EZ Tools d'Eric Zimmerman
Qu'est-ce que EZ Tools d'Eric Zimmerman ?
EZ Tools d'Eric ZimmermanSuite gratuite d'outils DFIR Windows (CLI et GUI) d'Eric Zimmerman pour parser les artefacts forensiques courants et construire des chronologies.
EZ Tools regroupe des parseurs et visualiseurs specialises maintenus par Eric Zimmerman, ancien du FBI et aujourd'hui chez Kroll. Chaque outil cible un artefact precis de Windows : PECmd pour Prefetch, MFTECmd pour $MFT/$LogFile/$J, EvtxECmd pour les journaux d'evenements, RECmd pour le registre, AmcacheParser, LECmd pour les LNK et JLECmd pour les Jump Lists, entre autres. La sortie est en CSV ou JSON homogene, exploitable dans Timeline Explorer ou par des modules KAPE. Les EZ Tools sont open source, mis a jour frequemment et soutiennent la plupart des analyses modernes d'intrusion Windows ainsi que les TP SANS FOR500/FOR508.
● Exemples
- 01
Parser un $MFT avec `MFTECmd.exe -f $MFT --csv .` et l'examiner dans Timeline Explorer.
- 02
Lancer `EvtxECmd.exe -d C:\Triage\EventLogs --csv .` pour normaliser les journaux avant ingestion SIEM.
● Questions fréquentes
Qu'est-ce que EZ Tools d'Eric Zimmerman ?
Suite gratuite d'outils DFIR Windows (CLI et GUI) d'Eric Zimmerman pour parser les artefacts forensiques courants et construire des chronologies. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie EZ Tools d'Eric Zimmerman ?
Suite gratuite d'outils DFIR Windows (CLI et GUI) d'Eric Zimmerman pour parser les artefacts forensiques courants et construire des chronologies.
Comment fonctionne EZ Tools d'Eric Zimmerman ?
EZ Tools regroupe des parseurs et visualiseurs specialises maintenus par Eric Zimmerman, ancien du FBI et aujourd'hui chez Kroll. Chaque outil cible un artefact precis de Windows : PECmd pour Prefetch, MFTECmd pour $MFT/$LogFile/$J, EvtxECmd pour les journaux d'evenements, RECmd pour le registre, AmcacheParser, LECmd pour les LNK et JLECmd pour les Jump Lists, entre autres. La sortie est en CSV ou JSON homogene, exploitable dans Timeline Explorer ou par des modules KAPE. Les EZ Tools sont open source, mis a jour frequemment et soutiennent la plupart des analyses modernes d'intrusion Windows ainsi que les TP SANS FOR500/FOR508.
Comment se défendre contre EZ Tools d'Eric Zimmerman ?
Les défenses contre EZ Tools d'Eric Zimmerman combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de EZ Tools d'Eric Zimmerman ?
Noms alternatifs courants : EZ Tools, Outils Zimmerman.
● Termes liés
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Outil de triage Windows edite par Kroll qui collecte des artefacts forensiques sur des systemes vivants ou des images, puis execute des modules de parsing pour livrer une sortie exploitable.
- forensics-ir№ 644
Magnet AXIOM
Plateforme DFIR commerciale de Magnet Forensics qui ingere des disques, des sources mobiles et cloud, parse les artefacts et les presente dans une interface unifiee de revue.
- forensics-ir№ 677
MFT (Master File Table)
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
- forensics-ir№ 1156
Analyse de chronologie
Technique forensique qui reconstitue la séquence chronologique des événements d'un système en corrélant les horodatages des fichiers, des journaux et d'autres artefacts.