Soft Fastir Collector - Author Sébastien Larinier

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
FastIR Collector - это инструмент для сбора данных «Fast Forensic». Традиционная криминалистика достигла своего предела с постоянным развитием информационных технологий. С экспоненциально растущим размером жестких дисков их копирование может занять несколько часов, а объем данных может быть слишком большим для быстрого и эффективного анализа.

«Fast Forensic» позволяет ответить на эти вопросы. Он направлен на извлечение ограниченного, но с высокой информационной ценностью объема данных. Эти целевые данные являются наиболее последовательными и важными для аналитика реагирования на инциденты и позволяют аналитику быстро собирать артефакты и, таким образом, иметь возможность быстро принимать решения о случаях.

FastIR Collector предназначен для извлечения наиболее известного артефакта Windows, используемого различными вредоносными программами. Это помогает аналитику быстро принимать решения о состоянии приобретенной системы: взломана она или нет.
Классические инструменты судебной экспертизы должны выключить системы, чтобы извлечь данные. FastIR, напротив, работает на работающих системах без необходимости выключения системы. Это позволяет следователям быстро запускать инструмент в системах.
Среднее время выполнения FastIR Collector с использованием параметров по умолчанию составляет около пяти минут. Большая часть результатов выводится в формате CSV.
  • fs
    • IE/Firefox/Chrome History
    • IE/Firefox/Chrome Downloads
    • Named Pipes
    • Prefetch
    • Recycle-bin
    • Startup Directories
  • health
    • ARP Table
    • Drives List
    • Network Drives
    • Network Cards
    • Processes
    • Routing Table
    • Tasks
    • Scheduled Jobs
    • Services
    • Sessions
    • Network Shares
    • Sockets
  • registry
    • Installer Folders
    • OpenSaveMRU
    • Recent Docs
    • Services
    • Shellbags
    • Autoruns
    • USB History
    • UserAssists
    • Networks List
  • memory
    • Clipboard
    • Loaded DLLs
    • Opened Files
  • dump
    • MFT (raw or timeline) we use
    • MBR
    • RAM
    • DISK
    • Registry
    • SAM
  • FileCatcher
    • Based on mime type
    • Define path and depth to filter the search
    • Possibility to filter your search
    • Yara Rules
Для примера запустил у себя в системе с правами администратора FastIR_x64.exe

27226


и результаты

27227

Только файлы PHYSICAL_skype.zip не актуальны, так как базы и место хранения изменились.

=

Практически дубль [3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows
 
Последнее редактирование:
Мы в соцсетях: