RetrievIR：专为事件响应设计的Windows设备安全取证收集工具

文章预览

关于RetrievIR RetrievIR是一款功能强大的信息安全取证收集工具，该工具本质上是一个轻量级 PowerShell 脚本，旨在帮助事件响应者从本地和远程主机收集可用于取证的有用资料。 该工具旨在收集尽可能多的“原始”工件，以便于在下游数据分析管道中使用。 RetrievIR 还旨在允许通过配置文件输入灵活地指定证据 - 收集指令可以采用以下三种形式之一： 1、文件 - 使用过滤器指定文件路径以及是否进行递归检查； 2、命令 - 指定要运行的命令，命令应该输出到某种类型的文件并通过 PowerShell 解释器执行； 3、注册表 - 指定要过滤的相关注册表键的路径（如果有）以及递归性； 功能介绍 1、基于可定制的配置文件实现灵活的取证数据收集； 2、能够收集文件、注册表值和命令输出； 3、允许标记取证数据收集目标，以便在运行时轻松指定； 4、能够分析本地和 ………………………………