Extracción de información volátil y estática del sistema mediante PowerShell | Operating systems, scripting, PowerShell and security

PowerShell

# Volatile Information

# Lista completa de procesos en ejecución y sus ubicaciones en disco
Get-Process | Select-Object Name, Path

# Puertos utilizados por los procesos en ejecución
Get-NetTCPConnection | Select-Object LocalAddress, LocalPort, RemoteAddress, RemotePort, State

# Checksums de todos los procesos en ejecución
Get-Process | ForEach-Object { Get-FileHash -Algorithm SHA256 -Path $_.Path }

# Volcado de memoria para todos los procesos en ejecución
Get-Process | ForEach-Object { Write-Output "Dumping memory for process: $($_.Name)"; (Get-ProcessMemoryDump -Id $_.Id).Path }

# Lista de todas las DLL cargadas actualmente y sus sumas de verificación
Get-Process | ForEach-Object { Get-ProcessModule -Id $_.Id | Select-Object FileName, FileVersion }

# Hora de creación de procesos designados
Get-Process | Select-Object Name, StartTime

# Todos los archivos actualmente abiertos
Get-Process | ForEach-Object { Get-ProcessHandle -ProcessId $_.Id }

# Información de red
nbtstat
netstat -ano

# Lista de usuarios conectados
Get-WmiObject Win32_ComputerSystem | Select-Object UserName


# Static Information

# Nombre del sistema y dirección MAC
Get-WmiObject Win32_ComputerSystem | Select-Object Name
Get-NetAdapter | Select-Object Name, MacAddress

# Listado de servicios instalados
Get-Service | Select-Object DisplayName, StartType, Status

# Información de cuentas locales y políticas
Get-LocalUser
Get-LocalGroup | Get-LocalGroupMember

# Parches actuales instalados en el sistema
Get-HotFix

# Versiones de antivirus actuales
Get-WmiObject -Namespace "root\SecurityCenter2" -Class AntiVirusProduct

# Archivos con flujos de datos alternativos
Get-Item -Path C:\ -Stream *

# Archivos marcados como ocultos
Get-ChildItem -Path C:\ -Force -Hidden

# Lista de todo el software instalado en el sistema
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate

# Logs del sistema
Get-EventLog -LogName System

# Archivos temporales de caché de aplicaciones
Get-ChildItem -Path "C:\Users\$env:USERNAME\AppData\Local\Temp" -Recurse

# Exportación completa del registro
Export-Clixml -Path "C:\registro_completo.xml" -InputObject (Get-ItemProperty -Path HKLM:\)

# Búsqueda y recuperación de archivos basados en criterios de búsqueda
Get-ChildItem -Path C:\ -Recurse -File -Filter "*.doc" | Select-Object FullName

# Volatile Information

# Lista completa de procesos en ejecución y sus ubicaciones en disco

Get-Process | Select-Object Name, Path

# Puertos utilizados por los procesos en ejecución

Get-NetTCPConnection | Select-Object LocalAddress, LocalPort, RemoteAddress, RemotePort, State

# Checksums de todos los procesos en ejecución

Get-Process | ForEach-Object { Get-FileHash -Algorithm SHA256 -Path $_.Path }

# Volcado de memoria para todos los procesos en ejecución

Get-Process | ForEach-Object { Write-Output "Dumping memory for process: $($_.Name)"; (Get-ProcessMemoryDump -Id $_.Id).Path }

# Lista de todas las DLL cargadas actualmente y sus sumas de verificación

Get-Process | ForEach-Object { Get-ProcessModule -Id $_.Id | Select-Object FileName, FileVersion }

# Hora de creación de procesos designados

Get-Process | Select-Object Name, StartTime

# Todos los archivos actualmente abiertos

Get-Process | ForEach-Object { Get-ProcessHandle -ProcessId $_.Id }

# Información de red

nbtstat

netstat -ano

# Lista de usuarios conectados

Get-WmiObject Win32_ComputerSystem | Select-Object UserName

# Static Information

# Nombre del sistema y dirección MAC

Get-WmiObject Win32_ComputerSystem | Select-Object Name

Get-NetAdapter | Select-Object Name, MacAddress

# Listado de servicios instalados

Get-Service | Select-Object DisplayName, StartType, Status

# Información de cuentas locales y políticas

Get-LocalUser

Get-LocalGroup | Get-LocalGroupMember

# Parches actuales instalados en el sistema

Get-HotFix

# Versiones de antivirus actuales

Get-WmiObject -Namespace "root\SecurityCenter2" -Class AntiVirusProduct

# Archivos con flujos de datos alternativos

Get-Item -Path C:\ -Stream *

# Archivos marcados como ocultos

Get-ChildItem -Path C:\ -Force -Hidden

# Lista de todo el software instalado en el sistema

Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate

# Logs del sistema

Get-EventLog -LogName System

# Archivos temporales de caché de aplicaciones

Get-ChildItem -Path "C:\Users\$env:USERNAME\AppData\Local\Temp" -Recurse

# Exportación completa del registro

Export-Clixml -Path "C:\registro_completo.xml" -InputObject (Get-ItemProperty -Path HKLM:\)

# Búsqueda y recuperación de archivos basados en criterios de búsqueda

Get-ChildItem -Path C:\ -Recurse -File -Filter "*.doc" | Select-Object FullName

Extracción de información volátil y estática del sistema mediante PowerShell (PowerShell)

LIBRO DE POWERSHELL

LO ÚLTIMO

VÍDEOS