├── README.md
└── Winscan.bat


/README.md:
--------------------------------------------------------------------------------
 1 | # Winscan
 2 | 一键Windows应急响应检测脚本
 3 | 
 4 | ![](https://mmbiz.qpic.cn/mmbiz_png/vJDso0DHzQ2HzzZcHJuGA3O2TsIXsAv1OIuJFVtb0Hibj866AVk8ARRR0rUf9VXiciaJBHImKicXZyCXkT8GPA8zfQ/640?wx_fmt=png&from=appmsg&wxfrom=13&tp=wxpic)
 5 | #### 实现功能：
 6 | ---
 7 | 说明：运行本脚本需要管理员权限。
 8 | 
 9 | 信息收集相关：
10 | + 操作系统信息
11 | + 系统补丁情况(*)
12 | + 系统账户和用户组(*)
13 | + 域密码策略
14 | + 管理员组
15 | + 用户上次登录时间
16 | + 重要的注册表项
17 | + RDP保存的凭证
18 | + 是否开启远程桌面服务
19 | + 本机共享列表(*)
20 | + 系统启动信息(*)
21 | + 已安装的反病毒软件
22 | + 防火墙配置(*)
23 | + Defender检测到的活动和过去的恶意软件威胁
24 | + 防火墙日志和系统日志evtx收集
25 | + 已安装软件(*)
26 | + 计划任务(*)
27 | + 服务状态(*)
28 | + 自启动服务
29 | + 自启动目录
30 | + 注册表启动项(*)
31 | + 网络连接（ipc$ 命名管道连接）
32 | + 是否启用Windows剪切板历史记录
33 | + 用户登录初始化、管理员自动登录
34 | + Logon Scripts
35 | + 屏幕保护程序
36 | + AppInit_DLLs
37 | + COM劫持(*)
38 | + shim数据库是否被劫持
39 | + 进程注入
40 | + exe文件启动相关注册表
41 | + Lsa
42 | + 映像劫持
43 | + 接受最终用户许可协议的程序
44 | + 安全模式启动相关注册表
45 | + powershell命令记录(*)
46 | + IE浏览器记录
47 | + certutil下载记录
48 | + 最近访问的文件(*)
49 | + "我的电脑、此电脑、计算机"的任意文件夹地址栏内的历史记录
50 | + 【运行】的历史记录
51 | + 网络连接情况(*)
52 | + DNS缓存记录(*)
53 | + 进程(*)
54 | + 系统日志是否开启
55 | 
56 | 
57 | 调查取证相关：
58 | + SAM、SECURITY、SYSTEM(*)
59 | + Sysmon 日志(*)
60 | + SRUM (System Resource Usage Monitor)(*)
61 | + MUICache(*)
62 | + ShimCache(*)
63 | + Prefetch(*)
64 | + 系统日志(*)
65 | 
66 | ![](https://upload-images.jianshu.io/upload_images/21474770-a845eaa691a017ba.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
67 | 


--------------------------------------------------------------------------------
/Winscan.bat:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/book4yi/Winscan/aed91de61cdd24fca7156bba6b7f386496ee23c8/Winscan.bat


--------------------------------------------------------------------------------