Meerkat:一款针对Windows终端的信息收集与网络侦查PowerShell工具
Meerkat:一款针对Windows终端的信息收集与网络侦查PowerShell工具
Meerkat是一款针对Windows终端的信息收集与网络侦查工具,该工具由多种PowerShell模块组成,且不需要预先部署代理,可以帮助广大研究人员针对Windows目标执行包括事件响应分类、威胁搜寻、基线监测、快照比较等任务。
工具特性
1、轻量级,体积小;
2、在目标设备上产生的影响小,不会留下过多痕迹;
3、利用PowerShell & WMI/CIM实现其功能;
4、编码风格规范,支持代码审查;
5、没使用任何DLL或已编译的组件;
6、标准化输出默认格式为.csv,可以轻松支持JSON和XML等数据格式;
工具要求
1、要求扫描设备上支持PowerShell 5.0+;
2、要求目标设备上支持PowerShell 3.0+,如果使用「Get-WMIObject」替换「Get-CIMinstance」实例,则可以最多向下兼容到PowerShell 2.0;
3、要求WinRM访问;
工具安装
通过Git安装
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone "https://github.com/TonyPhipps/Meerkat" "C:\Program Files\WindowsPowerShell\Modules\Meerkat"
如需更新工具,可以直接运行下列命令:
cd C:\Program Files\WindowsPowerShell\Modules\Meerkat
git pull
通过PowerShell安装
除此之外,我们还可以在一个PowerShell命令行终端中输入下列命令来安装Meerkat:
$Modules = "C:\Program Files\WindowsPowerShell\Modules\"
New-Item -ItemType Directory $Modules\Meerkat\ -force
Invoke-WebRequest https://github.com/TonyPhipps/Meerkat/archive/master.zip -OutFile $Modules\master.zip
Expand-Archive $Modules\master.zip -DestinationPath $Modules
Copy-Item $Modules\Meerkat-master\* $Modules\Meerkat\ -Force -Recurse
Remove-Item $Modules\Meerkat-master -Recurse -Force
如需更新工具,直接再次运行上述命令即可。
工具运行
下列命令即可将输出结果存储至「C:\Users\YourName\Meerkat\」:
Invoke-Meerkat
需要注意的是,如果工具脚本未使用管理员权限运行,则下列模块将不会返回任何结果:
AuditPolicy
Drivers
EventsLoginFailures
Hotfixes
RegistryMRU
Registry
Processes
RecycleBin
工具运行截图
「Invoke-Meerkat」命令的输出结果
输出文件
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可证协议。
项目地址
Meerkat:
https://github.com/TonyPhipps/Meerkat
https://github.com/TonyPhipps/Powershell/blob/master/Enable-WinRM.ps1