Dhina88/Windows-Threat-Hunting-Script
GitHub: Dhina88/Windows-Threat-Hunting-Script
一款用于自动审计 Windows 关键注册表配置单元的 PowerShell 威胁狩猎脚本,帮助检测恶意持久化机制和本地提权风险。
Stars: 0 | Forks: 0
<#
.SYNOPSIS
检测关键 Windows 注册表配置单元中潜在的恶意持久化机制。
.DESCRIPTION
此脚本查询常见的用户和机器级别的 Run 键、Image File Execution Options (IFEO),
以及系统服务,以识别未签名的二进制文件、异常的执行路径或未经授权的更改。
.EXAMPLE
.\Detect-RegistryPersistence.ps1
#>
# Windows-Threat-Hunting-Script
一款自动化的 PowerShell 威胁狩猎工具,旨在以编程方式审计关键的 Windows 注册表配置单元(HKLM/HKCU、IFEO),以检测恶意持久化机制、异常执行路径以及未经授权的本地权限提升风险。
## 威胁狩猎场景
恶意行为者经常滥用用户级别和机器级别的 Run 键来建立能够在系统重启后存活的持久化机制。此工具模拟了企业威胁狩猎人员的工作流程,通过编程方式查询这些高风险的同步和执行点,以最大限度地降低本地权限提升的风险。
## 监控的子键
该脚本主动定位并审计以下注册表配置单元:
* **User Run Keys:** `HKCU:\...\Run` & `RunOnce`(特定于用户的持久化恶意软件)
* **Machine Run Keys:** `HKLM:\...\Run` & `RunOnce`(系统范围的持久化)
* **IFEO:** `HKLM:\...\Image File Execution Options`(识别进程劫持/调试器技巧)
## 用法
克隆该代码库或复制代码,并在具有管理员权限的 PowerShell 终端中执行该脚本。
```
# 导航到目录
cd Windows-Threat-Hunting-Scripts
# 运行 script
.\Detect-RegistryPersistence.ps1
```
标签:AI合规, IPv6, Libemu, PB级数据处理, PowerShell, 安全运维, 持久化检测, 注册表, 特权提升, 自动化部署