1-ELNORY/GhostTrace-Win-Forensics-Investigator

# Windows Artifact 收集器 一款基于 PowerShell 的取证数据收集工具，旨在提取关键的 Windows Artifact，用于应急响应和数字取证调查。 ## 功能特性 - 收集注册表配置单元、事件日志、浏览器数据及其他取证 Artifact。 - 生成结构化的输出目录，以便于分析。 - 创建 SHA256 哈希值用于完整性验证。 - 轻量级，适用于实时响应场景。 - 可执行程序 Timeline [UserAssist, BAM, DAM, RunKeys, AppPaths] - MFT 文件表 - AutoRuns - SAM 账户 - Timeline/ ├── UserAssist_Timeline.csv ├── BAM_Timeline.csv ├── DAM_Timeline.csv ├── RecentDocs_Timeline.csv ├── RunKeys_Timeline.csv ├── AppPaths_Timeline.csv ├── RunMRU_Timeline.csv ├── Autoruns_Complete.csv ├── TypedPaths_Timeline.csv ├── SAMUsers_List.csv └── MFT_Timeline.csv Parsed/ ├── sessions.csv ├── process_creations.csv └── file_hashes.csv ## 使用方法 1. 以管理员身份运行 PowerShell。 2. 执行脚本： powershell -ExecutionPolicy Bypass -File "GhostTrace.ps1" 该工具将创建一个包含收集到的 Artifact 和日志文件的输出文件夹。 系统要求 Windows PowerShell 5.1 或更高版本 管理员权限 免责声明 本工具仅用于合法的取证和应急响应目的。作者对任何滥用或未经授权的使用不承担责任。

标签：AI合规, DAST, DFIR工具, ESC漏洞, HTTPS请求, IPv6, MFT解析, PowerShell, SHA256哈希, SOC工具, Windows事件日志, Windows取证, 后渗透分析, 库, 应急响应, 恶意软件分析, 执行日志, 数字取证, 数据包嗅探, 无线安全, 时间线构建, 注册表分析, 漏洞发现, 用户行为分析, 痕迹采集, 自动化脚本, 自动启动项, 证据收集, 赛博安全