iT邦幫忙

2023 iThome 鐵人賽

DAY 9
1
Security

故事從撿到一顆硬碟開始系列 第 9

[Day09] CDIR Collector

  • 分享至 

  • xImage
  •  

首先,我們要介紹快速蒐集資源的工具 Cyber Defense Investigation Repository!
https://github.com/CyberDefenseInstitute/CDIR

可以直接點選 CDIR Collector v1.3.6 (Digitally Signed) 進行下載:
https://www.cyberdefense.jp/products/download/cdir-collector_1.3.6.zip

CDIR (Cyber Defense Investigation Repository)是由 Cyber Defense Institute 於2017年6月推出的開源套件,專為自動化的惡意程式分析和威脅情報收集而設計,涵蓋資安事件調查、程式靜態/動態分析等功能,不僅能快速收集事件相關資訊,還能分析攻擊者行為和進行威脅狩獵,是進行資安事件分析及事件應變(Incident Response)的首選工具。

https://ithelp.ithome.com.tw/upload/images/20230923/20103647FxZur0bLaQ.png

https://ithelp.ithome.com.tw/upload/images/20230923/201036478sXZtMG68i.png

https://ithelp.ithome.com.tw/upload/images/20230923/20103647lpHXFRQT8i.png

透過 CDIR 收集 Windows 系統常見資源,包含作業系統事件日誌(Event Log)、檔案歷程索引檔(Master File Table) 、預存程序(Prefetch)、登錄表(Windows Registry)、執行資源效能(System Resource Usage Monitor)、網頁瀏覽歷程(Browser History)、系統硬體資訊(Windows Management Instrumentation)、記憶體(Memory)等等資源。

https://ithelp.ithome.com.tw/upload/images/20230923/201036478CqibMAt3Y.png

但僅收集上述資源是不足以進行事件分析,應考慮主機基本資訊、硬體資訊、帳號資訊、連線狀態、記憶體設置檔(Hive)、網路服務日誌、VPN日誌、防火牆日誌、安全事件告警、應用程式日誌、資料庫日誌、網路設備日誌以及端點防護軟體日誌整併分析,以提供更全面的資訊以協助檢測和預防安全漏洞和攻擊。


上一篇
[Day08] 資源收集
下一篇
[Day10] DFIR-Toolkit
系列文
故事從撿到一顆硬碟開始30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
zeze
iT邦新手 1 級 ‧ 2023-09-23 17:41:02

剛好最近在看 CDIR 這個專案XD

因為有時候 Windows 會咬住一些系統檔案不給讀取,所以一般的 fopen、CreateFile 之類的 API 開不了檔,而 CDIR 是直接 Parse NTFS 來讀檔的。

虎虎 iT邦研究生 4 級 ‧ 2023-09-23 22:51:44 檢舉

我覺得這個還蠻好用的欸!!!
只是如果遇到新版本的在 Windows10 以前的版本可能需要找舊版的x64版本的CDIR囉~

不然就要看我下一篇的開源手刻版本了…

我要留言

立即登入留言