PSR 即win自带的”问题步骤记录器”,也就是说它会捕捉活动窗口。这还是在课上无聊翻到的一个东西,用在屏幕截图上也是有很好的效果,因为是Windows系统自带的,所以不用考虑免杀问题。
唯一的限制:要求系统是 windows 7之后,也就是在做个人机的时候可以使用,不排除个别的情况。之前不知道有命令行的方法,直到看了三好学生的paper(这段时间一直在啃)。
进阶
直接查看进阶只用方法。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18psr.exe [/start |/stop][/output <fullfilepath>] [/sc (0|1)] [/maxsc <value>]
[/sketch (0|1)] [/slides (0|1)] [/gui (0|1)]
[/arcetl (0|1)] [/arcxml (0|1)] [/arcmht (0|1)]
[/stopevent <eventname>] [/maxlogsize <value>] [/recordpid <pid>]
/start 开始录制,需要指定文件保存路径
/stop 停止录制
/sc 捕捉记录步骤的截图,0|1
/maxsc 最大的截图数量
/maxlogsize 最大日志文件大小(MB)
/gui 是否显示psr的界面,0|1
/arcetl Include raw ETW file in archive output.
/arcxml Include MHT file in archive output.
/recordpid Record all actions associated with given PID.
/sketch Sketch UI if no screenshot was saved.
/slides Create slide show HTML pages.
/output 保存的输出路径
/stopevent Event to signal after output files are generated.
示例:1
2
3
4
5
6psr.exe /start /gui 0 /output C:\windows\temp\capture.zip
后台启动psr并开始录制,文件保存为C:\windows\temp\capture.zip
Start-Sleep -s 10;
等待10s,即录制时间为10s
psr.exe /stop;
结束录制,自动退出
压缩包内是mht格式,直接用IE打开就好。效果为:
防御
小结
利用PSR监控Windows桌面,不仅仅能够捕获用户桌面的操作,而且在报告中会包含更多有用的细节信息,相信你在渗透测试的过程中,bat+定时任务,一定会用上它。