PSGumshoe项目推荐

PSGumshoe项目推荐

PSGumshoe 项目地址: https://gitcode.com/gh_mirrors/ps/PSGumshoe

项目基础介绍和主要编程语言

PSGumshoe是一个Windows PowerShell模块，专注于收集操作系统和域的工件，以进行实时响应、狩猎和取证分析。该项目的主要编程语言是PowerShell，充分利用了Windows API来实现信息的收集，确保尽可能地符合取证标准。

项目核心功能

PSGumshoe模块提供了多种功能，主要分为以下几类：

1. 易失性信息函数：

   • Get-InjectedThread：获取注入的线程。
   • Get-NamedPipe：获取命名管道。
   • Measure-CharacterFrequency：测量字符频率。
   • Measure-DamerauLevenshteinDistance：测量Damerau-Levenshtein距离。
   • Measure-VectorSimilarity：测量向量相似性。
   • Stop-Thread：停止线程。

2. 目录服务函数：

   • Get-DSForest：获取目录服务森林。
   • Get-DSDirectoryEntry：获取目录服务条目。
   • Get-DSDirectorySearcher：获取目录服务搜索器。
   • Get-DSComputer：获取目录服务计算机。
   • Get-DSDomain：获取目录服务域。
   • Get-DSGpo：获取目录服务组策略对象。
   • Get-DSUser：获取目录服务用户。
   • Get-DSGroup：获取目录服务组。
   • Get-DSReplicationAttribute：获取目录服务复制属性。
   • Get-DSGroupMember：获取目录服务组成员。
   • Get-DSOU：获取目录服务组织单位。
   • Get-DSTrust：获取目录服务信任关系。
   • Get-DSObjectAcl：获取目录服务对象访问控制列表。

3. 事件日志函数：

   • Get-EventPsEngineState：获取PowerShell引擎状态事件。
   • Get-EventPsPipeline：获取PowerShell管道事件。
   • Get-EventPsIPC：获取PowerShell IPC事件。
   • Get-EventPsScriptBlock：获取PowerShell脚本块事件。
   • Get-WinEventBaseXPathFilter：获取Windows事件日志的基本XPath过滤器。
   • Get-SysmonProcessAccess：获取Sysmon进程访问事件。
   • Get-SysmonConfigChange：获取Sysmon配置更改事件。
   • Get-SysmonConnectNamedPipe：获取Sysmon连接命名管道事件。
   • Get-SysmonCreateNamedPipe：获取Sysmon创建命名管道事件。
   • Get-SysmonCreateRemoteThreadEvent：获取Sysmon创建远程线程事件。
   • Get-SysmonDriverLoadEvent：获取Sysmon驱动加载事件。
   • Get-SysmonFileCreateEvent：获取Sysmon文件创建事件。
   • Get-SysmonFileStreamHash：获取Sysmon文件流哈希。
   • Get-SysmonFileTime：获取Sysmon文件时间。
   • Get-SysmonImageLoadEvent：获取Sysmon映像加载事件。
   • Get-SysmonNetworkConnect：获取Sysmon网络连接事件。
   • Get-SysmonProcessCreateEvent：获取Sysmon进程创建事件。
   • Get-SysmonProcessTerminateEvent：获取Sysmon进程终止事件。
   • Get-SysmonRawAccessRead：获取Sysmon原始访问读取事件。
   • Get-SysmonRegistryKey：获取Sysmon注册表键事件。
   • Get-SysmonRegistryRename：获取Sysmon注册表重命名事件。
   • Get-SysmonRegistrySetValue：获取Sysmon注册表设置值事件。
   • Get-SysmonServiceStateChange：获取Sysmon服务状态更改事件。
   • Get-SysmonWmiBinding：获取Sysmon WMI绑定事件。
   • Get-SysmonWmiConsumer：获取Sysmon WMI消费者事件。
   • Get-SysmonWmiFilter：获取Sysmon WMI过滤器事件。
   • Get-SysmonDNSQuery：获取Sysmon DNS查询事件。
   • Get-SysmonProcessActivityEvent：获取Sysmon进程活动事件。
   • Get-EventSystemLogon：获取系统登录事件。
   • Get-EventSystemLogoff：获取系统注销事件。
   • Get-EventTerminalLogon：获取终端登录事件。
   • Get-EventTerminalLogoff：获取终端注销事件。
   • Get-EventScheduledTaskStart：获取计划任务启动事件。
   • Get-EventScheduledTaskProcess：获取计划任务进程事件。
   • Get-EventScheduledTaskStop：获取计划任务停止事件。
   • Get-EventScheduledTaskComplete：获取计划任务完成事件。
   • Get-EventBitsTransferComplete：获取BITS传输完成事件。
   • Get-EventBitsTransferStart：获取BITS传输启动事件。
   • Get-SysmonAccessMask：获取Sysmon访问掩码。
   • Get-SysmonRuleHash：获取Sysmon规则哈希。
   • ConvertTo-SysmonRule：转换为Sysmon规则。
   • Get-EventProcessCreate：获取进程创建事件。
   • Clear-WinEvent：清除Windows事件。
   • Export-WinEvent：导出Windows事件。

4. CIM函数：

   • Get-CimLogonSession：获取CIM登录会话。
   • Get-CimProcessLogonSession：获取CIM进程登录会话。
   • Get-CimProcess：获取CIM进程。
   • Get-CimComputerInfo：获取CIM计算机信息。
   • Get-CimDNSCache：获取CIM DNS缓存。

项目最近更新的功能

PSGumshoe项目最近更新的功能包括：

1. 新增事件日志函数：

   • Get-SysmonAccessMask：获取Sysmon访问掩码。
   • Get-SysmonRuleHash：获取Sysmon规则哈希。
   • ConvertTo-SysmonRule：转换为Sysmon规则。

2. 新增CIM函数：

   • Get-CimDNSCache：获取CIM DNS缓存。

这些更新进一步增强了PSGumshoe在实时响应和取证分析中的能力，使其能够更全面地收集和分析系统信息。

PSGumshoe 项目地址: https://gitcode.com/gh_mirrors/ps/PSGumshoe