Sumario con secuencias de comandos de información del sistema valiosa para un analista forense. IRTriage se ejecuta automáticamente como ADMINISTRADOR en todas las versiones de Windows excepto WinXP.
La fuente flamante fue Triage-ir v0.851, un raya de Autoit de Michael Ahrendt. Desafortunadamente, los últimos cambios de Michael se publicaron el 9 de noviembre de 2012.
Le hice conocer a Michael que dividí su tesina: me complace anunciar que me ha regalado su dicha para compartir su código fuente, ¡viva el código amplio!)
¿Qué sucede si una imagen de disco completa no está arreglado durante un incidente?
Imagínese investigar una docena o más de sistemas potencialmente infectados o comprometidos. ¿Puede sobrevenir de 2 a 8 horas haciendo una copia forense de los discos duros de estas computadoras? En tal situación, el rápido «triage» forense es la alternativa para tal situación. En superficie de copiar todo, compilar algunos archivos secreto puede solucionar este problema.
- IRTriage recopila:
- Información del sistema
- Información de la red
- Palos de registro
- Información del disco duro y
- Vertedero.
Una de las poderosas características de IRTriage es la resumen de información de Volume Shadow Copy que puede estar de moda para derrotar muchas técnicas anti-forenses.
El IRTriage en sí es solo un script de autoit que depende de otras herramientas como
- Win32 | 64dd (evadido de Moonsols) o FDpro * (producto comercial de HBGary)
- Suite Sysinternals
- El kit de detective
- Regripper
- NirSoft => MFTDump y WinPrefetchView
- md5deep y sha1deep
- CSVFileView
- 7zip
- y algunos comandos integrados en Windows.
En caso de un incidente, solo desea realizar cambios mínimos en la máquina de pruebas. Por lo que recomendaría copiar IRTriage a una mecanismo USB. El único problema con esto es que si planea pincharse la memoria, la mecanismo USB debe ser más sobresaliente que la RAM física instalada en la computadora.
Una vez que inicie la aplicación GUI, puede nominar qué información desea compilar. Cada categoría está en una pestaña separada. Toda la información recopilada se almacena en una nueva carpeta que está marcada con [hostname-date-time].
NOTICIAS: Cambios en triage-ir v0.851
- Esquema renombrado a IRTriage
- El control de versiones se ha cambiado a la traducción 2.[YY.MM.DD] para identificar más fácilmente los cambios recientes.
- El tesina se ha actualizado a las herramientas disponibles actualmente.
- Se han corregido los errores de registro «Comandos ejecutados».
- «Incident Log.txt» se cambió a «IncidentLog.csv» (separado por TAB)
- La carpeta de herramientas de tiempo de compilación se ha cambiado a. Compile Tools (almacén para script).
- Se solucionó el problema al desobstruir el cuadro de diálogo para desobstruir el archivo INI en el directorio de secuencia de comandos almacén
La traducción 2016.02.24 IRTriage ahora es verdaderamente compatible con las siguientes versiones de Windows:
- Estaciones de trabajo Windows «WIN_10», «WIN_81», «WIN_8», «WIN_7», «WIN_VISTA», «WIN_XP», «WIN_XPe»,
- Servidor Windows: «WIN_2016», «WIN_2012R2», «WIN_2012», «WIN_2008R2», «WIN_2008», «WIN_2003».
Lectura 2016.02.26 * Se han apéndice nuevas funciones:
* Procesos ()
– tcpvcon -anc -accepteula> Process2PortMap.csv
– Tira de tareas / SVC / FO CSV> Processe2exeMap.csv
– El proceso wmic /output:ProcessesCmd.csv vehemencia a Caption, Commandline, Processid, ParentProcessId, SessionId / format: csv
* Información del sistema ()
– wmic /output:InstallList.csv producto obtener / formato: csv
– wmic /output:InstallHotfix.csv ceremonial qfe, csname, descripción, hotfixid, instalado por, instalado en / formato: csv
* Precarga
** WinPrefetchView / Carpeta Prefetch / stab Prefetch.csv
* Opciones ()
– mftdump.exe / l / m nombre de equipo / o nombre de equipo-MFT_Dump.csv $ MFTcopy
* TriageGUI ()
– CSVFileView.exe IncidentLog.csv; Se agregó una casilla de comprobación para mostrar IncidentLog a posteriori de la captura
– cmd.exe; Se agregó una casilla de comprobación para desobstruir la límite de comando IRTriage a posteriori de la captura
Lectura 03.08.2016
- agregó una traducción compilada personalizada de «cmd.exe» de ReactOS basada en v0.4.0
- + Ahora puede usar comandos equivalentes a Linux:
- claro = cls
- cp = copiar
- df = injusto
- env = conjunto
- ln = mklink
- ls = tu
- mv = mover
- pwd = cd, chdir
- rm = borrar, borrar, borrar
- Tenderse = pausa
- uname = ver, version
- vmstat = memoria, mem
Lectura 03.08.2016
- Comenzó a escobillar el código y trató de simplificar la modularización.
- Al codificar, se agregó la opción de usar el software de adquisición de memoria FDpro (Comercial) o Moonsol (Improcedente) de HBGary.
- Si tiene FDpro de HBGary en la carpeta. Compile Tools en superficie del archivo de cero bytes, puede retornar fácilmente al software de adquisición de memoria de Moonsol reemplazando el archivo FDpro.exe por uno que tenga menos de 100 bytes. Tamaño del archivo 🙂
Lectura 03.10.2016
- Continuación de la aseo del código, función eliminada no utilizada CommandROSLOG ()
- Parce de $ MFT apéndice a CSV
- Se ha apéndice la capacidad de ver IncidentLog.csv a posteriori de que se complete la captura.
Lectura 03.11.2016
- Cmd.exe actualizado
- Se ha apéndice la opción para desobstruir IRTriage cmd.exe a posteriori de que se haya completado la adquisición.
Lectura 2016.03.14
- Parcela de captación previa agregada a CSV
Lectura 2016.03.24
- Modernización de IRTriage agregada en el menú «Herramientas» (chico de puesta al día intercambiados)
Lectura 2016.03.28
- Se corrigió la puesta al día de IRTriage (sí = descargar puesta al día, no = mostrar información de puesta al día, suprimir = suprimir puesta al día)
Lectura 2016.03.29
- Integre los nuevos comandos de Didier Stevens: privilegios e información en la última traducción de «cmd.exe» de ReactOS. Uno y otro nuevos comandos son invaluables para un analista forense.
- Fuente para el procesador de comandos IRTriage.
Lectura 2016.03.30
- Funciones de instantáneas de tamaño fijo
- Modernización pequeño a cmd.exe traducción 4.1
Las actualizaciones características futuras se basarán en este noticia: Los cofres de herramientas forenses de código amplio de clasificación en el sitio son efectivos.