Dhina88/Windows-Threat-Hunting-Script

GitHub: Dhina88/Windows-Threat-Hunting-Script

一款用于自动审计 Windows 关键注册表配置单元的 PowerShell 威胁狩猎脚本,帮助检测恶意持久化机制和本地提权风险。

Stars: 0 | Forks: 0

<# .SYNOPSIS 检测关键 Windows 注册表配置单元中潜在的恶意持久化机制。 .DESCRIPTION 此脚本查询常见的用户和机器级别的 Run 键、Image File Execution Options (IFEO), 以及系统服务,以识别未签名的二进制文件、异常的执行路径或未经授权的更改。 .EXAMPLE .\Detect-RegistryPersistence.ps1 #> # Windows-Threat-Hunting-Script 一款自动化的 PowerShell 威胁狩猎工具,旨在以编程方式审计关键的 Windows 注册表配置单元(HKLM/HKCU、IFEO),以检测恶意持久化机制、异常执行路径以及未经授权的本地权限提升风险。 ## 威胁狩猎场景 恶意行为者经常滥用用户级别和机器级别的 Run 键来建立能够在系统重启后存活的持久化机制。此工具模拟了企业威胁狩猎人员的工作流程,通过编程方式查询这些高风险的同步和执行点,以最大限度地降低本地权限提升的风险。 ## 监控的子键 该脚本主动定位并审计以下注册表配置单元: * **User Run Keys:** `HKCU:\...\Run` & `RunOnce`(特定于用户的持久化恶意软件) * **Machine Run Keys:** `HKLM:\...\Run` & `RunOnce`(系统范围的持久化) * **IFEO:** `HKLM:\...\Image File Execution Options`(识别进程劫持/调试器技巧) ## 用法 克隆该代码库或复制代码,并在具有管理员权限的 PowerShell 终端中执行该脚本。 ``` # 导航到目录 cd Windows-Threat-Hunting-Scripts # 运行 script .\Detect-RegistryPersistence.ps1 ```
标签:AI合规, IPv6, Libemu, PB级数据处理, PowerShell, 安全运维, 持久化检测, 注册表, 特权提升, 自动化部署