对事件响应和实时取证的PowerShell脚本
2022-7-29 08:9:30 Author: 系统安全运维(查看原文) 阅读量:19 收藏

用于帮助实时取证和事件响应的 POWERSHELL 脚本

___________ .__ __                 \_    _____/__________ ____ ____ _____ | __ | ____ _____ _/   | _ ___________   |     __)/ _ \_   __ \_ / __ \ /     \ / ___/   | / ___ \\ __   \\    __ \/   _ \_   __ \  |      \(   < _ > )   |  \/\ ___/ |    |   \\ ___ \|   \  \___ / __ \|   | (   < _ > )   |  \/  \_ __ / \_ ___/ | __ |     \_ __   > ___ |   /____   > __ | \_ __   > ____ /__ |   \_ ___/ | __ |         \/                     \/      \/      \/         \/      \/                    
                                                                          v1.2

Live-Forensicator是一款功能强大的PowerShell脚本,该脚本同时也是Black Widow工具箱中的一个组件,该工具的主要目的是为了在信息安全取证调查和安全事件应急响应过程中,给广大研究人员提供一定的帮助,比如说快速实现实时数据取证等。

该工具可以通过收集不同的系统信息以进一步审查异常行为或意外的数据输入,除此之外,该工具还能够查找异常文件或活动,并向安全分析人员提供分析数据


可选依赖项

此脚本是用 powershell 编写的,用于 Windows PC 和服务器。

对于附加功能,它取决于外部二进制文件。

它有一个支持文件 WINPMEM 用于进行 RAM 转储https://github.com/Velocidex/WinPmem

它还依赖于 Nirsoft 的 BrowserHistoryView 来导出浏览器历史http://www.nirsoft.net/utils/browsing_history_view.html

该脚本有望开箱即用。

winpmem_mini_x64_rc2.exe | BrowsingHistoryView64.exe | BrowsingHistoryView86.exe | etl2pcapng64.exe | etl2pcapng86.exe

用法

# 复制文件到电脑git  clone  https : // github . com / Johnng007 / Live - Forensicator。混帐
# 执行.\F orensicator . ps1  <参数>

例子

# 基本用法.\F orensicator . ps1
# 检查版本.\F orensicator . ps1  -版本
# 检查更新.\F orensicator . ps1  -更新
# 在基本用法旁边提取事件日志.\F orensicator . ps1  - EVTX  EVTX
#Grab 网络日志 IIS 和 Apache .\F orensicator。ps1  -博客 _
#Run 网络跟踪和捕获 PCAPNG .\F orensicator。ps1  - PCAP  PCAP
# 在基本用法旁边提取 RAM 转储.\F orensicator。ps1  - RAM 内存

# 使用 JNDILookup.class .\F orensicator检查 log4j。ps1  - log4j  log4j
# 是的,当然你可以做所有的事情.\F orensicator . ps1  - EVTX  EVTX  - RAM  RAM  - log4j  log4j
# 用于基本用法的无人值守模式.\F orensicator . ps1  -操作 员“Ebuka John”  -案例 01123  -标题 “受勒索软件感染的笔记本电脑”  -位置 尼日利亚 -设备 AZUZ
# 您可以对其他每个参数使用无人值守模式.\F orensicator . ps1  -操作 员“Ebuka John”  -案例 01123  -标题 “受勒索软件感染的笔记本电脑”  -位置 尼日利亚 -设备 AZUZ  - EVTX  EVTX  - RAM  RAM  - log4j  log4j
# 检查与勒索软件加密文件具有相似扩展名的文件(可能需要一些时间才能完成) .\F orensicator . ps1  -勒索 软件勒索软件
# 您可以在执行 Oneliner .\F orensicator后立即压缩 Forensicator 输出。ps1 ; 开始-睡眠 -s 15;_ 压缩-存档-路径"$env:computername" - DestinationPath "C:\inetpub\wwwroot\$env:computername.zip" -强制

注意事项

1、该工具需要以管理员权限执行;

2、输出结果将以HTML文件显示;

3、我们可以在脚本的工作目录中找到所有提取的文件数据;

4、跟勒索软件识别相关的功能可以使用“-RANSOMEWARE”参数调用;

项目地址

Live-Forensicator:https://github.com/Johnng007/Live-Forensicator

好文推荐

工具|红队快速批量打点

实战 | App优惠劵无限领取漏洞挖掘记录

利用 EHole 进行红队快速批量打点

神兵利器 - presshell

渗透测试-Ngrok内网映射与穿透

分享 | 几种实战成功过的webshell免杀方式

推荐一款自动向hackerone发送漏洞报告的扫描器

李姐姐开源DNSLog工具eyes.sh

欢迎关注 系统安全运维


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247506088&idx=3&sn=79694d3b0f8a8f574dd65b7da114a2bb&chksm=c3080bd8f47f82ce018bf5ac2bc0058ca1212bdd7a1008886a79e4dd565708301e8185b9781c#rd
如有侵权请联系:admin#unsafe.sh