Live-Forensicator：一款针对事件响应和实时取证的PowerShell脚本

关于Live-Forensicator

Live-Forensicator是一款功能强大的PowerShell脚本，该脚本同时也是Black Widow工具箱中的一个组件，该工具的主要目的是为了在信息安全取证调查和安全事件应急响应过程中，给广大研究人员提供一定的帮助，比如说快速实现实时数据取证等。

该工具可以通过收集不同的系统信息以进一步审查异常行为或意外的数据输入，除此之外，该工具还能够查找异常文件或活动，并向安全分析人员提供分析数据。

值得一提的是，该工具并没有内置任何的情报源，因此研究人员需要自行对输出数据进行分析，以决定是否需要进行更深入的调查分析。

可选依赖

该脚本基于PowerShell开发，可以在Windows电脑或服务器上使用。

该工具还提供了一些额外的功能，而这些功能需要依赖外部代码库。

该工具提供了一个WINPMEM支持文件来实现获取RAM转储。

该工具还需要使用Nirsoft的BrowserHistoryView组件来导出浏览器历史记录。

工具下载

广大研究人员可以使用下列命令直接将该项目源码克隆至本地：

git clone https://github.com/Johnng007/Live-Forensicator.git

工具使用

运行下列命令即可执行Live-Forensicator：

.\Forensicator.ps1 <parameters>

工具使用样例

工具基础使用：

.\Forensicator.ps1

检查工具版本：

.\Forensicator.ps1 -Version

检查工具更新：

.\Forensicator.ps1 -Update

提取事件日志

.\Forensicator.ps1 -EVTX EVTX

提取RAM转储

.\Forensicator.ps1 -RAM RAM

检查log4j：

.\Forensicator.ps1 -log4j log4j

执行全部功能：

.\Forensicator.ps1 -EVTX EVTX -RAM RAM -log4j log4j

无人值守模式：

.\Forensicator.ps1 -OPERATOR "Ebuka John" -CASE 01123 -TITLE "Ransomeware Infected Laptop" -LOCATION Nigeria -DEVICE AZUZ

针对不同参数执行无人值守模式：

.\Forensicator.ps1 -OPERATOR "Ebuka John" -CASE 01123 -TITLE "Ransomeware Infected Laptop" -LOCATION Nigeria -DEVICE AZUZ -EVTX EVTX -RAM RAM -log4j log4j

检查与勒索软件加密文件具有类似扩展名的文件（可能需要一些时间才能完成）：

.\Forensicator.ps1 -RANSOMEWARE RANSOMEWARE

可以在执行Oneliner后立即压缩工具的输出数据：

.\Forensicator.ps1 ; Start-Sleep -s 15 ; Compress-Archive -Path "$env:computername" -DestinationPath "C:\inetpub\wwwroot\$env:computername.zip" -Force

注意事项

1、该工具需要以管理员权限执行； 2、输出结果将以HTML文件显示； 3、我们可以在脚本的工作目录中找到所有提取的文件数据； 4、跟勒索软件识别相关的功能可以使用“-RANSOMEWARE”参数调用；

工具运行

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

https://github.com/Johnng007/Live-Forensicator

参考资料

https://github.com/Velocidex/WinPmem

http://www.nirsoft.net/utils/browsing_history_view.html