Понедельник, 9:15 утра. Три алерта в SIEM - Event ID 7045 (установка неизвестного сервиса) на хостах бухгалтерии. К 10:00 счётчик дошёл до восьми машин: lateral movement шёл прямо сейчас. Задача - за час собрать артефакты с 30+ хостов без перезагрузки и без потери chain of custody. Стек из Velociraptor, KAPE, Eric Zimmerman tools и Autopsy позволил пройти от первого алерта до итогового отчёта за 11 часов. Ниже - как этот DFIR-инструментарий разворачивается, чем каждый элемент отличается архитектурно и на каком этапе расследования без него не обойтись.
Требования к DFIR-лаборатории
Аппаратная часть и системные ресурсы
| Параметр | Минимум | Рекомендуется | Подробнее - в нашем статье о расследование кибератаки.| RAM рабочей станции | 16 ГБ | 32 ГБ (Timeline Explorer на 50k+ записей жрёт память) |
| Свободное место | 500 ГБ SSD | 2 ТБ NVMe (один E01-образ десктопа - 120-250 ГБ) |
| ОС аналитика | Windows 10/11 + Linux VM | Windows 11 + SIFT Workstation VM |
| .NET Runtime | .NET 9 для EZ Tools GUI | - |
| Velociraptor-сервер | 4 ГБ RAM, 2 vCPU | 8 ГБ RAM, 4 vCPU, отдельная VM |
| Сетевая изоляция | VLAN с ACL до SIEM | Air-gapped сегмент + jump host |
Write-blocker - аппаратный (Tableau) или программный (
blockdev --setro /dev/sdX) - обязателен до любых действий с оригинальными носителями. Без него артефакты юридически ничтожны: при утечке ПДн с оборотными штрафами по ФЗ-152 некорректная обработка улик превращает всё расследование в макулатуру.Почему именно эти четыре инструмента
Весь стек бесплатен для внутренних расследований (KAPE при коммерческом IR требует лицензии - прямо указано в EULA, не пропустите). Покрытие - от удалённого сбора с тысяч хостов до парсинга единичного Prefetch-файла. Интеграция: выход KAPE → вход EZ Tools → Timeline Explorer → Autopsy. Коммерческие суиты (EnCase, FTK, Magnet AXIOM) дополняют этот стек, но не заменяют - ни один из них не даёт VQL-хантинга на 10 000 эндпоинтов одновременно.За рамками обзора остались X-Ways Forensics (платный, без remote-сбора), Magnet AXIOM (AI-классификация полезна, но лицензия неоправданна для команд с бюджетом ниже $15 000/год) и Cyber Triage (standalone collector с авто-скорингом - хорошо дополняет стек, но не заменяет ни один из четырёх компонентов).
Velociraptor - удалённый сбор артефактов и VQL-хантинг
Velociraptor - агентная open-source платформа для сбора артефактов и threat hunting, созданная Mike Cohen; с 2021 года приобретена Rapid7, развивается под лицензией Apache 2.0. В 2024 году Mike Cohen покинул Rapid7 и продолжил развитие проекта независимо (Velocidex), open-source ветка поддерживается. Архитектура: сервер + lightweight-агент на каждом хосте, агент-сервер коммуникация по HTTPS с protobuf-payload; gRPC используется для административного API (управление сервером через CLI сapi_client.yaml). Главное отличие от остальных инструментов стека - Velociraptor Query Language (VQL): декларативный язык запросов к состоянию живого хоста.Место в цепочке расследования
Velociraptor покрывает фазы Collection и Examination по NIST SP 800-86, фокусируясь на live-данных и удалённом hunting, когда инцидент ещё активен. Пока KAPE требует физического или remote-доступа к конкретной машине, Velociraptor параллельно собирает volatile-данные (процессы, сетевые соединения, loaded DLLs) с сотен хостов. Для SOC-аналитика это разница между «собрали артефакты за 5 минут» и «обходим машины 3 часа».Сервер для тестовой среды запускается одной командой
velociraptor gui с self-signed TLS. Для production - генерация конфигурации через velociraptor config generate, пакетирование клиента в MSI и раскатка через GPO или SCCM.
SQL:
SELECT Pid, Name, CommandLine, {
SELECT Raddr.IP, Raddr.Port, Status
FROM netstat() WHERE Pid = Pid
} AS Connections
FROM pslist()
WHERE Connections
SQL:
SELECT EventData.ServiceName, EventData.ImagePath,
System.TimeCreated
FROM parse_evtx(
filename="C:/Windows/System32/winevt/Logs/System.evtx")
WHERE System.EventID = 7045
ORDER BY System.TimeCreated DESC
LIMIT 50Ограничения
Velociraptor не создаёт побитовых копий дисков - он собирает артефакты, а не forensic images. Для chain of custody с E01-образом нужен KAPE или FTK Imager. Без предустановленного агента Velociraptor бесполезен: это не standalone collector, который можно закинуть на хост через CrowdStrike RTR. Агент не был развёрнут до инцидента? Переходим к KAPE.KAPE - триаж одного хоста за 15 минут
KAPE (Kroll Artifact Parser and Extractor) разработан Eric Zimmerman и распространяется Kroll для быстрого сбора и парсинга артефактов Windows. Два режима: Target (собрать файлы по описанию) и Module (распарсить собранное через внешние утилиты).KAPE Files - открытый GitHub-репозиторий с сотнями YAML-конфигураций для сбора. По словам Eric Capuano, этот репозиторий «не менее значим, чем сам KAPE»: описания артефактов из него используются и в Velociraptor, и в других инструментах.
