fatihpurtas/IRCollector_INF

GitHub: fatihpurtas/IRCollector_INF

单文件 PowerShell 编写的 Windows 事件响应与 DFIR 取证收集工具,将十五类高价值取证构件整合收集并生成带哈希清单的打包输出。

Stars: 0 | Forks: 0

# IRCollector_INF — Invoke-IRCollector 一个全面的单文件 PowerShell **事件响应 (IR) / DFIR 取证**收集工具,适用于 Windows。 可在正在运行的 Windows 主机或已启动的取证克隆系统上运行;它会将所有高价值痕迹收集到一个单独的带时间戳的文件夹中,为每个文件写入 SHA-256 哈希值以生成清单,并对输出结果进行打包。 ## 环境要求 - Windows + **PowerShell 5.1+** - **管理员**会话以进行完整收集 - (可选) NTFS 用于 `$MFT`;VSS 用于锁定文件;7-Zip 用于大型归档 ## 用法 ``` # 收集所有内容(包括 $MFT / $UsnJrnl) powershell -ExecutionPolicy Bypass -File .\Invoke-IRCollector.ps1 -Full # 选择性 .\Invoke-IRCollector.ps1 -UseVSS -CollectRegistryHives -DaysBack 7 .\Invoke-IRCollector.ps1 -CollectMFT ``` ### 参数 | 参数 | 描述 | |---|---| | `-OutputPath` | 输出根文件夹 (默认为 `\IR_Collection`) | | `-DaysBack` | 基于时间的收集回溯窗口 (默认为 7) | | `-UseVSS` | 使用卷影复制 (VSS) 获取锁定文件 | | `-CollectRegistryHives` | SYSTEM/SOFTWARE/SAM/SECURITY + NTUSER/UsrClass | | `-CollectBrowserArtifacts` | Chrome/Edge/Brave/Firefox 痕迹 | | `-HashRunningBinaries` | 正在运行的二进制文件的哈希值 + Authenticode 状态 | | `-CollectMFT` | `$MFT` + `$UsnJrnl` (原始 NTFS) | | `-NoCompress` | 跳过最终打包 | | `-Full` | 启用所有重型模块 | ## 收集内容 (15 个模块) 系统 · 用户/账户 · 网络 (连接到进程的映射、防火墙、DNS、SMB) · 进程 (命令行、签名、已加载的 DLL) · 服务 · **持久化** (Run/Winlogon/LSA/IFEO/WMI 订阅/计划任务) · 计划任务 · **事件日志** (原始 EVTX 导出 + 解析的关键事件) · **注册表配置单元** · **取证** (Prefetch/Amcache/SRUM/Shimcache/USBSTOR/`$MFT`/`$UsnJrnl`) · 浏览器 · Defender/AV (包括排除项) · 文件系统时间线 · PowerShell 历史记录 · Veeam (存在时自动检测)。 ## 容错能力 - 每个模块都封装在各自的 `try/catch` 中 — 单个失败不会中断其余模块 - 备用链:`Get-LocalUser`→`net user`,VSS↔直接复制,针对锁定的配置单元使用 `reg save HKU\`,时间过滤↔完整 EVTX 导出,7-Zip↔Compress-Archive - 环境无关:自动检测系统驱动器;适用于域/工作组和服务器/工作站 ## 输出 `IR__/` (00_Collection … 15_Veeam) + `manifest_sha256.csv` + `SUMMARY.json` + 一个 `.7z`/`.zip` 归档文件 (附带 SHA-256)。 InfinitumIT · 事件响应
标签:AI合规, IPv6, Libemu, PB级数据处理, PowerShell, 安全运维, 库, 应急响应, 数字取证, 自动化脚本