Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >专栏 >Live Forensicator - 应急响应取证Powershell 脚本

Live Forensicator - 应急响应取证Powershell 脚本

作者头像
Khan安全团队
发布于 2025-05-17 07:07:48
发布于 2025-05-17 07:07:48
5800
代码可运行
举报
文章被收录于专栏:Khan安全团队Khan安全团队
运行总次数:0
代码可运行

旨在协助取证调查员和事件响应人员进行快速的实时取证调查。它通过收集不同的系统信息,以便进一步审查是否存在异常行为或意外数据输入来实现这一点,它还会查找异常文件或活动并向调查员指出。需要特别注意的是,该脚本本身没有内置智能,调查员需要自行分析输出结果并得出结论或决定是否进行更深入的调查。

用户和账户信息

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
1. 获取当前用户
2. 系统详细信息
3. 用户账户
4. 登录会话
5. 用户配置文件
6. 管理员账户
7. 本地组

系统信息

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
1. 已安装的程序
2. 从注册表安装的程序
3. 环境变量
4. 系统信息
5. 操作系统信息
6. 修补程序
7. Windows Defender 状态和详细信息

网络信息

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
1. 网络适配器信息
2. 当前 IP 配置 IPV6 IPV4
3. 当前连接配置文件
4. 关联的 WIFI 网络和密码。
5. ARP 缓存
6. 当前 TCP 连接和相关进程
7. DNS 缓存
8. 当前防火墙规则
9. 活动 SMB 会话(如果是服务器)
10. 活动 SMB 共享
11. 到非本地目标的 IP 路由
12. 具有到非本地目标的 IP 路由的网络适配器
13. 具有无限有效寿命的 IP 路由

进程 | 计划任务 | 注册表

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
1. 进程。
2. 启动程序
3. 计划任务
4. 计划任务和状态
5. 服务
6. 注册表中的持久性

其他检查

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
1. 逻辑驱动器
2. 已连接和已断开的网络摄像头
3. USB 设备
4. UPNP 设备
5. 所有先前连接的驱动器
6. 过去 180 天内创建的所有文件
7. 100 天的 POWERSHELL 历史记录
8. 下载文件夹中的可执行文件
9. APPDATA 中的可执行文件
10. TEMP 中的可执行文件
11. PERFLOGS 中的可执行文件
12. DOCUMENTS 文件夹中的可执行文件
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-05-16,如有侵权请联系 cloudcommunity@tencent.com 删除
连接
系统
powershell
live
脚本

