DOUGLAS-042 是 PowerShell 脚本的巧妙体现,经过精心设计,旨在加快分类过程,并促进从法医文物和易失性数据的短暂景观中精心收集关键证据。其基本使命是为查明 Windows 生态系统中潜在安全漏洞的艰巨任务提供不可或缺的帮助。DOUGLAS-042 高度重视权宜之计,精心安排数据的有效优先级和有条不紊的聚合,确保在调查可能的妥协时,没有任何重要信息能够逃脱审查。作为其组织方法的证明,合并的数据在一个精心命名的文本文件的范围内找到了自己的避难所,该文本文件带有主机系统自己的主机名的命名法。这种细致的数据归档实践不仅是一种系统惯例,而且是为无缝过渡到取证旅程后续阶段铺平道路的基石。
内容查询
-
一般信息
-
账户及群组信息
-
网络
-
处理信息
-
操作系统构建和热修复
-
坚持
-
硬件信息
-
加密信息
-
防火墙信息
-
服务
-
历史
-
中小企业查询
-
远程查询
-
注册表分析
-
日志查询
-
软件安装
-
用户活动
高级查询
-
预取文件信息
-
DLL列表
-
WMI 过滤器和消费者
-
命名管道
使用管理权限,只需从 PowerShell 控制台运行脚本,结果就会以 txt 文件的形式保存在目录中。
PS >./douglas.ps1PS >./douglas.ps1 -a
原文始发于微信公众号(TtTeam):神兵利器 - Powershell 脚本有助于加快威胁搜寻事件响应流程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论