EZ Tools von Eric Zimmerman
Was ist EZ Tools von Eric Zimmerman?
EZ Tools von Eric ZimmermanEine kostenlose Sammlung von Windows-DFIR-Tools (CLI und GUI) von Eric Zimmerman zum Parsen gaengiger forensischer Artefakte und zum Erstellen von Zeitlinien.
EZ Tools ist eine Sammlung spezialisierter Parser und Viewer, die Eric Zimmerman (ehemals FBI, heute Kroll) pflegt. Jedes Tool adressiert ein bestimmtes Windows-Artefakt: PECmd fuer Prefetch, MFTECmd fuer $MFT/$LogFile/$J, EvtxECmd fuer Event Logs, RECmd fuer die Registry, AmcacheParser, LECmd fuer LNK-Dateien und JLECmd fuer Jump Lists, um nur einige zu nennen. Die Ausgabe ist konsistentes CSV oder JSON, das im Timeline Explorer schnell gefiltert oder ueber KAPE-Module weiterverarbeitet werden kann. EZ Tools sind Open Source, werden haeufig aktualisiert und bilden die Grundlage moderner Windows-Intrusion-Analysen sowie der SANS-FOR500/FOR508-Labs.
● Beispiele
- 01
$MFT mit `MFTECmd.exe -f $MFT --csv .` parsen und im Timeline Explorer pruefen.
- 02
`EvtxECmd.exe -d C:\Triage\EventLogs --csv .` ausfuehren, um Event Logs fuer das SIEM zu normalisieren.
● Häufige Fragen
Was ist EZ Tools von Eric Zimmerman?
Eine kostenlose Sammlung von Windows-DFIR-Tools (CLI und GUI) von Eric Zimmerman zum Parsen gaengiger forensischer Artefakte und zum Erstellen von Zeitlinien. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet EZ Tools von Eric Zimmerman?
Eine kostenlose Sammlung von Windows-DFIR-Tools (CLI und GUI) von Eric Zimmerman zum Parsen gaengiger forensischer Artefakte und zum Erstellen von Zeitlinien.
Wie funktioniert EZ Tools von Eric Zimmerman?
EZ Tools ist eine Sammlung spezialisierter Parser und Viewer, die Eric Zimmerman (ehemals FBI, heute Kroll) pflegt. Jedes Tool adressiert ein bestimmtes Windows-Artefakt: PECmd fuer Prefetch, MFTECmd fuer $MFT/$LogFile/$J, EvtxECmd fuer Event Logs, RECmd fuer die Registry, AmcacheParser, LECmd fuer LNK-Dateien und JLECmd fuer Jump Lists, um nur einige zu nennen. Die Ausgabe ist konsistentes CSV oder JSON, das im Timeline Explorer schnell gefiltert oder ueber KAPE-Module weiterverarbeitet werden kann. EZ Tools sind Open Source, werden haeufig aktualisiert und bilden die Grundlage moderner Windows-Intrusion-Analysen sowie der SANS-FOR500/FOR508-Labs.
Wie schützt man sich gegen EZ Tools von Eric Zimmerman?
Schutzmaßnahmen gegen EZ Tools von Eric Zimmerman kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für EZ Tools von Eric Zimmerman?
Übliche alternative Bezeichnungen: EZ Tools, Zimmerman Tools.
● Verwandte Begriffe
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Ein Windows-Triage-Tool von Kroll, das forensische Artefakte von Live-Systemen oder Images einsammelt und mit Parser-Modulen direkt auswertbare Ergebnisse erzeugt.
- forensics-ir№ 644
Magnet AXIOM
Kommerzielle DFIR-Plattform von Magnet Forensics, die Festplatten, Mobil- und Cloud-Quellen einliest, Artefakte parst und in einer einheitlichen Review-Oberflaeche bereitstellt.
- forensics-ir№ 677
MFT (Master File Table)
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
- forensics-ir№ 1156
Timeline-Analyse
Eine forensische Technik, die die chronologische Abfolge von Ereignissen auf einem System rekonstruiert, indem Zeitstempel aus Dateien, Logs und anderen Artefakten korreliert werden.