Типичная команда для полного триажа:
kape.exe --tsource C: --tdest D:\Evidence\%m --target KapeTriage --mdest D:\Evidence\%m\parsed --module !EZParser. Собирает $MFT, Prefetch, Event Logs, Registry Hives, Amcache, ShimCache, браузерные артефакты - и прогоняет через EZ Tools для автоматического парсинга. На SSD стандартного десктопа весь процесс занимает 10-20 минут.Когда KAPE, а не Velociraptor
Сценарий первый: изолированная машина без агента. IR-команда приехала на площадку, воткнула USB с KAPE в заражённый хост, запустила, забрала результат. Сценарий второй: push через EDR. CrowdStrike RTR, SentinelOne Remote Shell или даже PowerShell Remoting позволяют закинутьkape.exe и запустить удалённо на конкретном хосте. Для insider threat это особенно актуально - скомпрометированный легитимный хост не обязательно машина с агентом Velociraptor, это может быть ноутбук подрядчика, на который агент никто не ставил.Eric Zimmerman tools - парсинг Windows-артефактов до атомарного уровня
EZ Tools - набор CLI- и GUI-утилит для разбора бинарных структур Windows. По данным с ericzimmerman.github.io, с 2025 года все GUI-инструменты перешли исключительно на .NET 9 (legacy .NET 4 оставлен только для CLI). Установка всего набора - PowerShell-скриптGet-ZimmermanTools с параметром -Dest для контроля расположения и -NetVersion 9. Открытый исходный код, поддержка со стороны SANS Institute и SANS DFIR.Нюанс, на котором спотыкаются новички: при распаковке на Windows не используйте встроенный архиватор - Windows блокирует DLL из скачанных архивов. Только 7-Zip или WinRAR. И не запускайте из
C:\Program Files без прав администратора - в документации это написано, но кто ж её читает.Ключевые инструменты и что каждый из них достаёт
MFTECmd парсит $MFT (Master File Table) NTFS. Показывает все файлы, включая удалённые, с точными timestamps - $Standard_Information и $File_Name. Это прямое противодействие технике Timestomp (T1070.006, Defense Evasion): если атакующий изменил $SI-timestamps, расхождение с $FN-timestamps выдаёт подделку. Запуск:MFTECmd.exe -f $MFT --csv output/.PECmd парсит Prefetch-файлы из
C:\Windows\Prefetch. Каждый запуск exe в Windows создаёт .pf-файл. PECmd извлекает: имя процесса, путь, количество запусков, timestamps последних 8 выполнений, список файлов и каталогов, к которым обращался процесс.EvtxECmd парсит EVTX-логи в CSV/JSON с маппингами, превращающими сырые EventData-поля в читаемые колонки. Для детектирования Clear Windows Event Logs (T1070.001, Defense Evasion): Event ID 1102 в Security.evtx означает, что audit log был очищен - прямое свидетельство anti-forensics.
LECmd парсит LNK-файлы (ярлыки). Извлекает целевой путь, MAC-адрес хоста-источника, серийный номер тома. Для lateral movement: если на хосте бухгалтера появился LNK на
\\DC01\ADMIN$\payload.exe - вот вам артефакт сетевого доступа к ресурсу.RECmd парсит registry hives офлайн. ShimCache (AppCompatCache), Amcache, UserAssist, RunMRU - всё достаётся через RECmd с готовыми batch-файлами. Артефакты реестра (ShimCache, Amcache) - свидетельство выполнения программ, а не маппинг на технику T1012 (Query Registry). Путать не стоит.
Timeline Explorer - GUI-просмотрщик CSV-выходов всех перечисленных инструментов. Когда MFTECmd, PECmd и EvtxECmd выгрузили по 50 000+ строк каждый, Timeline Explorer позволяет фильтровать, группировать и сортировать. По опыту работы с супертаймлайнами на расследованиях - это продуктивнее grep при корреляции десятков тысяч событий из разных источников.
Типичный pipeline: KAPE собрал сырые артефакты → MFTECmd обработал $MFT → PECmd - Prefetch → EvtxECmd - логи → все CSV загружены в Timeline Explorer → корреляция по временным окнам.
