Опис
PoSh-R2PowerShell – це набір powershell скриптів інструментарію керування Windows (WMI), які слідчі та судові аналітики можуть використовувати для отримання інформації із скомпрометованої (або потенційно скомпрометованою) системи Windows. Скрипти використовують WMI для отримання цієї інформації з операційної системи. Отже, цей сценарій необхідно буде виконувати з користувачем, які мають необхідні привілеї, а автентифікація виконується через вхід до мережі. Отримані дані записуються в бази даних CSV та SQLite у системі, в якій був запущений сценарій.
PoSH-R2 може отримати такі дані з окремої машини або групи систем:
– Записи автозапуску
– Інформація про диск
– Змінні середовища
– Журнали подій (50 останніх)
– Встановлене програмне забезпечення
– Сеанси входу до системи
– Список драйверів
– Список підключених мережних дисків
– Список запущених процесів
– Користувач, увійшов до системи
– Локальні групи
– Локальні облікові записи користувачів
– Конфігурація
мережі – Мережеві підключення
– Патчі
– Заплановані завдання за допомогою AT-команди
– Загальні ресурси
– Служби
– Інформація про систему
Застосування
- Запустіть сценарій із вікна PowerShell з відповідними правами для WMI та дотримуйтесь інструкцій.
- Дані будуть збережені в новому каталозі під назвою «PoSH_R2 – Results» у тому ж каталозі, з якого було виконано цей скрипт.
Цей скрипт буде працювати з PowerShell версією 2 і вище.
Завантажити скрипт можна на цій сторінці