Buenas a todos, durante las labores de investigación forense tendremos
en muchas ocasiones la necesidad de obtener de forma rápida numerosos
datos de un equipo Windows. Para esta labor hay infinidad de
herramientas que podréis utilizar, pero también podréis desarrollar
vuestros propios
scripts para esta interesante tarea.
Por ejemplo, para este post os he preparado un pequeño "bat" para
extraer rápidamente en un forense en vivo los drivers, información del
sistema, mac, interfaces de red, conexiones, procesos, servicios y el
árbol de directorios de la unidad raíz de un sistema
Windows, en
cualquiera de sus versiones. Por supuesto, con Powershell podréis
ampliar este programa para hacer verdaderas maravillas. ¡Imaginación al
poder! Sobre powershell Pablo escribió un interesante libre que podéis
adquirir desde 0xWord:
Disfrutad del script y si lo ampliáis, será un placer recibir una copia para compartirla con todos vosotros en el blog:
Código de "forense.bat":