本文分享自 Khan安全攻防实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

连接
系统
powershell
live
脚本
评论
登录后参与评论
暂无评论
登录 后参与评论
推荐阅读
编辑精选文章
换一批
万字详解高可用架构设计
2603
Go 开发者必备:Protocol Buffers 入门指南
1518
10分钟带你彻底搞懂分布式链路跟踪
1012
CIA泄露资料分析(黑客工具&技术)—Windows篇
安全安全漏洞windowshttps
徐耀
2017/04/05
3.5K0
CIA泄露资料分析(黑客工具&技术)—Windows篇
REvil - 勒索病毒应急响应
应急响应服务网络安全
加载名为 AnalysisSession1 的 Mandiant 分析文件后,我导航到“分析数据>用户”以识别受感染主机上存在的不同用户。在这里我可以看到员工全名:
Khan安全团队
2022/01/05
1.1K0
[WEB安全]红日靶场(一)环境搭建
安全web环境搭建配置主机
打开3个解压文件夹的vmx文件,会自动打开Vmware,初始的密码都是:hongrisec@2019,我登陆时有的机器会提示我密码过期,更改密码即可。
李鹏华
2024/03/12
1K0
[WEB安全]红日靶场(一)环境搭建
走进计算机取证分析的神秘世界
安全
1. 介绍 计算机技术是人们生活的重要组成部分,而且它正在迅速增长,同样发生在计算机犯罪方面,如金融诈骗,非法入侵,身份盗窃和盗窃知识产权。为了对付这些计算机相关的犯罪,计算机取证中起着非常重要的作用。 “计算机取证包括获取和分析数字信息用作证据在民事,刑事或行政案件(尼尔森,B.等人,2008)”。 计算机取证调查通常调查从计算机硬盘或其他存储设备获取的取证数据,并遵循标准的政策和程序,以确定这些设备是否已被泄露和未经授权的访问或篡改。计算机取证调查以团队的形式进行共组,并使用各种方法(例如静态和动态
FB客服
2018/02/02
2K0
走进计算机取证分析的神秘世界
应急响应之Windows、Linux
网站php黑客网络安全安全
(1) docker cp /home/test/桌面/hm xxx:/var/www./hm scan /var/www 通过查杀没有发现Webshell
天钧
2019/12/17
1.3K0
应急响应之Windows、Linux
Live-Forensicator:一款针对事件响应和实时取证的PowerShell脚本
powershellhttpsgithub缓存网络安全
Live-Forensicator是一款功能强大的PowerShell脚本,该脚本同时也是Black Widow工具箱中的一个组件,该工具的主要目的是为了在信息安全取证调查和安全事件应急响应过程中,给广大研究人员提供一定的帮助,比如说快速实现实时数据取证等。
FB客服
2022/06/08
3280
Live-Forensicator:一款针对事件响应和实时取证的PowerShell脚本
取证工具
httpswindowshttp网络安全linux
DFF是一个能通过命令行和界面使用的取证框架。能被用于硬盘和内存调查并创建序使用者和系统活动情况的调查报告。该框架具有模块化、可编程性以及通用性三个特点。
OvO我是肉排菌呀
2021/03/12
3K0
取证工具
NetWorker Pro for Mac(网速流量显示工具)
ipmac流量
NetWorker for mac是适用于mac操作系统的一款轻量级的,易于使用的工具,在菜单栏中显示网络信息。它是完全可定制的,支持无线和有线网络适配器。
一小朵
2022/11/10
8850
NetWorker Pro for Mac(网速流量显示工具)
微软超融合私有云测试03-Hyper-V服务器安装部署
虚拟化
a) 操作系统安装Windows Server 2016 DataCenter版本
SuperDream
2019/02/28
2.6K0
实战 | 记一次蠕虫病毒内网传播的应急响应
tcp/ipzabbix网络安全
在整理资料时翻到了当时一些应急处置的情况再次复盘学习一下,因有了此文,在2020年11月27号某新闻中心称中心电脑全部被创建新用户密码锁定无法正常使用计算机,要求相关技术人员到现场进行应急处置。
HACK学习
2022/01/05
5.3K1
实战 | 记一次蠕虫病毒内网传播的应急响应
有些人嘴巴真严,10个Powershell命令,为啥不告诉我!
配置网络powershell服务服务器
随着微软发布其 Windows 客户端和服务器操作系统的更新版本,它继续加倍投入 PowerShell (PS),这是一个为管理系统和自动化而开发的框架。凭借其不断扩展的命令列表(称为 cmdlet),PS 已准备好帮助配置 Windows 中的几乎所有设置。
ICT系统集成阿祥
2024/12/30
1510
有些人嘴巴真严,10个Powershell命令,为啥不告诉我!
虹科分享 | 关于内存取证你应该知道的那些事
网络安全
内存取证是指在计算机或其他数字设备运行时,通过对其随时存储的内存数据进行采集、分析和提取,以获取有关设备状态、操作过程和可能存在的安全事件的信息。内存取证是数字取证的一个重要分支,用于从计算机的RAM(随机存取存储器)或其他设备的内存中提取关键信息,以便了解设备在特定时间点的状态和活动。
虹科网络可视化与安全
2023/08/01
5540
虹科分享 | 关于内存取证你应该知道的那些事
针对Windows的事件应急响应数字取证工具
windowsshellpython编程算法
DFIRTriage这款工具旨在为安全事件应急响应人员快速提供目标主机的相关数据。该工具采用Python开发,代码已进行了预编译处理,因此广大研究人员可以在不需要额外安装依赖组件的情况下直接在目标主机中使用该工具了。该工具在运行过程中,将会自动化执行各种命令,获取到的数据将存储在工具执行目录的根目录下。除此之外,DFIRTriage还可以直接从USB驱动器中运行,也可以通过远程Shell来在目标主机上运行。目前,该工具仅支持Windows平台。
FB客服
2019/12/03
1.5K0
计划任务执行由谁决定 | Windows 应急响应
