首先,我們要介紹快速蒐集資源的工具 Cyber Defense Investigation Repository!
https://github.com/CyberDefenseInstitute/CDIR
可以直接點選 CDIR Collector v1.3.6 (Digitally Signed) 進行下載:
https://www.cyberdefense.jp/products/download/cdir-collector_1.3.6.zip
CDIR (Cyber Defense Investigation Repository)是由 Cyber Defense Institute 於2017年6月推出的開源套件,專為自動化的惡意程式分析和威脅情報收集而設計,涵蓋資安事件調查、程式靜態/動態分析等功能,不僅能快速收集事件相關資訊,還能分析攻擊者行為和進行威脅狩獵,是進行資安事件分析及事件應變(Incident Response)的首選工具。
透過 CDIR 收集 Windows 系統常見資源,包含作業系統事件日誌(Event Log)、檔案歷程索引檔(Master File Table) 、預存程序(Prefetch)、登錄表(Windows Registry)、執行資源效能(System Resource Usage Monitor)、網頁瀏覽歷程(Browser History)、系統硬體資訊(Windows Management Instrumentation)、記憶體(Memory)等等資源。
但僅收集上述資源是不足以進行事件分析,應考慮主機基本資訊、硬體資訊、帳號資訊、連線狀態、記憶體設置檔(Hive)、網路服務日誌、VPN日誌、防火牆日誌、安全事件告警、應用程式日誌、資料庫日誌、網路設備日誌以及端點防護軟體日誌整併分析,以提供更全面的資訊以協助檢測和預防安全漏洞和攻擊。
剛好最近在看 CDIR 這個專案XD
因為有時候 Windows 會咬住一些系統檔案不給讀取,所以一般的 fopen、CreateFile 之類的 API 開不了檔,而 CDIR 是直接 Parse NTFS 來讀檔的。
我覺得這個還蠻好用的欸!!!
只是如果遇到新版本的在 Windows10 以前的版本可能需要找舊版的x64版本的CDIR囉~
不然就要看我下一篇的開源手刻版本了…