工具介绍 Courier 信使,自用应急响应信息收集脚本,便于快速进行信息收集、定位攻击信息。
| 信息收集 | 具体命令 |
|---|---|
| ✅ IP 信息 | ipconfig /all |
| ✅ 用户信息及 SID | net user wmic useraccount get name,sid,Description |
| ✅ 网络连接 | netstat -ano |
| ✅ ARP 信息 | arp -a |
| ✅ HOST 信息 | type %SystemRoot%System32driversetchosts |
| ✅ 系统信息 | for /f "delims=" %%a in ('wmic os get Caption^,CSName^,OSArchitecture^,Version^,BuildNumber /value') do ( set "%%a" echo OS: %Caption%, %OSArchitecture%, Version %Version% Build %BuildNumber% >> resultsystem_information.txt ) |
| ✅ 用户最近访问记录 | dir %APPDATA%MicrosoftWindowsRecent |
| ✅ 计划任务 | schtasks /query /fo LIST /v |
| ✅ Windows Temp 文件 | dir %SystemRoot%Temp |
| ✅ 预读取 Prefetch 文件 | dir %SystemRoot%Prefetch |
| ✅ 进程列表 | tasklist /V |
| ✅ 路由表 | route print |
| ✅ 系统启动项 | reg query HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun reg query HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun |
| ✅ 注册表信息 | reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionrun" reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce" |
| ✅ 系统日志 | copy "C:WindowsSystem32winevtLogsSystem.evtx" resultlogsSystem.evtx copy "C:WindowsSystem32winevtLogsSecurity.evtx" resultlogsSecurity.evtx copy "C:WindowsSystem32winevtLogsApplication.evtx" resultlogsApplication.evtx copy "C:WindowsSystem32winevtLogsWindows PowerShell.evtx" "resultlogsWindows PowerShell.evtx" |
| ✅ 远程桌面记录 | wevtutil qe "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational" /c:10 /rd:true /f:text |
| ✅ DNS 缓存记录 | ipconfig /displaydns >> resultsystem_information.txt |
| ✅ 系统补丁 | wmic qfe list full systeminfo |
| ✅ 计算机之间会话信息 | at schtasks.exe |
| ✅ 搜索指定时间修改过的文件 | forfiles /m *.exe /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.dll /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.vbs /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.bat /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.ps1 /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.sys /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.com /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.bin /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.lnk /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.ocx /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.drv /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.jsp /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.jspx /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.asp /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.aspx /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null forfiles /m *.php /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null |
| ✅ 近三天内修改的文件 | forfiles /p %userprofile% /s /m * /d -3 /c "cmd /c echo @path" |
| ✅ 系统服务 | net start |
| ✅ 已装软件 | wmic product get name,version,vendor |
| ✅ 硬件信息 | wmic nic get name,macaddress,speed wmic memcache get speed,status,purpose wmic memphysical get maxmemorymodulesize, speed |
| ✅ 防火墙 | netsh advfirewall show allprofiles |
| ✅ USB 使用信息 | wmic usb get DeviceId,Description,Name |
| ✅ 共享资源 | net share |
⚠ 注意:.bat 中 “搜索指定时间修改过的文件” 时间根据需求自行修改 forfiles /m *.exe /d +2024/7/23 /s /p c: /c:"cmd /c echo @path @fdate @ftime" 2>null 默认搜索 2024/7/23 后文件
1、管理员打开 CMD 执行,Win_info.bat,结果保存在当前目录的 /result 中
打开 .bat 文件,脚本后面注释可查看相关辅助信息,便于开展响应工作,包括常见日志路径、工具命令等,可自行添加其它记录,方便信息查找。
原文始发于微信公众号(夜组安全):应急响应信息收集脚本,便于快速进行信息收集、定位攻击信息。收藏食用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论