Invoke-EDRChecker 使用教程

Invoke-EDRChecker 使用教程

Invoke-EDRCheckerChecks running processes, process metadata, Dlls loaded into your current process and the each DLLs metadata, common install directories, installed services, the registry and running drivers for the presence of known defensive products such as AV's, EDR's and logging tools.项目地址:https://gitcode.com/gh_mirrors/in/Invoke-EDRChecker

项目介绍

Invoke-EDRChecker 是一个用于检测系统中是否存在已知防御产品的 PowerShell 脚本。它可以检查运行中的进程、进程元数据、加载到当前进程的 DLL 及其元数据、常见安装目录、已安装服务、注册表和运行中的驱动程序。该项目旨在帮助安全研究人员和渗透测试人员识别和理解目标系统上的安全产品。

项目快速启动

安装

1. 克隆项目仓库到本地：

   git clone https://github.com/PwnDexter/Invoke-EDRChecker.git
   

2. 进入项目目录：

   cd Invoke-EDRChecker
   

使用

1. 打开 PowerShell 并导航到项目目录。

2. 运行脚本：

   .\Invoke-EDRChecker.ps1
   

3. 脚本将输出检测到的防御产品信息。

应用案例和最佳实践

应用案例

• 渗透测试：在进行渗透测试时，了解目标系统上安装的安全产品可以帮助测试人员制定更有效的攻击策略。
• 安全研究：安全研究人员可以使用该脚本来分析和研究不同安全产品的行为和特征。

最佳实践

• 权限管理：确保在具有适当权限的环境中运行脚本，以避免潜在的安全风险。
• 定期更新：定期更新脚本以包含最新的防御产品列表，确保检测的准确性。

典型生态项目

• PoshC2：一个用于红队操作的 PowerShell 命令和控制框架，Invoke-EDRChecker 脚本可以集成到 PoshC2 中，以增强其功能。
• Metasploit：一个广泛使用的渗透测试框架，可以考虑将 Invoke-EDRChecker 的功能集成到 Metasploit 模块中，以提供更全面的系统检测功能。

通过以上教程，您可以快速了解和使用 Invoke-EDRChecker 项目，并将其应用于实际的安全研究和渗透测试工作中。

Invoke-EDRCheckerChecks running processes, process metadata, Dlls loaded into your current process and the each DLLs metadata, common install directories, installed services, the registry and running drivers for the presence of known defensive products such as AV's, EDR's and logging tools.项目地址:https://gitcode.com/gh_mirrors/in/Invoke-EDRChecker