Por ejemplo, para este post os he preparado un pequeño "bat" para extraer rápidamente en un forense en vivo los drivers, información del sistema, mac, interfaces de red, conexiones, procesos, servicios y el árbol de directorios de la unidad raíz de un sistema Windows, en cualquiera de sus versiones. Por supuesto, con Powershell podréis ampliar este programa para hacer verdaderas maravillas. ¡Imaginación al poder! Sobre powershell Pablo escribió un interesante libre que podéis adquirir desde 0xWord:
Disfrutad del script y si lo ampliáis, será un placer recibir una copia para compartirla con todos vosotros en el blog:
Código de "forense.bat":
Código de "forense.bat":
md results
::Drivers ******************************************
driverquery > results\Drivers.txt
::System Info **************************************
systeminfo > results\System-info.txt
::Get Mac Address **********************************
getmac > results\MacAddress.txt
::Network interfaces *******************************
ipconfig > results\Network-interfaces.txt
::Network connections ******************************
netstat > results\Network-connections.txt
::Running processes ********************************
tasklist > results\Running-processes.txt
::System services **********************************
reg query HKLM\System\CurrentControlSet\Services\ > results\System-services.txt
net view > results\Network-hosts.txt
::Files tree ***************************************
tree "%SYSTEMROOT%/.." > results/Files.txt