FastIR Collector - это инструмент для сбора данных «Fast Forensic». Традиционная криминалистика достигла своего предела с постоянным развитием информационных технологий. С экспоненциально растущим размером жестких дисков их копирование может занять несколько часов, а объем данных может быть слишком большим для быстрого и эффективного анализа.
«Fast Forensic» позволяет ответить на эти вопросы. Он направлен на извлечение ограниченного, но с высокой информационной ценностью объема данных. Эти целевые данные являются наиболее последовательными и важными для аналитика реагирования на инциденты и позволяют аналитику быстро собирать артефакты и, таким образом, иметь возможность быстро принимать решения о случаях.
FastIR Collector предназначен для извлечения наиболее известного артефакта Windows, используемого различными вредоносными программами. Это помогает аналитику быстро принимать решения о состоянии приобретенной системы: взломана она или нет.
Классические инструменты судебной экспертизы должны выключить системы, чтобы извлечь данные. FastIR, напротив, работает на работающих системах без необходимости выключения системы. Это позволяет следователям быстро запускать инструмент в системах.
Среднее время выполнения FastIR Collector с использованием параметров по умолчанию составляет около пяти минут. Большая часть результатов выводится в формате CSV.
Для примера запустил у себя в системе с правами администратора FastIR_x64.exe
и результаты
Только файлы PHYSICAL_skype.zip не актуальны, так как базы и место хранения изменились.
Fastir Collector - Author Sébastien Larinier =
Практически дубль [3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows
«Fast Forensic» позволяет ответить на эти вопросы. Он направлен на извлечение ограниченного, но с высокой информационной ценностью объема данных. Эти целевые данные являются наиболее последовательными и важными для аналитика реагирования на инциденты и позволяют аналитику быстро собирать артефакты и, таким образом, иметь возможность быстро принимать решения о случаях.
FastIR Collector предназначен для извлечения наиболее известного артефакта Windows, используемого различными вредоносными программами. Это помогает аналитику быстро принимать решения о состоянии приобретенной системы: взломана она или нет.
Классические инструменты судебной экспертизы должны выключить системы, чтобы извлечь данные. FastIR, напротив, работает на работающих системах без необходимости выключения системы. Это позволяет следователям быстро запускать инструмент в системах.
Среднее время выполнения FastIR Collector с использованием параметров по умолчанию составляет около пяти минут. Большая часть результатов выводится в формате CSV.
- fs
- IE/Firefox/Chrome History
- IE/Firefox/Chrome Downloads
- Named Pipes
- Prefetch
- Recycle-bin
- Startup Directories
- health
- ARP Table
- Drives List
- Network Drives
- Network Cards
- Processes
- Routing Table
- Tasks
- Scheduled Jobs
- Services
- Sessions
- Network Shares
- Sockets
- registry
- Installer Folders
- OpenSaveMRU
- Recent Docs
- Services
- Shellbags
- Autoruns
- USB History
- UserAssists
- Networks List
- memory
- Clipboard
- Loaded DLLs
- Opened Files
- dump
- MFT (raw or timeline) we use AnalyseMFT
- MBR
- RAM
- DISK
- Registry
- SAM
- FileCatcher
- Based on mime type
- Define path and depth to filter the search
- Possibility to filter your search
- Yara Rules
и результаты
Fastir Collector - Author Sébastien Larinier =
Ссылка скрыта от гостей
Практически дубль [3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows
Последнее редактирование:
