對事件響應和實時取證的PowerShell腳本
VSole2022-07-29 06:42:09
用于幫助實時取證和事件響應的 POWERSHELL 腳本
___________ .__ __
\_ _____/__________ ____ ____ _____ | __ | ____ _____ _/ | _ ___________
| __)/ _ \_ __ \_ / __ \ / \ / ___/ | / ___ \\ __ \\ __ \/ _ \_ __ \
| \( < _ > ) | \/\ ___/ | | \\ ___ \| \ \___ / __ \| | ( < _ > ) | \/
\_ __ / \_ ___/ | __ | \_ __ > ___ | /____ > __ | \_ __ > ____ /__ | \_ ___/ | __ |
\/ \/ \/ \/ \/ \/
v1.2
Live-Forensicator是一款功能強大的PowerShell腳本,該腳本同時也是Black Widow工具箱中的一個組件,該工具的主要目的是為了在信息安全取證調查和安全事件應急響應過程中,給廣大研究人員提供一定的幫助,比如說快速實現實時數據取證等。
該工具可以通過收集不同的系統信息以進一步審查異常行為或意外的數據輸入,除此之外,該工具還能夠查找異常文件或活動,并向安全分析人員提供分析數據。
。
可選依賴項
此腳本是用 powershell 編寫的,用于 Windows PC 和服務器。
對于附加功能,它取決于外部二進制文件。
它有一個支持文件 WINPMEM 用于進行 RAM 轉儲https://github.com/Velocidex/WinPmem
它還依賴于 Nirsoft 的 BrowserHistoryView 來導出瀏覽器歷史http://www.nirsoft.net/utils/browsing_history_view.html
該腳本有望開箱即用。
winpmem_mini_x64_rc2.exe | BrowsingHistoryView64.exe | BrowsingHistoryView86.exe | etl2pcapng64.exe | etl2pcapng86.exe
用法
# 復制文件到電腦 git clone https : // github . com / Johnng007 / Live - Forensicator。混帳 # 執行 .\F orensicator . ps1 <參數>
例子
# 基本用法 .\F orensicator . ps1 # 檢查版本 .\F orensicator . ps1 -版本 # 檢查更新 .\F orensicator . ps1 -更新 # 在基本用法旁邊提取事件日志 .\F orensicator . ps1 - EVTX EVTX #Grab 網絡日志 IIS 和 Apache .\F orensicator。ps1 -博客 _ #Run 網絡跟蹤和捕獲 PCAPNG .\F orensicator。ps1 - PCAP PCAP # 在基本用法旁邊提取 RAM 轉儲 .\F orensicator。ps1 - RAM 內存 # 使用 JNDILookup.class .\F orensicator檢查 log4j。ps1 - log4j log4j # 是的,當然你可以做所有的事情 .\F orensicator . ps1 - EVTX EVTX - RAM RAM - log4j log4j # 用于基本用法的無人值守模式 .\F orensicator . ps1 -操作 員“Ebuka John” -案例 01123 -標題 “受勒索軟件感染的筆記本電腦” -位置 尼日利亞 -設備 AZUZ # 您可以對其他每個參數使用無人值守模式 .\F orensicator . ps1 -操作 員“Ebuka John” -案例 01123 -標題 “受勒索軟件感染的筆記本電腦” -位置 尼日利亞 -設備 AZUZ - EVTX EVTX - RAM RAM - log4j log4j # 檢查與勒索軟件加密文件具有相似擴展名的文件(可能需要一些時間才能完成) .\F orensicator . ps1 -勒索 軟件勒索軟件 # 您可以在執行 Oneliner .\F orensicator后立即壓縮 Forensicator 輸出。ps1 ; 開始-睡眠 -s 15;_ 壓縮-存檔-路徑"$env:computername" - DestinationPath "C:\inetpub\wwwroot\$env:computername.zip" -強制
注意事項
1、該工具需要以管理員權限執行;
2、輸出結果將以HTML文件顯示;
3、我們可以在腳本的工作目錄中找到所有提取的文件數據;
4、跟勒索軟件識別相關的功能可以使用“-RANSOMEWARE”參數調用;
項目地址
Live-Forensicator:https://github.com/Johnng007/Live-Forensicator
VSole
網絡安全專家