Desarrollando scripts para la extracción forense de información en Windows. Parte 1

Buenas a todos, durante las labores de investigación forense tendremos en muchas ocasiones la necesidad de obtener de forma rápida numerosos datos de un equipo Windows. Para esta labor hay infinidad de herramientas que podréis utilizar, pero también podréis desarrollar vuestros propios scripts para esta interesante tarea.

Por ejemplo, para este post os he preparado un pequeño "bat" para extraer rápidamente en un forense en vivo los drivers, información del sistema, mac, interfaces de red, conexiones, procesos, servicios y el árbol de directorios de la unidad raíz de un sistema Windows, en cualquiera de sus versiones. Por supuesto, con Powershell podréis ampliar este programa para hacer verdaderas maravillas. ¡Imaginación al poder! Sobre powershell Pablo escribió un interesante libre que podéis adquirir desde 0xWord:

Disfrutad del script y si lo ampliáis, será un placer recibir una copia para compartirla con todos vosotros en el blog:

Código de "forense.bat":

md results
::Drivers ******************************************
driverquery > results\Drivers.txt
::System Info **************************************
systeminfo > results\System-info.txt
::Get Mac Address **********************************
getmac > results\MacAddress.txt
::Network interfaces *******************************
ipconfig > results\Network-interfaces.txt
::Network connections ******************************
netstat > results\Network-connections.txt
::Running processes ********************************
tasklist > results\Running-processes.txt
::System services **********************************
reg query HKLM\System\CurrentControlSet\Services\ > results\System-services.txt
net view > results\Network-hosts.txt
::Files tree ***************************************
tree "%SYSTEMROOT%/.." > results/Files.txt