Alex-null / dfir-win Public

Notifications You must be signed in to change notification settings
Fork 5
Star 11

应急响应时收集Windows机器信息

11 stars 5 forks Branches Tags Activity

Notifications

Name		Name	Last commit message	Last commit date
Latest commit History 2 Commits
README.md		README.md
dfir.ps1		dfir.ps1

Repository files navigation

dfir-win

简介

本项目用途为收集数据，帮助蓝队同学分析、研判、应急Windows安全事件。

目前收集的信息有：

✅进程
✅网络
✅注册表
✅DNS缓存
✅服务
✅计划任务
✅Powershell历史记录
✅WMI
✅安装软件
✅日志
✅命名管道

使用方式

下载本项目
Win + X 选择“命令提示符（管理员）”
输入powershell，进入powershell终端，并cd到本项目目录
powershell -ep Bypass .\dfir.ps1
对项目文件夹生成的日志进行分析

About

应急响应时收集Windows机器信息

powershell dfir blueteam

Report repository

Releases

No releases published

Packages

No packages published

Languages

PowerShell 100.0%