对事件响应和实时取证的PowerShell脚本 - 网安 - 专业的网络安全产业、社区、知识平台

用于帮助实时取证和事件响应的 POWERSHELL 脚本

___________ .__ __                
 \_    _____/__________ ____ ____ _____ | __ | ____ _____ _/   | _ ___________ 
  |     __)/ _ \_   __ \_ / __ \ /     \ / ___/   | / ___ \\ __   \\    __ \/   _ \_   __ \
  |      \(   < _ > )   |  \/\ ___/ |    |   \\ ___ \|   \  \___ / __ \|   | (   < _ > )   |  \/ 
 \_ __ / \_ ___/ | __ |     \_ __   > ___ |   /____   > __ | \_ __   > ____ /__ |   \_ ___/ | __ |    
     \/                     \/      \/      \/         \/      \/                    
                                                                          v1.2

Live-Forensicator是一款功能强大的PowerShell脚本，该脚本同时也是Black Widow工具箱中的一个组件，该工具的主要目的是为了在信息安全取证调查和安全事件应急响应过程中，给广大研究人员提供一定的帮助，比如说快速实现实时数据取证等。

该工具可以通过收集不同的系统信息以进一步审查异常行为或意外的数据输入，除此之外，该工具还能够查找异常文件或活动，并向安全分析人员提供分析数据。

。

可选依赖项

此脚本是用 powershell 编写的，用于 Windows PC 和服务器。

对于附加功能，它取决于外部二进制文件。

它有一个支持文件 WINPMEM 用于进行 RAM 转储https://github.com/Velocidex/WinPmem

它还依赖于 Nirsoft 的 BrowserHistoryView 来导出浏览器历史http://www.nirsoft.net/utils/browsing_history_view.html

该脚本有望开箱即用。

winpmem_mini_x64_rc2.exe | BrowsingHistoryView64.exe | BrowsingHistoryView86.exe | etl2pcapng64.exe | etl2pcapng86.exe

用法

# 复制文件到电脑
git  clone  https : // github . com / Johnng007 / Live - Forensicator。混帐
# 执行
.\F orensicator . ps1  <参数>

例子

# 基本用法
.\F orensicator . ps1
# 检查版本
.\F orensicator . ps1  -版本
# 检查更新
.\F orensicator . ps1  -更新
# 在基本用法旁边提取事件日志
.\F orensicator . ps1  - EVTX  EVTX
#Grab 网络日志 IIS 和 Apache 
.\F orensicator。ps1  -博客 _
#Run 网络跟踪和捕获 PCAPNG 
.\F orensicator。ps1  - PCAP  PCAP
# 在基本用法旁边提取 RAM 转储
.\F orensicator。ps1  - RAM 内存
# 使用 JNDILookup.class .\F orensicator检查 log4j。ps1  - log4j  log4j
# 是的，当然你可以做所有的事情
.\F orensicator . ps1  - EVTX  EVTX  - RAM  RAM  - log4j  log4j
# 用于基本用法的无人值守模式
.\F orensicator . ps1  -操作 员“Ebuka John”  -案例 01123  -标题 “受勒索软件感染的笔记本电脑”  -位置 尼日利亚 -设备 AZUZ
# 您可以对其他每个参数使用无人值守模式
.\F orensicator . ps1  -操作 员“Ebuka John”  -案例 01123  -标题 “受勒索软件感染的笔记本电脑”  -位置 尼日利亚 -设备 AZUZ  - EVTX  EVTX  - RAM  RAM  - log4j  log4j
# 检查与勒索软件加密文件具有相似扩展名的文件（可能需要一些时间才能完成） 
.\F orensicator . ps1  -勒索 软件勒索软件
# 您可以在执行 Oneliner 
.\F orensicator后立即压缩 Forensicator 输出。ps1 ; 开始-睡眠 -s 15；_ 压缩-存档-路径"$env:computername" - DestinationPath "C:\inetpub\wwwroot\$env:computername.zip" -强制

注意事项

1、该工具需要以管理员权限执行；

2、输出结果将以HTML文件显示；

3、我们可以在脚本的工作目录中找到所有提取的文件数据；

4、跟勒索软件识别相关的功能可以使用“-RANSOMEWARE”参数调用；

项目地址

Live-Forensicator：https://github.com/Johnng007/Live-Forensicator