工具推薦——GetInfo和FireKylin

GetInfo

項目地址

https://github.com/ra66itmachine/GetInfo

快速收集 Windows 相關信息，為應急響應爭取更多的時間

功能

??進程列表??系統服務??系統日志??網絡連接??HOST信息??計劃任務??已裝軟件??系統補丁??硬件信息：網卡、緩存、物理內存??系統啟動項??路由表??ARP信息??防火墻??遠程桌面（mstsc）??Recent文件??Prefetch文件??USB使用信息??共享資源??用戶信息及SID??IP信息??近三天內修改的文件?瀏覽器信息?剪切板內容

使用說明

文件輸出為Output文件夾

FireKylin（火麒麟）

項目地址

https://github.com/MountCloud/FireKylin

介紹

• 其功能是收集操作系統各項痕跡，支持Windows和Linux痕跡收集。
• 其作用是為分析研判安全事件提供操作系統數據。
• 其目的是讓任何有上機排查經驗和無上機排查經驗的人都可以進行上機排查安全事件。
• 在應對安全事件上機排查時，對于沒有此方面經驗但是有研判能力的安全專家來講，經常苦于需要參考各種安全手冊進行痕跡采集、整理、研判，此時我們可以使用FireKylin-Agent進行一鍵痕跡收集，降低排查安全專家收集工作的難度。

使用教程

FireKylin的使用方式很簡單，將Agent程序上傳到需要檢測的主機上，運行Agent程序，將采集到的數據.fkld文件下載下來，用界面程序加載數據就可以查看主機中的用戶、進程、服務等信息，并且Agent最大的特點就是【0命令采集】對安裝了監控功能的安全軟件的主機來講是非常友好的，不會對監控軟件產生引起“誤報安全事件”的命令。

截圖

獲取方式

https://langsasec.lanzout.com/iN2ZU0dkuw0b