FastIR Collector(红外刀) – Windows取证/信息收集神器
From:https://github.com/SekoiaLab/Fastir_Collector
http://tools.pwn.ren/2016/01/11/fastir-collector%E7%BA%A2%E5%A4%96%E5%88%80-windows%E5%8F%96%E8%AF%81%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86%E7%A5%9E%E5%99%A8.html
项目简介:
FastIR Collector是一款不折不扣的神器,要说唯一的缺点也许就是体积太大了,不过因为其实python编写的,所以导致了体积的过大,但是却又因为他是python写的所以对其进行二次开发和修改的门槛会比用C开发的相对较低。
FastIR Collector是一个Windows下的信息收集工具,收集的东西揽括了所有你能想到的东西,不限于内存,注册表,文件信息等,等看完下面的列表你就能意识到为何称它为神器,说他是神器的原因还有一个,就在他名字上“fast”,他的速度也是非常快的,对一个FileCatcher进行捕获也只需要1-2分钟时间!,具体列表如下:
文件系统 (fs)
IE浏览记录
命名管道
Prefetch
回收站
health
ARP 表
驱动器列表
网络驱动器
网卡
进程
路由表
任务
计划任务
服务
会话
网络共享
Sockets
v注册表 (reg)
安装目录
OpenSaveMRU
最近打开的文档
服务
Shellbags
自启动
USB历史纪录
Userassists
内存 (memory)
剪切板
已加载的DLL
已打开的文件
dump
MFT we use AnalyseMFT for https://github.com/dkovar/analyzeMFT
MBR
RAM
DISK
FileCatcher
based on mime type
搜索规则
Yara Rules
安装:
如果你需要进行二次开发,需要安装python并且还要安装以下模块
Requirements
pywin32
python WMI
python psutil
python yaml
construct
distorm3
hexdump
pytz
如果你只是简单的使用,直接下载
https://github.com/SekoiaLab/Fastir_Collector/tree/master/build
这个目录下文件即可适用。
使用方法:
./fastIR_x64.py -h for help
./fastIR_x64.py --packages all 包含所有模块
./fastIR_x64.py --packages (dump|fs|registry|memory|FileCatcher) 这里可以自定义选择模块,模块就是之前列表中介绍的,大家可以对应起来按照自己的需要进行dump
./fastIR_x64.py --packages all --ouput_dir 输入的文件夹