JeAuto00/WinIR-QuickScan

# 🛡️ WinIR-QuickScan 轻量级 Windows 应急响应采集与分析工具包 WinIR-QuickScan 是一款防御性应急响应工具，可从 Windows 系统采集高价值取证证据并进行自动化分析，以识别 SOC 和应急响应团队通常调查的可疑活动。 此工具适用于快速分类、蓝色团队学习和作品集展示。 ## 🚨 为什么这个项目很重要 现代 SOC 分析师需要能够快速完成以下任务： - 对身份验证失败和权限提升进行分类 - 识别持久化机制 - 审查系统和安全遥测数据 - 生成结构化的、可操作的发现 WinIR-QuickScan 展示了真实的应急响应工作流程，而非攻击性工具或恶意软件。 ## ✨ 功能 - 采集 Windows 安全和系统事件日志 - 检测可疑的身份验证活动（Event ID 4625 爆发） - 标记特权登录（4672） - 识别新创建的用户账户（4720） - 检测可疑的服务创建（7045） - 枚举启动项持久化位置 - 生成结构化 JSON 输出和 HTML 摘要报告 - 使用 Python 编写的模块化检测逻辑 ## 🧰 技术栈 - PowerShell – 取证证据采集 - Python 3 – 检测逻辑和报告生成 - Windows 事件日志 - HTML / JSON – 分析师友好的输出 # 📁 项目结构 WinIR-QuickScan/ ├── collector.ps1 # 取证证据采集 ├── analyze.py # 检测引擎和报告生成器 ├── detections.py # 模块化检测规则 ├── output/ │ ├── security\_events.json │ ├── system\_events.json │ ├── startup\_items.json │ └── report.html <<<<<<< HEAD ├── screenshot ## 📊 仪表板预览

>>>>>>> 39541ce (Added dashboard screenshot) │ ├── collector\_run.png │ ├── json\_output.png │ └── report\_view.png └── README.md ## ▶️ 工作原理 采集器收集相关的 Windows 遥测数据 数据写入结构化 JSON 文件 分析器应用检测逻辑识别可疑模式 发现结果在 HTML 报告中总结以便快速审查 ## 🚀 使用方法 ### 1️⃣ 运行采集器（需要管理员权限） .\\collector.ps1 -HoursBack 48 ### 2️⃣ 运行分析器 python analyze.py ### 3️⃣ 查看结果 在浏览器中打开 output/report.html。 ## 🧠 学习目标 此项目展示了： - Windows 安全事件解读 - 应急响应数据采集 - 检测逻辑设计 - 防御性自动化 - 分析师友好的报告 ## ⚠️ 免责声明 此工具仅用于防御和教育目的。 仅在您拥有或被授权分析的系统上运行。 ## 🗺️ 路线图 - 支持 Sigma 风格规则 - MITRE ATT&CK 映射 - CSV 导出用于 SIEM 采集 - 基于时间线的分析模式 - 持久化文件的哈希验证 ## 👤 作者 Joseph E. Autorino GitHub: https://github.com/JeAuto00

标签：AI合规, AMSI绕过, API安全, CIDR扫描, Conpot, EDR, Homebrew安装, HTML报告, IPv6, JSON输出, PE 加载器, PowerShell, Python, SOC分析, Windows事件日志, Windows安全, 免杀技术, 取证工具, 启动项分析, 多模态安全, 威胁检测, 子域名暴力破解, 安全运营, 恶意行为检测, 扫描框架, 持久化检测, 数字取证, 无后门, 暴力破解检测, 服务监控, 端点安全, 脆弱性评估, 自动化检测, 自动化脚本, 补丁管理, 账户安全