Douglas-042是一款功能强大的PowerShell脚本,该脚本可以提升数据分类的速度,并辅助广大研究人员迅速从取证数据中筛选和提取出关键数据。
该工具能够搜索和识别Windows生态系统中潜在的安全漏洞,Douglas-042会将注意力放在威胁搜索和事件应急响应任务中最关键的事情上,确保在执行安全审查任务时不会忽略任何重要的信息。
支持查询的内容
1、常规信息;
2、帐户和组信息;
3、网络状态;
4、进程信息;
5、OS Build和HOTFIXE;
6、硬件信息;
7、持久化;
8、加密信息;
9、防火墙信息;
10、服务信息;
11、历史日志;
12、SMB查询;
13、远程处理查询;
14、注册表分析;
15、日志查询;
16、软件安装;
17、用户活动;
高级查询
1、查询Prefetch文件信息;
2、DLL列表;
3、WMI筛选器;
4、命名管道;
该工具本质上是一个PowerShell脚本,主要针对Windows系统平台设计。
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/emrekybs/Douglas-042.git(右滑查看更多)
需要注意的是,该工具脚本的执行需要使用到管理员权限。
常规使用
打开一个PowerShell终端,然后执行下列命令启动Douglas-042,脚本执行后的结果将以文本文件的形式存储到当前目录下:
PS >./douglas.ps1高级使用
PS >./douglas.ps1 -a
本项目的开发与发布遵循MIT开源许可证协议。
Douglas-042:
https://github.com/emrekybs/Douglas-042
原文始发于微信公众号(FreeBuf):如何使用Douglas-042为威胁搜索和事件应急响应提速
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论