Скрипт PoSH-R2 для сбора различной диагностической информации

  • Автор темы Автор темы akok
  • Дата начала Дата начала

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
25,320
Решения
5
Реакции
13,844
PoSh-R2PowerShell — это набор powershell скриптов инструментария управления Windows (WMI), которые следователи и судебные аналитики могут использовать для извлечения информации из скомпрометированной (или потенциально скомпрометированной) системы Windows. Скрипты используют WMI для извлечения этой информации из операционной системы. Следовательно, этот сценарий необходимо будет выполнять с пользователем, имеющим необходимые привилегии, а аутентификация выполняется через вход в сеть. Полученные данные записываются в базы данных CSV и SQLite в системе, в которой был запущен сценарий.

PoSH-R2 может получить следующие данные с отдельной машины или группы систем:

— Записи автозапуска
— Информация о диске
— Переменные среды
— Журналы событий (50 последних)
— Установленное программное обеспечение
— Сеансы входа в систему
— Список драйверов
— Список подключенных сетевых дисков
— Список запущенных процессов
— Пользователь, вошедший в систему
— Локальные группы
— Локальные учетные записи пользователей
— Конфигурация
сети — Сетевые подключения
— Патчи
— Запланированные задачи с помощью AT-команды
— Общие ресурсы
— Службы
— Информация о системе

Применение​

  1. Запустите сценарий из окна PowerShell с соответствующими правами для WMI и следуйте инструкциям.
  2. Данные будут сохранены в новом каталоге под названием «PoSH_R2 — Results» в том же каталоге, из которого был выполнен этот скрипт.
Этот скрипт будет работать с PowerShell версии 2 и выше.

Скачать скрипт можно на этой странице
 
Назад
Сверху Снизу