FastIR Collector(红外刀) – Windows取证/信息收集神器

Matt | 2016-01-11 10:22

From:https://github.com/SekoiaLab/Fastir_Collector

http://tools.pwn.ren/2016/01/11/fastir-collector%E7%BA%A2%E5%A4%96%E5%88%80-windows%E5%8F%96%E8%AF%81%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86%E7%A5%9E%E5%99%A8.html

项目简介:

FastIR Collector是一款不折不扣的神器,要说唯一的缺点也许就是体积太大了,不过因为其实python编写的,所以导致了体积的过大,但是却又因为他是python写的所以对其进行二次开发和修改的门槛会比用C开发的相对较低。

FastIR Collector是一个Windows下的信息收集工具,收集的东西揽括了所有你能想到的东西,不限于内存,注册表,文件信息等,等看完下面的列表你就能意识到为何称它为神器,说他是神器的原因还有一个,就在他名字上“fast”,他的速度也是非常快的,对一个FileCatcher进行捕获也只需要1-2分钟时间!,具体列表如下:

文件系统 (fs)

    IE浏览记录

    命名管道

    Prefetch

    回收站

    health

    ARP 表

    驱动器列表

    网络驱动器

    网卡

    进程

    路由表

    任务

    计划任务

    服务

    会话

    网络共享

    Sockets

v注册表 (reg)

    安装目录

    OpenSaveMRU

    最近打开的文档

    服务

    Shellbags

    自启动

    USB历史纪录

    Userassists

    

内存 (memory)

    剪切板

    已加载的DLL

    已打开的文件

    

dump

    MFT we use AnalyseMFT for https://github.com/dkovar/analyzeMFT

    MBR

    RAM

    DISK

    FileCatcher

    based on mime type

    搜索规则

    Yara Rules

安装:

  如果你需要进行二次开发,需要安装python并且还要安装以下模块  

  Requirements

  pywin32

  python WMI

  python psutil

  python yaml

  construct

  distorm3

  hexdump

  pytz

如果你只是简单的使用,直接下载

https://github.com/SekoiaLab/Fastir_Collector/tree/master/build

这个目录下文件即可适用。

使用方法:

./fastIR_x64.py -h for help

./fastIR_x64.py --packages all  包含所有模块

./fastIR_x64.py --packages (dump|fs|registry|memory|FileCatcher) 这里可以自定义选择模块,模块就是之前列表中介绍的,大家可以对应起来按照自己的需要进行dump

./fastIR_x64.py --packages all --ouput_dir 输入的文件夹


640.png