[윈도우 포렌식 실전 가이드] 1장_라이브 리스폰스 스크립트

윈도우 포렌식 실전가이드 책을 보다가 1장의 라이브 리스폰스 스크립트를 만들기로 하였다. 

만드는 중에 sysinternals tool을 사용해야되는게 있어 찾아보니, 스크립트 실행 시 usb에 있는 도구들을 시스템 폴더에 복사 후 환경 변수 설정하는 내용을 추가하면 되지 않을까 하고 해보기로 하였으나, 그냥 툴을 C:\windows\system32 폴더에 복사하는 명령을 추가하니 해결되었다.

===========================================================================================================

@echo off

color 9f

setlocal

set /p type1=날짜 :

set /p type2=점검대상 : 

set /p type3=점검자 :

echo [+]■■■■■■■■ Start Live Response Script ■■■■■■■■    > %type1%_%type2%-result.txt

echo [+]■■■■ REM This is a Live Response Script Sample. ■■■■    > %type1%_%type2%-result.txt

echo [+]■■■ REM You must input your name and Date and Time ■■■    > %type1%_%type2%-result.txt

echo.                                                                >> %type1%_%type2%-result.txt

echo %type1%                      >> %type1%_%type2%-result.txt

echo %type2%                           >> %type1%_%type2%-result.txt

echo %type3%                           >> %type1%_%type2%-result.txt

echo [+] sysinternal copy

xcopy "d:\sysinternals\*.*" "c:\windows\system32" /e /h /k 

echo ========= 1. 초기분석 점검 날짜 ========== >> %type1%_%type2%-result.txt

date /t

echo ========= 2. 초기분석 점검 시작시간 ========= >> %type1%_%type2%-result.txt

time /t

echo ========= 3. 시스템 기본 정보(psinfo) ========= >> %type1%_%type%2%-result.txt

psinfo -h -s -d /accepteula

echo ========= 4. 부팅시간 정보(uptime) ========= >> %type1%_%type%2%-result.txt

uptime /accepteula

echo ========= 5. IP 정보(ipconfig /all) ========= >> %type1%_%type%2%-result.txt

ipconfig /all

echo ========= 6. 세션정보(net sess) ========= >> %type1%_%type%2%-result.txt

net sess

echo ========= 7. 포트 정보(netstat -an) ========= >> %type1%_%type%2%-result.txt

netstat -an

echo ========= 8. 포트별 서비스 정보(fport -i) ========= >> %type1%_%type%2%-result.txt

fport -i

echo ========= 9.이름 캐시 정보(netstat -c) ========= >> %type1%_%type%2%-result.txt

netstat -c

echo ========= 10. ARP 정보(arp -a) ========= >> %type1%_%type%2%-result.txt

arp -a

echo ========= 11. 라우팅 정보(route PRINT) ========= >> %type1%_%type%2%-result.txt

route PRINT

echo ========= 12. 로컬 서비스 정보(net start) ========= >> %type1%_%type%2%-result.txt

net start

echo ========= 13. 프로세스 기본 정보(pslist -t) ========= >> %type1%_%type%2%-result.txt

pslist -t /accepteula

echo ========= 14. 프로세스 상세 정보(pslist -x) ========= >> %type1%_%type%2%-result.txt

pslist -x /accepteula

echo ========= 15. 공유 자원 정보(net share) ========= >> %type1%_%type%2%-result.txt

net share

echo ========= 16. 사용자 정보(net user) ========= >> %type1%_%type%2%-result.txt

net user

echo ========= 17. 도메인 그룹 정보(net gorup) ========= >> %type1%_%type%2%-result.txt

net group

echo ========= 18. 로컬 그룹 정보(net localgroup) ========= >> %type1%_%type%2%-result.txt

net localgroup

echo ========= 19. 로컬 관리자 그룹 정보(net localgroup administrators) ========= >> %type1%_%type%2%-result.txt

net localgroup administrators

echo ========= 20. 로그온 사용자 정보 (loggedon) ========= >> %type1%_%type%2%-result.txt

loggedon /accepteula

echo ========= DLL 정보 (listdlls) ========= >> %type1%_%type%2%-result.txt

listdlls

echo ========= 열린 포트 정보(nmap :udp) ========= >> %type1%_%type%2%-result.txt

SysinternalsSuite\nmap -sU -P0 -p 1-65535 200.10.10.125

echo ========= 열린 포트 정보(nmap : tcp) ========= >> %type1%_%type%2%-result.txt

SysinternalsSuite\nmap -sT -P0 -p 1-65535 200.10.10.125

echo ========= 초기분석 점검 종료시간 ========= >> %type1%_%type%2%-result.txt

time /t

==========================================================================================================