Autopsy - глубокий анализ дисковых образов
Autopsy - open-source forensic suite поверх The Sleuth Kit. Применяется, когда нужно работать с полным образом диска (E01, DD, VMDK), а не с отдельными артефактами. То, чего нет ни у KAPE, ни у EZ Tools: восстановление удалённых файлов из unallocated space и полнотекстовый поиск по всему содержимому диска.Для IR обязательны следующие Ingest Modules при создании кейса: Hash Lookup (NSRL + кастомные IOC-хэши - отсеивает known good, подсвечивает known bad), Keyword Search (regex-паттерны для IP, email, C2-доменов), Recent Activity (парсит браузеры, MRU-списки, USB-подключения), Embedded File Extractor (распаковка вложений). Timeline в Autopsy агрегирует файловую активность, EVTX, registry и browser artifacts в единую временную шкалу с фильтрацией по окну инцидента.
Autopsy медленнее EZ Tools на конкретных артефактах: где MFTECmd справится за секунды, Autopsy может обрабатывать полный Ingest часами на образе 500 ГБ. Зато Autopsy видит unallocated space и carved files - то, что EZ Tools в принципе не покрывают (им нужен сам файл, а не raw-блоки диска). Когда атакующий использовал Direct Volume Access (T1006, Defense Evasion) для обхода файловой системы, Autopsy - единственный инструмент стека, способный обнаружить следы.
Когда какой инструмент: архитектурное сравнение
| Критерий | Velociraptor | KAPE | EZ Tools | Autopsy |
|---|---|---|---|---|
| Тип | Агентная платформа | Standalone collector | CLI/GUI парсеры | Forensic suite |
| Масштаб | Тысячи хостов | Один хост | Один хост | Один образ |
| Исходный код | Open source | Free, closed source | Open source | Open source |
| Основная задача | Live collection + hunting | Fast triage + auto-parse | Precision artifact parsing | Deep disk analysis |
| Volatile data | Да (RAM, netstat, handles) | Частично (через module) | Нет | Нет |
| Deleted files (unallocated) | Нет | Нет | Нет | Да |
| Удалённый сбор | Нативно (агент) | Через EDR / PS Remoting | Нет | Нет |
| Chain of custody (E01) | Нет (артефакты, не образ) | Да (через module) | Нет | Да (стандарт для суда) |
| Когда НЕ подходит | Нет агента на хосте | Нет физ./remote-доступа | Нужен raw disk, не файл | Большие объёмы, нужна скорость |
Эти инструменты не конкурируют - они работают последовательно. Velociraptor для первого реагирования на живых хостах. KAPE для триажа конкретной машины. EZ Tools для точного парсинга собранного. Autopsy - когда артефактов недостаточно и нужен полный образ.
Сценарий расследования: lateral movement через WMI
Возвращаемся к утреннему инциденту. Алерт на Event ID 7045 - установка службы - на восьми хостах. Вот как стек работает в связке.Чеклист артефактов при lateral movement
| Артефакт | Инструмент | Что доказывает | MITRE ATT&CK |
|---|---|---|---|
| Event ID 7045 (System.evtx) | EvtxECmd / Velociraptor VQL | Установка службы атакующим | - |
| Event ID 4624 Type 3 | EvtxECmd | Сетевой логон с другого хоста | - |
| Event ID 1102 (Security.evtx) | EvtxECmd | Очистка логов | T1070.001 (Clear Windows Event Logs) |
| Prefetch (.pf) | PECmd | Факт запуска исполняемого файла | T1057 (Discovery) |
| $MFT: $SI vs $FN timestamps | MFTECmd | Обнаружение timestomp | T1070.006 (Timestomp) |
| Registry ShimCache | RECmd | История выполнения | Артефакт Execution (не маппится на конкретную технику ATT&CK) |
| LNK-файлы | LECmd | Доступ к сетевым ресурсам | T1570 (Lateral Tool Transfer) |
| Deleted files в unallocated | Autopsy | Удалённые скрипты и бинари | T1070 (Indicator Removal) |
Каждый артефакт из чеклиста фиксируется с хэш-суммой и timestamp в журнале chain of custody. Без этого при инциденте с утечкой ПДн доказательства не выдержат проверки регулятора.
Часто вижу картину: IR-команда имеет все четыре инструмента установленными - и ни разу не запускала hunt в Velociraptor до реального инцидента. KAPE валяется на USB в ящике стола. EZ Tools скачаны, но
Get-ZimmermanTools не обновлялся полгода. Проблема DFIR в 2025 не в инструментарии - он бесплатный и мощнее большинства коммерческих аналогов. Проблема - в мышечной памяти. Если VQL-запрос к Event ID 7045 пишется впервые под давлением активного lateral movement, качество расследования падает кратно.Единственное, что реально работает - регулярные учебные хантинги на собственной инфраструктуре, минимум раз в неделю, с ротацией сценариев: insider threat, ransomware pre-encryption, credential harvesting. Инструменты описаны выше, осталось нарабатывать рефлексы. На форуме codeby.net подобные кейсы разбирают регулярно - полезно сверить свой pipeline с тем, как другие команды выстраивают тот же процесс.
