如何使用Douglas-042为威胁搜索和事件应急响应提速
关于Douglas-042
Douglas-042是一款功能强大的PowerShell脚本,该脚本可以提升数据分类的速度,并辅助广大研究人员迅速从取证数据中筛选和提取出关键数据。
该工具能够搜索和识别Windows生态系统中潜在的安全漏洞,Douglas-042会将注意力放在威胁搜索和事件应急响应任务中最关键的事情上,确保在执行安全审查任务时不会忽略任何重要的信息。
功能介绍
支持查询的内容
1、常规信息;
2、帐户和组信息;
3、网络状态;
4、进程信息;
5、OS Build和HOTFIXE;
6、硬件信息;
7、持久化;
8、加密信息;
9、防火墙信息;
10、服务信息;
11、历史日志;
12、SMB查询;
13、远程处理查询;
14、注册表分析;
15、日志查询;
16、软件安装;
17、用户活动;
高级查询
1、查询Prefetch文件信息;
2、DLL列表;
3、WMI筛选器;
4、命名管道;
工具下载
该工具本质上是一个PowerShell脚本,主要针对Windows系统平台设计。
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/emrekybs/Douglas-042.git
工具使用
需要注意的是,该工具脚本的执行需要使用到管理员权限。
常规使用
打开一个PowerShell终端,然后执行下列命令启动Douglas-042,脚本执行后的结果将以文本文件的形式存储到当前目录下:
$ PS >./douglas.ps1
高级使用
$ PS >./douglas.ps1 -a
工具运行截图
工具使用演示
演示视频:【点我观看】
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。
项目地址
Douglas-042:【GitHub传送门】