublePulsar检测脚本使用指南：快速识别系统后门

DoublePulsar是NSA利用的著名后门程序，曾在2017年的"永恒之蓝"勒索软件攻击中广泛传播。这款由Countercept开发的开源检测脚本，能帮助系统管理员和安全研究人员快速检测系统是否受到DoublePulsar感染。

【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script

项目概述

doublepulsar-detection-script是一套Python脚本工具，专门用于扫描网络中是否存在SMB和RDP版本的DoublePulsar植入程序。该工具实现了植入程序的ping命令功能，无需身份验证即可远程检测系统是否被感染。

核心功能特性

双重协议支持

脚本支持检测SMB（端口445）和RDP（端口3389）两种协议版本的DoublePulsar后门。每种协议都有专门的检测脚本，确保全面覆盖潜在的感染途径。

智能扫描机制

通过发送特定的RPC请求并分析响应数据包，脚本能够准确识别DoublePulsar的特征标志。这种基于网络层的行为分析大大降低了误报率。

高效批量处理

支持单IP检测和批量IP列表扫描，并提供多线程支持，能够快速完成大规模网络环境的安全检查。

安装与配置

环境要求

• Python 2.x 环境
• 网络连接权限
• 目标系统访问权限

获取项目

git clone https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script cd doublepulsar-detection-script

使用教程

单IP检测

对于单个目标系统的快速检测：

# 检测SMB版本后门 python detect_doublepulsar_smb.py --ip 192.168.1.100 # 检测RDP版本后门 python detect_doublepulsar_rdp.py --ip 192.168.1.100

批量网络扫描

对于整个网络范围的全面检测：

# 扫描开放端口 masscan -p445 192.168.33.0/24 > smb.lst masscan -p3389 192.168.33.0/24 > rdp.lst # 清理IP列表 sed -i "s/^.* on //" smb.lst sed -i "s/^.* on //" rdp.lst # 执行安全检测 python detect_doublepulsar_smb.py --file smb.lst python detect_doublepulsar_rdp.py --file rdp.lst

高级参数配置

脚本提供多种可选参数以满足不同场景需求：

• --timeout：设置连接超时时间
• --verbose：启用详细输出模式
• --threads：配置并发线程数量
• --uninstall：发现后门时自动卸载

检测结果解读

阳性结果

当检测到DoublePulsar后门时，脚本会显示：

[+] [192.168.175.128] DOUBLEPULSAR SMB IMPLANT DETECTED!!!

阴性结果

未检测到后门时显示：

[-] [192.168.175.128] No presence of DOUBLEPULSAR SMB implant

实际应用场景

企业安全审计

企业可以定期运行此脚本进行网络基础设施检查，建立常态化的安全监控机制，及时发现潜在的DoublePulsar感染。

应急响应处理

在遭遇勒索软件或其他与DoublePulsar相关的安全事件时，安全团队可以快速定位受影响的系统范围，为后续的应急处置提供准确依据。

安全研究学习

对于网络安全研究人员，这是一个深入了解DoublePulsar后门行为特征和实践检测技术的优秀工具。

技术优势

跨平台兼容性

基于Python开发，支持Windows、Linux、macOS等主流操作系统，具有良好的环境适应性。

轻量级设计

无需复杂的依赖环境，仅需基础的Python运行环境即可正常工作，部署简单快捷。

高度可定制性

支持灵活调整扫描参数，包括IP范围、端口设置、超时时间等，满足不同网络环境下的检测需求。

安全防护建议

1. 定期扫描：建议每月至少执行一次全网扫描，及时发现潜在威胁
2. 纵深防御：将此工具纳入多层次安全防护体系，与其他安全产品协同工作
3. 及时响应：一旦检测到阳性结果，立即启动应急响应流程

注意事项

• 某些Windows操作系统版本可能无法正常检测，这与系统本身的SMB序列处理机制相关
• 检测过程中可能遇到连接超时或拒绝访问的情况，这通常表明系统未受感染
• 使用卸载功能时需谨慎，确保在授权范围内操作

DoublePulsar检测脚本为网络安全提供了一道重要防线。无论你是个人用户还是企业团队，都应该将这个高效工具纳入日常安全防护体系，为系统安全保驾护航。

【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script