Рекламные объявления

Скрипт PoSH-R2 для сбора различной диагностической информации

PoSh-R2PowerShell

Описание

PoSh-R2PowerShell — это набор powershell скриптов инструментария управления Windows (WMI), которые следователи и судебные аналитики могут использовать для извлечения информации из скомпрометированной (или потенциально скомпрометированной) системы Windows. Скрипты используют WMI для извлечения этой информации из операционной системы. Следовательно, этот сценарий необходимо будет выполнять с пользователем, имеющим необходимые привилегии, а аутентификация выполняется через вход в сеть. Полученные данные записываются в базы данных CSV и SQLite в системе, в которой был запущен сценарий.

PoSH-R2 может получить следующие данные с отдельной машины или группы систем:

    — Записи автозапуска
    — Информация о диске
    — Переменные среды
    — Журналы событий (50 последних)
    — Установленное программное обеспечение
    — Сеансы входа в систему
    — Список драйверов
    — Список подключенных сетевых дисков
    — Список запущенных процессов
    — Пользователь, вошедший в систему
    — Локальные группы
    — Локальные учетные записи пользователей
    — Конфигурация
    сети — Сетевые подключения
    — Патчи
    — Запланированные задачи с помощью AT-команды
    — Общие ресурсы
    — Службы
    — Информация о системе

Применение

  1. Запустите сценарий из окна PowerShell с соответствующими правами для WMI и следуйте инструкциям.
  2. Данные будут сохранены в новом каталоге под названием «PoSH_R2 — Results» в том же каталоге, из которого был выполнен этот скрипт.

Этот скрипт будет работать с PowerShell версии 2 и выше.

Скачать скрипт можно на этой странице