GetInfo 应急响应信息收集工具介绍
GetInfo 是一款 轻量级的应急响应信息收集工具,主要用于 安全应急响应、恶意代码分析、系统安全排查,能够 快速采集 Windows 计算机的系统信息、进程、网络连接、注册表、计划任务等,帮助安全研究员、应急响应人员定位安全事件。
GetInfo 主要功能
🔹 系统基本信息收集:采集 主机名、IP、MAC、操作系统版本、补丁信息等。
🔹 进程 & 服务信息:列出 正在运行的进程 & 系统服务,检测可疑程序。
🔹 网络连接分析:查看 TCP/UDP 连接、远程 IP 地址,检测异常网络活动。
🔹 启动项 & 计划任务:收集 系统启动项、计划任务、服务,查找恶意自启动项。
🔹 账户信息 & 登录记录:采集 当前账户、登录日志、用户组信息,排查异常用户。
🔹 注册表关键项:分析 常见的持久化后门(如 Run、RunOnce、服务等),检测恶意植入。
🔹 浏览器 & DNS 缓存:提取 浏览器历史记录、DNS 解析记录,发现恶意网站访问。
🔹 系统日志 & 事件查看:分析 系统安全日志、账户变更、关键事件,帮助溯源攻击路径。
GetInfo 使用方法
(1)运行 GetInfo
- 无需安装,直接运行
GetInfo.exe(推荐管理员权限运行) - 运行后,工具会 自动收集系统信息,并 生成日志文件
(2)获取分析报告
- 运行后,GetInfo 会 在当前目录生成一份完整的
.txt或.log报告 - 可以手动查看 日志文件,或者结合 安全分析工具(如 Splunk、ELK、Sigma 规则) 进行深入分析
GetInfo 适用场景
✅ 应急响应:安全事件发生后,快速收集主机信息,辅助分析攻击路径
✅ 恶意软件分析:检测 木马、远控、后门、恶意进程,分析是否存在攻击行为
✅ APT 攻击排查:发现可疑的 网络连接、系统日志、异常账户,辅助定位持久化攻击
✅ 服务器安全检查:定期采集服务器信息,分析是否被入侵或植入后门
✅ SOC & 威胁情报分析:结合 ELK/Splunk 进行 大规模日志分析,检测异常活动
GetInfo 与其他应急工具对比
| 工具名称 | 功能特点 | 适用场景 | 可视化 | 日志导出 |
|---|---|---|---|---|
| GetInfo | ✅ 轻量级,自动化信息收集 | 🔹 快速响应 & 主机安全分析 | ❌ 无 GUI | ✅ 支持 TXT/LOG |
| WinAudit | ✅ 详细的系统信息报告 | 🔹 IT 资产管理 & 安全分析 | ✅ GUI 界面 | ✅ CSV/HTML |
| Sysinternals Suite | ✅ 进程、网络、驱动分析工具集 | 🔹 深度系统监控 & 逆向分析 | ✅ GUI + CLI | ❌ 需手动导出 |
| Velociraptor | ✅ 远程主机调查 | 🔹 APT 攻击溯源 & 威胁狩猎 | ✅ Web 界面 | ✅ JSON/SQL |
| Kansa | ✅ PowerShell 取证工具 | 🔹 大规模应急响应 & 取证 | ❌ CLI 方式 | ✅ JSON/CSV |
图片详情
声明:本站所有文章,如无特殊说明或标注,均来源与互联网。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
评论(0)