Fastir Collector - Author Sébastien Larinier

t.me/webware

FastIR Collector - это инструмент для сбора данных «Fast Forensic». Традиционная криминалистика достигла своего предела с постоянным развитием информационных технологий. С экспоненциально растущим размером жестких дисков их копирование может занять несколько часов, а объем данных может быть слишком большим для быстрого и эффективного анализа.

«Fast Forensic» позволяет ответить на эти вопросы. Он направлен на извлечение ограниченного, но с высокой информационной ценностью объема данных. Эти целевые данные являются наиболее последовательными и важными для аналитика реагирования на инциденты и позволяют аналитику быстро собирать артефакты и, таким образом, иметь возможность быстро принимать решения о случаях.

FastIR Collector предназначен для извлечения наиболее известного артефакта Windows, используемого различными вредоносными программами. Это помогает аналитику быстро принимать решения о состоянии приобретенной системы: взломана она или нет.

Классические инструменты судебной экспертизы должны выключить системы, чтобы извлечь данные. FastIR, напротив, работает на работающих системах без необходимости выключения системы. Это позволяет следователям быстро запускать инструмент в системах.

Среднее время выполнения FastIR Collector с использованием параметров по умолчанию составляет около пяти минут. Большая часть результатов выводится в формате CSV.

Packages List and Artefacts:

• fsIE/Firefox/Chrome History
• IE/Firefox/Chrome Downloads
• Named Pipes
• Prefetch
• Recycle-bin
• Startup Directories
• healthARP Table
• Drives List
• Network Drives
• Network Cards
• Processes
• Routing Table
• Tasks
• Scheduled Jobs
• Services
• Sessions
• Network Shares
• Sockets
• registryInstaller Folders
• OpenSaveMRU
• Recent Docs
• Services
• Shellbags
• Autoruns
• USB History
• UserAssists
• Networks List
• memoryClipboard
• Loaded DLLs
• Opened Files
• dumpMFT (raw or timeline) we use AnalyseMFT
• MBR
• RAM
• DISK
• Registry
• SAM
• FileCatcherBased on mime type
• Define path and depth to filter the search
• Possibility to filter your search
• Yara Rules

Для примера запустил у себя в системе с правами администратора FastIR_x64.exe

и результаты

Только файлы PHYSICAL_skype.zip не актуальны, так как базы и место хранения изменились.

Fastir Collector - Author Sébastien Larinier = mirror

Практически дубль [3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows

Источник codeby.net