Crisvil/Windows-Endpoint-Incident-Response

# Windows-Endpoint-Incident-Response 在 IR（事件响应）的早期阶段（分类/遏制阶段），你需要在系统关机或部署更深入的取证工具之前，快速、可靠地收集易失性和半易失性数据。该脚本自动收集分析师通常首先审查的关键工件。 运行中的进程（包含命令行和所有者）→ 发现注入/恶意软件进程 网络连接 → 识别潜在的 C2 或数据泄露 持久化机制（注册表 Run 键、启动文件夹、计划任务）→ 常见的持久化位置 服务、用户、DNS 缓存、系统信息 → 上下文和额外的指标 对可疑进程的基本标记（无路径、从 Temp/AppData/Downloads 运行等）→ 快速的分类收益 它会在 C: 盘创建一个带有时间戳的文件夹，并将所有内容导出为 CSV/文本文件，以便轻松进行离线审查（使用 Excel、记事本或导入到时间线工具中）。 请以管理员身份运行以获取最大的可见性（某些数据，如进程所有者，需要提升的权限）。 # 环境要求 Windows 10/11 或 Server 2016+（使用内置的 PowerShell 5.1+ cmdlet） 无外部依赖或安装要求 # 如何运行 以管理员身份打开 PowerShell。 如有必要，为当前会话绕过执行策略： Set-ExecutionPolicy Bypass -Scope Process 将脚本粘贴到文件中（例如 IR-Triage.ps1）或直接运行。 执行：.\IR-Triage.ps1 完成后，压缩输出文件夹并将其安全地传输出受感染的主机。 # 逐步测试说明 准备一个 Windows 测试环境 Windows 10/11 或 Server 2016+（内置 PowerShell 5.1+）。 以本地管理员（或具有管理员权限的用户）身份登录。 以管理员身份打开 PowerShell 在开始菜单中搜索 “PowerShell”。 右键单击 → “以管理员身份运行”。

标签：C2通信, Conpot, DAST, EDR辅助, HTTP工具, PB级数据处理, PowerShell脚本, Sysmon, Triage, Windows安全, 二进制发布, 入侵取证, 协议分析, 后门检测, 命令控制, 安全运维, 库, 应急响应, 开源工具, 恶意软件分析, 数字取证, 数字取证, 数据采集, 权限提升, 痕迹提取, 私有化部署, 系统加固, 网络安全审计, 自动化脚本, 自动化脚本, 防御规避