Skip to content
/ Winscan Public
forked from book4yi/Winscan

一键Windows应急响应检测脚本

Notifications You must be signed in to change notification settings

raoyi/Winscan

 
 

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

9 Commits
 
 
 
 

Repository files navigation

Winscan

一键Windows应急响应检测脚本

实现功能:


说明:此脚本将自动以管理员权限运行。

信息收集相关:

  • 操作系统信息
  • 系统补丁情况(*)
  • 系统账户和用户组(*)
  • 域密码策略
  • 管理员组
  • 用户上次登录时间
  • 重要的注册表项
  • RDP保存的凭证
  • 是否开启远程桌面服务
  • 本机共享列表(*)
  • 系统启动信息(*)
  • 已安装的反病毒软件
  • 防火墙配置(*)
  • Defender检测到的活动和过去的恶意软件威胁
  • 防火墙日志和系统日志evtx收集
  • 已安装软件(*)
  • 计划任务(*)
  • 服务状态(*)
  • 自启动服务
  • 自启动目录
  • 注册表启动项(*)
  • 网络连接(ipc$ 命名管道连接)
  • 是否启用Windows剪切板历史记录
  • 用户登录初始化、管理员自动登录
  • Logon Scripts
  • 屏幕保护程序
  • AppInit_DLLs
  • COM劫持(*)
  • shim数据库是否被劫持
  • 进程注入
  • exe文件启动相关注册表
  • Lsa
  • 映像劫持
  • 接受最终用户许可协议的程序
  • 安全模式启动相关注册表
  • powershell命令记录(*)
  • IE浏览器记录
  • certutil下载记录
  • 最近访问的文件(*)
  • "我的电脑、此电脑、计算机"的任意文件夹地址栏内的历史记录
  • 【运行】的历史记录
  • 网络连接情况(*)
  • DNS缓存记录(*)
  • 进程(*)
  • 系统日志是否开启

调查取证相关:

  • SAM、SECURITY、SYSTEM(*)
  • Sysmon 日志(*)
  • SRUM (System Resource Usage Monitor)(*)
  • MUICache(*)
  • ShimCache(*)
  • Prefetch(*)
  • 系统日志(*)

About

一键Windows应急响应检测脚本

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published

Languages

  • Batchfile 100.0%