推荐开源项目：PSRecon - PowerShell事件响应与实时取证数据收集

推荐开源项目：PSRecon - PowerShell事件响应与实时取证数据收集

PSRecon:rocket: PSRecon gathers data from a remote Windows host using PowerShell (v2 or later), organizes the data into folders, hashes all extracted data, hashes PowerShell and various system properties, and sends the data off to the security team. The data can be pushed to a share, sent over email, or retained locally.项目地址:https://gitcode.com/gh_mirrors/ps/PSRecon

1、项目介绍

PSRecon是一个强大的Windows系统取证工具，由Greg Foss在2015年的BlackHat大会上发布。它利用PowerShell（版本2或更高）在远程主机上收集关键信息，组织数据，计算哈希值，并将数据发送给安全团队。这个工具的设计理念是快速响应安全事件，提供自包含的报告，便于分享和分析。

2、项目技术分析

PSRecon采用PowerShell语言编写，支持本地和远程运行。它能执行以下操作：

• 收集系统日志、注册表项、进程信息等。
• 对收集到的数据进行哈希校验，确保数据完整性。
• 自动创建报告并保存为HTML，方便查看和分享，且所有资源都嵌入到报告中。
• 提供远程主机的锁定功能，如禁用网络适配器、注销用户，甚至可以禁用Active Directory账户，以防止恶意软件传播。

此外，PSRecon允许通过参数设置来发送电子邮件报告，将数据推送到共享目录，并可集成到自动化响应框架中。

3、项目及技术应用场景

应用场景：

1. 基础应急响应：直接在远程主机上运行PSRecon，获取现场证据并通过邮件发送，帮助IR团队快速评估情况。
2. SIEM集成：配置为LogRhythm SmartResponse任务，自动响应警报，即时收集数据，发送报告。
3. 远程数据提取与隔离：对于被感染主机，先收集证据，然后立即隔离，避免威胁扩散。

技术应用场景：

• 安全事件调查：收集关键系统信息，帮助理解攻击者的活动轨迹。
• 主动防御：集成到企业安全基础设施，自动化响应潜在威胁。

4、项目特点

• 跨平台能力：基于PowerShell，可在Windows环境中轻松部署。
• 自包含报告：报告完全独立，无需外部服务器，易于分享。
• 灵活执行：支持本地和远程运行，适应各种环境。
• 动态响应：提供锁定端点功能，有效遏制威胁蔓延。
• 安全性：记录自身操作，检测和记录针对其的攻击尝试，增强防护措施。

总结起来，PSRecon是一个高效、全面的应急响应工具，对任何关注Windows安全的企业来说都是宝贵的资产。无论您是经验丰富的安全分析师还是正在学习网络安全的初学者，都可以从这个项目中受益匪浅。立即加入我们的社区，体验PSRecon带来的强大功能吧！

PSRecon:rocket: PSRecon gathers data from a remote Windows host using PowerShell (v2 or later), organizes the data into folders, hashes all extracted data, hashes PowerShell and various system properties, and sends the data off to the security team. The data can be pushed to a share, sent over email, or retained locally.项目地址:https://gitcode.com/gh_mirrors/ps/PSRecon