emrekybs/Douglas-042
GitHub: emrekybs/Douglas-042
一款 PowerShell 编写的 Windows 威胁狩猎与事件响应辅助脚本,通过系统化采集取证 artifact 和易失性数据来加速安全事件的分类研判。
Stars: 43 | Forks: 8
# Douglas-042 - 威胁狩猎
# 事件响应 - PowerShell 狩猎
[
DOUGLAS-042 是一个精巧的 PowerShell 脚本,旨在加速分类过程,并协助收集源自取证 artifacts 和易失性数据的关键证据。其核心任务是在 Windows 生态系统中定位潜在的安全漏洞,提供不可或缺的辅助。DOUGLAS-042 以高效为核心,统筹数据的优先级排序和系统化聚合,确保在调查可能的入侵时,没有任何重要信息逃脱审查。作为其组织化方法的证明,聚合的数据被妥善保存在一个经过精心命名的文本文件中,该文件以主机系统的 hostname 命名。这种严谨的数据归档实践不仅是一项系统规范,更是为顺利过渡到后续的取证阶段铺平道路的基石。
### 内容查询
* 常规信息
* 账户和组信息
* 网络
* 进程信息
* OS 构建和 HOTFIXE
* 持久化
* 硬件信息
* 加密信息
* 防火墙信息
* 服务
* 历史记录
* SMB 查询
* 远程查询
* 注册表分析
* 日志查询
* 软件安装
* 用户活动
### 高级查询
* Prefetch 文件信息
* DLL 列表
* WMI 过滤器和消费者
* Named pipes
# 使用方法
使用管理员权限,只需在 PowerShell 控制台中运行该脚本,随后结果将作为 txt 文件保存在该目录中。
```
$ PS >./douglas.ps1
```
# 高级用法
```
$ PS >./douglas.ps1 -a
```
DOUGLAS-042 是一个精巧的 PowerShell 脚本,旨在加速分类过程,并协助收集源自取证 artifacts 和易失性数据的关键证据。其核心任务是在 Windows 生态系统中定位潜在的安全漏洞,提供不可或缺的辅助。DOUGLAS-042 以高效为核心,统筹数据的优先级排序和系统化聚合,确保在调查可能的入侵时,没有任何重要信息逃脱审查。作为其组织化方法的证明,聚合的数据被妥善保存在一个经过精心命名的文本文件中,该文件以主机系统的 hostname 命名。这种严谨的数据归档实践不仅是一项系统规范,更是为顺利过渡到后续的取证阶段铺平道路的基石。
### 内容查询
* 常规信息
* 账户和组信息
* 网络
* 进程信息
* OS 构建和 HOTFIXE
* 持久化
* 硬件信息
* 加密信息
* 防火墙信息
* 服务
* 历史记录
* SMB 查询
* 远程查询
* 注册表分析
* 日志查询
* 软件安装
* 用户活动
### 高级查询
* Prefetch 文件信息
* DLL 列表
* WMI 过滤器和消费者
* Named pipes
# 使用方法
使用管理员权限,只需在 PowerShell 控制台中运行该脚本,随后结果将作为 txt 文件保存在该目录中。
```
$ PS >./douglas.ps1
```
# 高级用法
```
$ PS >./douglas.ps1 -a
```
标签:AI合规, AlienVault OTX, Awesome, Conpot, DAST, DLL列表, Libemu, Mr. Robot, OpenCanary, PE 加载器, PowerShell脚本, SMB安全, Windows安全, Windows 调试器, WMI查询, 取证 artefact 收集, 后渗透, 安全脚本, 实时数据收集, 库, 应急响应, 开源软件, 恶意软件分析, 持久化分析, 数字取证, 数据包嗅探, 无线安全, 注册表分析, 流量嗅探, 端点可见性, 端点安全, 系统信息收集, 系统管理, 网络安全, 网络安全审计, 网络连接分析, 自动化分类, 自动化脚本, 补丁管理, 进程分析, 防火墙规则, 隐私保护, 预读取文件分析