close

關於Live-Forensicator

Live-Forensicator是一款功能強大的PowerShell腳本,該腳本同時也是Black Widow工具箱中的一個組件,該工具的主要目的是為了在信息安全取證調查和安全事件應急響應過程中,給廣大研究人員提供一定的幫助,比如說快速實現實時數據取證等。

該工具可以通過收集不同的系統信息以進一步審查異常行為或意外的數據輸入,除此之外,該工具還能夠查找異常文件或活動,並向安全分析人員提供分析數據。

值得一提的是,該工具並沒有內置任何的情報源,因此研究人員需要自行對輸出數據進行分析,以決定是否需要進行更深入的調查分析。

可選依賴

該腳本基於PowerShell開發,可以在Windows電腦或服務器上使用。

該工具還提供了一些額外的功能,而這些功能需要依賴外部代碼庫。

該工具提供了一個WINPMEM支持文件來實現獲取RAM轉儲。

該工具還需要使用Nirsoft的BrowserHistoryView組件來導出瀏覽器歷史記錄。

工具下載

廣大研究人員可以使用下列命令直接將該項目源碼克隆至本地:

git clone https://github.com/Johnng007/Live-Forensicator.git

工具使用

運行下列命令即可執行Live-Forensicator:

.\Forensicator.ps1 <parameters>

工具使用樣例

工具基礎使用:

.\Forensicator.ps1

檢查工具版本:

.\Forensicator.ps1 -Version

檢查工具更新:

.\Forensicator.ps1 -Update

提取事件日誌

.\Forensicator.ps1 -EVTX EVTX

提取RAM轉儲

.\Forensicator.ps1 -RAM RAM

檢查log4j:

.\Forensicator.ps1 -log4j log4j

執行全部功能:

.\Forensicator.ps1 -EVTX EVTX -RAM RAM -log4j log4j

無人值守模式:

.\Forensicator.ps1 -OPERATOR "Ebuka John" -CASE 01123 -TITLE "Ransomeware Infected Laptop" -LOCATION Nigeria -DEVICE AZUZ

針對不同參數執行無人值守模式:

.\Forensicator.ps1 -OPERATOR "Ebuka John" -CASE 01123 -TITLE "Ransomeware Infected Laptop" -LOCATION Nigeria -DEVICE AZUZ -EVTX EVTX -RAM RAM -log4j log4j

檢查與勒索軟件加密文件具有類似擴展名的文件(可能需要一些時間才能完成):

.\Forensicator.ps1 -RANSOMEWARE RANSOMEWARE

可以在執行Oneliner後立即壓縮工具的輸出數據:

.\Forensicator.ps1 ; Start-Sleep -s 15 ; Compress-Archive -Path "$env:computername" -DestinationPath "C:\inetpub\wwwroot\$env:computername.zip" -Force

注意事項

1、該工具需要以管理員權限執行;

2、輸出結果將以HTML文件顯示;

3、我們可以在腳本的工作目錄中找到所有提取的文件數據;

4、跟勒索軟件識別相關的功能可以使用「-RANSOMEWARE」參數調用;

工具運行

許可證協議

本項目的開發與發布遵循MIT開源許可證協議。

項目地址

https://github.com/Johnng007/Live-Forensicator

參考資料

https://github.com/Velocidex/WinPmem

http://www.nirsoft.net/utils/browsing_history_view.html



精彩推薦





arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()