knez/defender-dump
GitHub: knez/defender-dump
从 Windows Defender 隔离区取证提取恶意文件的工具
Stars: 75 | Forks: 9
# defender-dump
从 Windows Defender 转储隔离文件
## 描述
以取证方式列出并提取已挂载磁盘中的隔离文件。提取的文件会被放入一个 tar 归档中,以防止意外触发 Defender 实时保护。
**更新:** 如需支持多种 AV 的更稳健版本,请参阅 [maldump](https://github.com/NUKIB/maldump)
## 用法
### 在 Windows 上
列出位于 C 盘的隔离文件
```
> python3 defender-dump.py C:\
```
将 C 盘的隔离文件转储到归档 `quarantine.tar` 中
```
> python3 defender-dump.py C:\ --dump
```
列出位于 G 盘的隔离文件,该盘是使用 FTK Imager 通过 **File System/Read Only** 方法挂载的
```
> python3 defender-dump.py G:\[root]\
```
### 在 Linux 上
列出挂载在 `/mnt/win` 的 Windows 分区中的隔离文件
```
> ./defender-dump.py /mnt/win
```
## 限制
该脚本仅列出并导出类型为 "FILE" 的条目。尚不支持任何其他类型(如 Registry)。
## 许可证
[MIT](https://choosealicense.com/licenses/mit/)
标签:CIDR输入, DAST, HTTP工具, Python, Windows Defender, 云资产清单, 恶意软件分析, 数字取证, 数据恢复, 文件提取, 无后门, 离线分析, 自动化脚本, 逆向工具, 逆向工程, 防病毒软件, 隔离区文件