windows程序二进制服务服务器
由于 Windows 不开源,而 Windows 的某一项服务可能受多个配置项影响,所以很多研究员通过逆向的方式,分析服务调用过程,推测执行流程,例如
意大利的猫
2024/01/05
7590
计划任务执行由谁决定 | Windows 应急响应
应急响应处置流程Windows篇
访问管理安全网络安全html应急响应服务
文档在自己的文件夹静静的躺了快半年了,好吧,先把应急响应流程步骤(乙方视角)和windows拆出来,在进行应急响应事件处置时需严格遵守公司的应急响应制度。
FB客服
2019/06/03
1.4K0
主机应急响应与电子取证的经验分享
其他
随着主机安全的问题日渐突显,挖矿勒索后门等病毒隐蔽手法越来越多种多样,仅仅依靠传统的安全工具不能完全查杀出相关恶意程序。安全事件具有突发性,复杂性与专业性,基于windows的一些运行机制人工排查安全事件需要从多个方面去检查与清除,抛砖引玉提出以下思路供参考。
FB客服
2018/09/21
9620
主机应急响应与电子取证的经验分享
Windows 应急响应手册v1.1
工具日志微信windows二进制
大家好,Windows 应急响应手册v1.1 发布,本次更新最重要的是完善了常规安全检查部分二进制程序签名校验逻辑和添加了二进制程序执行痕迹,同时添加了部分大家常用的工具等,欢迎大家下载、使用、反馈~
意大利的猫
2024/03/12
4950
Windows 应急响应手册v1.1
Linux应急响应排查思路
http访问管理tcp/ip安全shell
当企业发生黑客入侵,系统崩溃或者影响其他业务逻辑的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查询入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或者减少损失。
Baige
2022/03/21
2.8K0
Linux应急响应排查思路
WireShark网络取证分析第五集
打包wireshark程序网络系统
现在的你是调查员且拥有记录Moneymany女士与网站互动的网络截图(PCAP)文件,您的任务是了解Moneymany女士点击链接后她的系统可能会发生什么情况,您的分析将从PCAP文件开始并揭示一个恶意的可执行文件,这是这个谜题的网络捕获文件,这个PCAP文件的MD5哈希是c09a3019ada7ab17a44537b069480312,请使用正式提交表格提交您的答案 1.作为感染过程的一部分,Moneymany女士的浏览器下载了两个Java小程序,这两个程序的名字是什么?实现这些小程序的jar文件? 2.Moneymany女士在被感染的Windows系统上的用户名是什么? 3.这个事件的起始网址是什么?换句话说Moneymany女士可能点击了哪个网址? 4.作为感染的一部分一个恶意的Windows可执行文件被下载到了Moneymany的系统中,文件的MD5哈希是什么?提示:以"91ed"结尾 5.用于保护恶意Windows可执行文件的打包程序的名称是什么?提示:这是"主流"恶意软件中最流行的免费打包程序之一 6.恶意Windows可执行文件的解压缩版本的MD5哈希是什么? 7.恶意可执行文件试图使用硬编码的IP地址连接到互联网主机(没有DNS查找),那个互联网主机的IP地址是什么?
Al1ex
2023/11/16
5580
WireShark网络取证分析第五集
应急响应之windows入侵排查篇
windows访问管理安全网络安全
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。
FB客服
2021/09/16
2.2K0
推荐阅读
编辑精选文章
万字详解高可用架构设计Go 开发者必备:Protocol Buffers 入门指南10分钟带你彻底搞懂分布式链路跟踪
相关讨论
live-pusher和live-player相互覆盖?为何 <live-pusher> 和 <live-player> 不能工作?请教下, live-player 能否浮在 live-pusher 上面?
相关课程
轻量应用构建训练营云开发微搭低代码平台-一人构建企业级应用实战训练营前端
CIA泄露资料分析(黑客工具&技术)—Windows篇
3.5K0
REvil - 勒索病毒应急响应
1.1K0
[WEB安全]红日靶场(一)环境搭建
1K0
走进计算机取证分析的神秘世界
2K0
应急响应之Windows、Linux
1.3K0
Live-Forensicator:一款针对事件响应和实时取证的PowerShell脚本
3280
取证工具
3K0
NetWorker Pro for Mac(网速流量显示工具)
8850
微软超融合私有云测试03-Hyper-V服务器安装部署
2.6K0
实战 | 记一次蠕虫病毒内网传播的应急响应
5.3K1
有些人嘴巴真严,10个Powershell命令,为啥不告诉我!
1510
虹科分享 | 关于内存取证你应该知道的那些事
5540
针对Windows的事件应急响应数字取证工具
1.5K0
计划任务执行由谁决定 | Windows 应急响应
7590
应急响应处置流程Windows篇
1.4K0
主机应急响应与电子取证的经验分享
9620
Windows 应急响应手册v1.1
4950
Linux应急响应排查思路
2.8K0
WireShark网络取证分析第五集
5580
应急响应之windows入侵排查篇
2.2K0
相关推荐
CIA泄露资料分析(黑客工具&技术)—Windows篇
更多 >
cwl_java0
LV.1
这个人很懒,什么都没有留下~
文章
2.4K
获赞
4.6K
专栏
2
作者相关精选
换一批
加入讨论
的问答专区 >
用户65919980
相关课程
一站式学习中心 >
轻量应用构建训练营
2982人在学
云服务器
轻量应用服务器
云计算
云开发微搭低代码平台-一人构建企业级应用实战训练营
2035人在学
腾讯云微搭低代码
云开发
前端
1275人在学
前端
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
3
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验