fulco/BlueWindowsTriage
GitHub: fulco/BlueWindowsTriage
一款用于在疑似被入侵的 Windows 系统上快速采集应急响应数据的 PowerShell 脚本。
Stars: 2 | Forks: 0
# BlueWindowsTriage
一个 PowerShell 脚本,用于在可能遭到破坏的 Windows 系统上进行快速的初步应急响应数据收集。
此 PowerShell 脚本旨在对可能遭到破坏的 Windows 系统执行快速的初步数据收集。它侧重于安全性、效率和速度,以便在事件响应过程的早期阶段收集关键信息。

## 功能
- **系统信息收集**:捕获全面的详细信息,例如主机名、OS 版本、正常运行时间、已安装的软件、正在运行的进程(包括进程所有者)以及网络配置。
- **用户和组信息**:收集有关本地用户、用户组和最近创建的用户帐户的数据,包括帐户状态和上次登录时间。
- **事件日志**:从 Security、System 和 Application 日志中检索并导出最近的 1500 条记录,保存为 `.evtx` 扩展名的 XML 文件,以协助进行快速时间线分析。
- **活动网络连接**:记录所有当前的网络连接,包括本地和远程地址、端口号以及拥有该连接的进程等详细信息。
- **注册表分析**:检查关键注册表项的自动启动配置,并将发现的结果导出为 JSON 格式以供进一步分析。
- **文件系统分析**:在关键系统目录中递归搜索最近修改的文件,收集重要的元数据并计算 SHA-256 哈希值以确保数据完整性。
- **痕迹收集**:包括 PowerShell 控制台历史记录、浏览器历史记录(Chrome、Firefox、Edge)、Cookie 和扩展程序。这对于了解用户操作和潜在的入侵点至关重要。
- **计划任务和服务分析**:深入了解计划任务和服务配置,这可能会发现恶意配置或篡改行为。
- **全面的日志记录和错误处理**:具有强大的日志记录功能,可记录操作详细信息和错误,便于故障排除并确保提供完整的审计跟踪。
- **输出处理**:自动对收集的数据进行哈希处理并将其压缩为 ZIP 文件,以实现安全传输,确保数据完整性并便于传输。
## 前置条件
- Windows 操作系统
- PowerShell 3.0 或更高版本
- 执行脚本和访问系统资源的管理员权限
## 用法
1. 将脚本文件 `BlueWindowsTriage.ps1` 下载到您的本地计算机。
2. 打开具有管理员权限的命令控制台。
3. 导航到脚本文件所在的目录。
4. 运行以下命令以执行脚本:
powershell -ExecutionPolicy Bypass .\BlueWindowsTriage.ps1
5. 脚本将创建一个格式为 `C:\IncidentResponse\yyyyMMdd_HHmmss` 的带时间戳的输出目录。
6. 收集到的数据将以各种格式(JSON、CSV、TXT)保存在输出目录中。
7. 输出目录中将创建一个名为 `script_log.txt` 的日志文件,用于记录脚本的操作以及遇到的任何错误。
8. 脚本执行完毕后,输出目录将被压缩为一个与该目录同名的 ZIP 文件。
9. 将 ZIP 文件传输到安全位置,以进行进一步的分析和调查。
[查看 Wiki 了解更多详情](https://github.com/fulco/BlueWindowsTriage/wiki/)
## 自定义
您可以根据特定的应急响应流程和环境自定义脚本。自定义建议包括调整数据保留策略、根据组织需求优化数据收集范围,以及修改脚本以与其他 IR 工具和流程集成。
## 安全注意事项
- 在执行脚本之前,请确认您具有必要的权限和特权。
- 根据组织的安全策略审查脚本,以确保合规。
- 根据组织的数据保护策略和相关的法律要求处理所有收集的数据。
- 随时根据最新的安全实践和威胁情报更新脚本。
[查看注意事项 Wiki 了解更多详情](https://github.com/fulco/BlueWindowsTriage/wiki/Caveats)
## 免责声明
此脚本按“原样”提供,不提供任何保证,也不授予任何权利。使用风险由您自行承担。作者和贡献者对因使用本脚本而造成的任何损害或损失概不负责。
## 许可证
此脚本基于 [MIT License](LICENSE) 发布。
## 联系方式
如有任何问题或反馈,请通过 [security@fulco.net](mailto:security@fulco.net) 联系脚本维护者。
## 测试
单元测试是使用 [Pester](https://github.com/pester/Pester) 编写的。要从仓库根目录在 PowerShell 中运行所有测试,请执行以下命令:
```
Invoke-Pester
```
这些测试模拟了文件系统操作,因此运行它们不会修改您的系统。
标签:AI合规, IPv6, Libemu, PB级数据处理, PowerShell, 安全运维, 库, 应急响应, 数字取证, 自动化脚本