PSGumshoe/PSGumshoe
GitHub: PSGumshoe/PSGumshoe
一款专注于取证可靠性的 Windows PowerShell 模块,用于收集操作系统和域环境中的安全 artifacts,支持实时响应、威胁狩猎和取证分析。
Stars: 265 | Forks: 51
# PSGumshoe
PSGumshoe 是一个 Windows PowerShell 模块,用于收集 OS 和域 artifacts,旨在执行实时响应、威胁搜寻和取证工作。
该模块专注于尽可能保证取证可靠性,通过使用现有的 Windows API 从目标主机收集信息。
## 函数
### 易失性信息函数
* Get-InjectedThread
* Get-NamedPipe
* Measure-CharacterFrequency
* Measure-DamerauLevenshteinDistance
* Measure-VectorSimilarity
* Stop-Thread
### 目录服务函数
* Get-DSForest
* Get-DSDirectoryEntry
* Get-DSDirectorySearcher
* Get-DSComputer
* Get-DSDomain
* Get-DSGpo
* Get-DSUser
* Get-DSGroup*
* Get-DSReplicationAttribute
* Get-DSGroupMember
* Get-DSOU
* Get-DSTrust
* Get-DSObjectAcl
### 事件日志函数
* Get-EventPsEngineState
* Get-EventPsPipeline
* Get-EventPsIPC
* Get-EventPsScriptBlock
* Get-WinEventBaseXPathFilter
* Get-SysmonProcessAccess
* Get-SysmonConfigChange
* Get-SysmonConnectNamedPipe
* Get-SysmonCreateNamedPipe
* Get-SysmonCreateRemoteThreadEvent
* Get-SysmonDriverLoadEvent
* Get-SysmonFileCreateEvent
* Get-SysmonFileStreamHash
* Get-SysmonFileTime
* Get-SysmonImageLoadEvent
* Get-SysmonNetworkConnect
* Get-SysmonProcessCreateEvent
* Get-SysmonProcessTerminateEvent
* Get-SysmonRawAccessRead
* Get-SysmonRegistryKey
* Get-SysmonRegistryRename
* Get-SysmonRegistrySetValue
* Get-SysmonServiceStateChange
* Get-SysmonWmiBinding
* Get-SysmonWmiConsumer
* Get-SysmonWmiFilter
* Get-SysmonDNSQuery
* Get-SysmonProcessActivityEvent
* Get-EventSystemLogon
* Get-EventSystemLogoff
* Get-EventTerminalLogon
* Get-EventTerminalLogoff
* Get-EventScheduledTaskStart
* Get-EventScheduledTaskProcess
* Get-EventScheduledTaskStop
* Get-EventScheduledTaskComplete
* Get-EventBitsTransferComplete
* Get-EventBitsTransferStart
* Get-SysmonAccessMask
* Get-SysmonRuleHash
* ConvertTo-SysmonRule
* Get-EventProcessCreate
* Clear-WinEvent
* Export-WinEvent
### CIM 函数
* Get-CimLogonSession
* Get-CimProcessLogonSession
* Get-CimProcess
* Get-CimComputerInfo
* Get-CimDNSCache*
标签:AD 枚举, AI合规, Checkov, CIM, DNS 反向解析, EDR 辅助, IPv6, JARM, Libemu, Libemu, OpenCanary, PowerShell, RFI远程文件包含, Sysmon, Terraform 安全, Windows 安全, WMI 查询, 事件日志分析, 内存分析, 域信任, 子域名变形, 库, 应急响应, 开源安全工具, 数字取证, 注入线程检测, 活动目录, 流量嗅探, 相似度计算, 端点可见性, 系统 artifact 收集, 自动化脚本, 逆向工程平台, 频率分析