FastIR Collector - Windows 事件响应工具
FastIR Collector是一个Windows下的信息收集工具,该工具收集实时 Windows 上的信息包括:内存,注册表,文件信息等并将结果记录在 csv 文件中。通过对这些信息的分析,可以及时发现入侵痕迹。
执行
1 | ./fastIR_x64.exe -h 帮助 |
功能
文件系统
- IE/Firefox/Chrome 历史记录
- IE/Firefox/Chrome 下载
- 命名管道
- 预取
- 回收站
- 启动目录
运行状态
- ARP表
- 驱动器列表
- 网络驱动器
- 网卡
- 进程
- 路由表
- 任务
- 计划工作
- 服务
- 会话
- 网络共享
- 网络连接
注册表
- 安装程序文件夹
- OpenSaveMRU
- 最近的文档
- 服务
- Shellbags
- 自动运行
- USB历史
- UserAssists
- 网络列表
内存信息
- 剪贴板
- 加载的 DLL
- 打开的文件
Dump
- MFT
- MBR
- 内存
- 磁盘
- 注册表
- SAM
FileCatcher
- Based on mime type
- Define path and depth to filter the search
- Possibility to filter your search
- Yara Rules