如何使用Douglas-042为威胁搜索和事件应急响应提速

预览

关于Douglas-042

Douglas-042是一款功能强大的PowerShell脚本，该脚本可以提升数据分类的速度，并辅助广大研究人员迅速从取证数据中筛选和提取出关键数据。

该工具能够搜索和识别Windows生态系统中潜在的安全漏洞，Douglas-042会将注意力放在威胁搜索和事件应急响应任务中最关键的事情上，确保在执行安全审查任务时不会忽略任何重要的信息。

功能介绍

支持查询的内容

1、常规信息；

2、帐户和组信息；

3、网络状态；

4、进程信息；

5、OS Build和HOTFIXE；

6、硬件信息；

7、持久化；

8、加密信息；

9、防火墙信息；

10、服务信息；

11、历史日志；

12、SMB查询；

13、远程处理查询；

14、注册表分析；

15、日志查询；

16、软件安装；

17、用户活动；

高级查询

1、查询Prefetch文件信息；

2、DLL列表；

3、WMI筛选器；

4、命名管道；

工具下载

该工具本质上是一个PowerShell脚本，主要针对Windows系统平台设计。

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/emrekybs/Douglas-042.git

工具使用

需要注意的是，该工具脚本的执行需要使用到管理员权限。

常规使用

打开一个PowerShell终端，然后执行下列命令启动Douglas-042，脚本执行后的结果将以文本文件的形式存储到当前目录下：

$ PS >./douglas.ps1

高级使用

$ PS >./douglas.ps1 -a

工具运行截图

许可证协议

本项目的开发与发布遵循 MIT 开源许可证协议。

项目地址

Douglas-042：【 GitHub传送门】