Описание
PoSh-R2PowerShell – це набір powershell скриптів інструментарію керування Windows (WMI), які слідчі та судові аналітики можуть використовувати для отримання інформації із скомпрометованої (або потенційно скомпрометованою) системи Windows. Скрипти використовують WMI для отримання цієї інформації з операційної системи. Отже, этот сценарий необходимо будет выполнять с пользователем, имеющим необходимые привилегии, а аутентификация выполняется через вход в сеть. Полученные данные записываются в базы данных CSV и SQLite в системе, в которой был запущен сценарий.
PoSH-R2 может получить следующие данные с отдельной машины или группы систем:
– Записи автозапуска
– Информация о диске
– Переменные среды
– Журналы событий (50 последних)
– Установленное программное обеспечение
– Сеансы входа в систему
– Список драйверов
– Список подключенных сетевых дисков
– Список запущенных процессов
– Пользователь, вошедший в систему
– Локальные группы
– Локальные учетные записи пользователей
– Конфигурация
сети – Сетевые подключения
– Патчи
– Запланированные задачи с помощью AT-команды
– Общие ресурсы
– Службы
– Информация о системе
Применение
- Запустите сценарий из окна PowerShell с соответствующими правами для WMI и следуйте инструкциям.
- Данные будут сохранены в новом каталоге под названием «PoSH_R2 – Results» в том же каталоге, из которого был выполнен этот скрипт.
Этот скрипт будет работать с PowerShell версии 2 и выше.
Скачать скрипт можно на цій сторінці