B1tBit/Triage-Tools

# 🔍 Triage-Tools [](https://opensource.org/licenses/MIT) [](https://github.com/PowerShell/PowerShell) [](https://github.com/B1tBit/Triage-Tools/graphs/commit-activity) **Triage-Tools** 是一个用于在 Windows 主机上快速收集工件和进行 Threat Hunting 的 PowerShell 模块。 专为需要在短时间内全面掌握终端节点可疑活动情况的 **SOC** 专家、**IR 团队**和**渗透测试人员**设计。 ## 🚀 功能 ### 🔎 收集工件 - **系统信息：** 操作系统、版本、上次启动时间、当前用户。 - **进程：** 分析路径、双重扩展名、缺少数字签名。 - **LOLBins 检测：** 搜索带有可疑参数（Base64、download cradle、绕过 AppLocker）的系统实用工具（`powershell.exe`、`wmic.exe`、`certutil.exe`、`bitsadmin.exe` 等）。 - **网络连接：** 检测已建立的外部 IP 地址连接。 - **自启动项：** 分析 Run/RunOnce、Startup Folder、计划任务（排除 Microsoft 任务）。 - **Sysmon：** 查看过去 24 小时内的进程创建事件（Event ID 1）。 - **其他工件：** Prefetch、`%TEMP%` 内容、DNS 缓存。 ### 📊 风险评估 自动计算可疑程度级别： - `LOW` — 未发现明显的入侵指标。 - `MEDIUM` — 需要进一步分析。 - `HIGH` — 检测到严重异常，建议立即进行调查。 ### 📤 导出结果 - 带有语法高亮的**控制台输出**。 - **文本报告**（`.txt`）— 控制台输出的完整副本。 - **JSON 报告**（`.json`）— 用于与 SIEM/SOAR 集成的结构化数据。 ## 📦 安装 1. 克隆仓库： git clone https://github.com/B1tBit/Triage-Tools.git cd Triage-Tools 2. 允许执行 PowerShell 脚本（如果需要）： Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser 3. 运行分析： .\Invoke-Triage.ps1 -ExportReport -ExportJson ## 🛠️ 使用方法 ### 基础运行（仅输出到控制台） ``` .\Invoke-Triage.ps1 ``` ### 保存报告 ``` .\Invoke-Triage.ps1 -ExportReport -ExportJson ``` ### 禁用颜色（用于重定向到文件） ``` .\Invoke-Triage.ps1 -ExportReport -NoColor ``` ### 命令行标志 * ExportReport：将文本报告保存到运行目录。 * ExportJson：保存结构化的 JSON 报告。 * NoColor：禁用控制台彩色输出。 ## 📁 输出文件结构 使用 `-ExportReport` `-ExportJson` 标志执行后，当前文件夹中将生成 .txt 和 .json 扩展名的文件。

标签：AI合规, Conpot, DAST, DNS 解析, IPv6, IP 地址批量处理, IR, Libemu, LOLBins检测, PB级数据处理, PowerShell, Windows安全, Windows 调试器, 子域名枚举, 安全排查, 安全脚本, 安全运维, 库, 应急响应, 恶意软件分析, 数字取证, 数据展示, 端点安全, 系统加固, 系统安全, 系统运维, 红队, 网络安全, 自动化收集, 自动化脚本, 补丁管理, 隐私保护