三天两头遇到客户服务器中招的，所以掌握基本的应急响应技能是我们的必修课。本人比较懒，不想做那些重复性的工作，为了提高工作效率，编写一款常用信息获取的小工具方便应急。今天只分享Windows版本，Linux版本暂不公开。

又是一个阳光明媚的夜晚，收到同事发来的消息，有个客户中招，服务器全是木马和病毒，威胁情报显示全是外联恶意域名，还有勒索、W矿行为。无奈拖着神采奕奕的身体打开了电脑，这就是牛马的命~~~~      略过客户敏感事件背景，直接上工具。

功能列表

1、获取账户信息，包括$隐藏账户

账户信息

2、获取启动项，包括启动目录和注册表

启动项

3、检查登录劫持和映像劫持

登录劫持和映像劫持

4、查看进程

进程

5、网络连接

网络连接

6、powershell历史命令

ps历史命令

7、计划任务

计划任务

8、服务

服务

9、远程桌面登录成功日志（由于没有，所以报错了）

RDP登录成功日志