EZ Tools de Eric Zimmerman
¿Qué es EZ Tools de Eric Zimmerman?
EZ Tools de Eric ZimmermanSuite gratuita de herramientas DFIR para Windows, de linea de comandos e interfaz grafica, creada por Eric Zimmerman para parsear artefactos forenses y construir cronologias.
EZ Tools es una coleccion de parseadores y visores especializados mantenida por Eric Zimmerman, antes en el FBI y hoy en Kroll. Cada herramienta apunta a un artefacto concreto de Windows: PECmd para Prefetch, MFTECmd para $MFT/$LogFile/$J, EvtxECmd para registros de eventos, RECmd para el registro, AmcacheParser, LECmd para archivos LNK y JLECmd para Jump Lists, entre otros. La salida es CSV o JSON homogeneo, que se puede cargar en Timeline Explorer para filtrado rapido o utilizar desde modulos de KAPE. Las EZ Tools son de codigo abierto, se actualizan con frecuencia y sostienen la mayoria de los analisis modernos de intrusiones en Windows y los laboratorios SANS FOR500/FOR508.
● Ejemplos
- 01
Parsear un $MFT con `MFTECmd.exe -f $MFT --csv .` y revisar en Timeline Explorer.
- 02
Ejecutar `EvtxECmd.exe -d C:\Triage\EventLogs --csv .` para normalizar registros e ingestarlos en el SIEM.
● Preguntas frecuentes
¿Qué es EZ Tools de Eric Zimmerman?
Suite gratuita de herramientas DFIR para Windows, de linea de comandos e interfaz grafica, creada por Eric Zimmerman para parsear artefactos forenses y construir cronologias. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa EZ Tools de Eric Zimmerman?
Suite gratuita de herramientas DFIR para Windows, de linea de comandos e interfaz grafica, creada por Eric Zimmerman para parsear artefactos forenses y construir cronologias.
¿Cómo funciona EZ Tools de Eric Zimmerman?
EZ Tools es una coleccion de parseadores y visores especializados mantenida por Eric Zimmerman, antes en el FBI y hoy en Kroll. Cada herramienta apunta a un artefacto concreto de Windows: PECmd para Prefetch, MFTECmd para $MFT/$LogFile/$J, EvtxECmd para registros de eventos, RECmd para el registro, AmcacheParser, LECmd para archivos LNK y JLECmd para Jump Lists, entre otros. La salida es CSV o JSON homogeneo, que se puede cargar en Timeline Explorer para filtrado rapido o utilizar desde modulos de KAPE. Las EZ Tools son de codigo abierto, se actualizan con frecuencia y sostienen la mayoria de los analisis modernos de intrusiones en Windows y los laboratorios SANS FOR500/FOR508.
¿Cómo defenderse de EZ Tools de Eric Zimmerman?
Las defensas contra EZ Tools de Eric Zimmerman combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para EZ Tools de Eric Zimmerman?
Nombres alternativos comunes: EZ Tools, Herramientas de Zimmerman.
● Términos relacionados
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Herramienta de triaje para Windows creada por Kroll que recolecta artefactos forenses de sistemas vivos o imagenes y ejecuta modulos parseadores para producir salida lista para revision.
- forensics-ir№ 644
Magnet AXIOM
Plataforma comercial DFIR de Magnet Forensics que ingiere discos, fuentes moviles y en la nube, parsea artefactos y los presenta en una interfaz unica de revision.
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 1156
Análisis de línea de tiempo
Técnica forense que reconstruye la secuencia cronológica de eventos en un sistema correlacionando marcas de tiempo de archivos, registros y otros artefactos.