THRecon：功能强大的网络威胁追踪侦察工具套件解析

今天给大家介绍的是一款名叫THRecon的工具，该工具可以收集终端信息，而这些信息可以用来进行事件响应分类、威胁追踪和现场取证。当你的系统发出安全警报时，该工具可以给你提供尽可能多的相关分析信息，并帮助你确定是否发生了入侵行为。
信息收集
Host Info
Processes*
Services
Autoruns
Drivers
ARP
DLLs*
EnvVars
Hosts File
ADS
DNS
Strings*
Users & Groups
Ports
Select Registry
Hotfixes
Handles*
Sofware
Hardware
Event Logs
Net Adapters
Net Routes
Sessions
Shares
Certificates
Scheduled Tasks
TPM
Bitlocker
Recycle Bin
User Files
* 数据主要从主机当前运行的进程和可执行文件中提取。
工具要求
1.要求Powershell 5.0及以上版本（扫描设备）。
2.要求Powershell 3.0及以上版本（目标系统）。
3.在没有psexec封装器（Invoke-THR_PSExec）的情况下扫描一台远程设备，则要求远程设备上开启WinRM服务。
快速安装
在Powershell中使用git命令进行安装，然后开启新的Powershell会话，安装命令如下：
git clone https://github.com/TonyPhipps/THReconC:Users$env:UserNameDocumentsWindowsPowerShellModulesTHRecon
如果没有安装git的话，你可以新建一个文件夹，然后将项目源码拷贝到目录中，然后开启新的Powershell会话：
mkdir C:Users$env:UserNameDocumentsWindowsPowerShellModulesTHRecon
测试样例
如果你需要进行快速扫描，你需要在主机中创建一个空文件夹，然后在cmd中切换到该目录，默认输出结果会保存在当前目录中：
mkdir c:temp
cd c:temp
Invoke-THR-Quick
问题解决
【安装Powershell模块】
如果你的系统无法自动加载相关模块，你需要手动导入模块：
cd C:Users$env:UserNameDocumentsWindowsPowerShellModulesTHRecon
Import-ModuleTHRecon.psm1
工具运行截图
“Invoke-THR”命令的输出结果：

输出文件：