EZ Tools de Eric Zimmerman
O que é EZ Tools de Eric Zimmerman?
EZ Tools de Eric ZimmermanConjunto gratuito de ferramentas DFIR para Windows, em linha de comando e GUI, criado por Eric Zimmerman para parsear artefatos forenses e construir linhas do tempo.
O EZ Tools e uma colecao de parsers e visualizadores especializados mantida por Eric Zimmerman, ex-FBI e atualmente na Kroll. Cada ferramenta foca em um artefato especifico do Windows: PECmd para Prefetch, MFTECmd para $MFT/$LogFile/$J, EvtxECmd para logs de eventos, RECmd para o registro, AmcacheParser, LECmd para arquivos LNK e JLECmd para Jump Lists, entre outras. A saida e CSV ou JSON consistente, que pode ser carregada no Timeline Explorer para filtragem rapida ou usada como modulo do KAPE. As EZ Tools sao open source, atualizadas com frequencia e sustentam grande parte das analises modernas de intrusao em Windows e dos laboratorios SANS FOR500/FOR508.
● Exemplos
- 01
Parsear um $MFT com `MFTECmd.exe -f $MFT --csv .` e revisar no Timeline Explorer.
- 02
Executar `EvtxECmd.exe -d C:\Triage\EventLogs --csv .` para normalizar logs e enviar ao SIEM.
● Perguntas frequentes
O que é EZ Tools de Eric Zimmerman?
Conjunto gratuito de ferramentas DFIR para Windows, em linha de comando e GUI, criado por Eric Zimmerman para parsear artefatos forenses e construir linhas do tempo. Pertence à categoria Forense e resposta da cibersegurança.
O que significa EZ Tools de Eric Zimmerman?
Conjunto gratuito de ferramentas DFIR para Windows, em linha de comando e GUI, criado por Eric Zimmerman para parsear artefatos forenses e construir linhas do tempo.
Como funciona EZ Tools de Eric Zimmerman?
O EZ Tools e uma colecao de parsers e visualizadores especializados mantida por Eric Zimmerman, ex-FBI e atualmente na Kroll. Cada ferramenta foca em um artefato especifico do Windows: PECmd para Prefetch, MFTECmd para $MFT/$LogFile/$J, EvtxECmd para logs de eventos, RECmd para o registro, AmcacheParser, LECmd para arquivos LNK e JLECmd para Jump Lists, entre outras. A saida e CSV ou JSON consistente, que pode ser carregada no Timeline Explorer para filtragem rapida ou usada como modulo do KAPE. As EZ Tools sao open source, atualizadas com frequencia e sustentam grande parte das analises modernas de intrusao em Windows e dos laboratorios SANS FOR500/FOR508.
Como se defender contra EZ Tools de Eric Zimmerman?
As defesas contra EZ Tools de Eric Zimmerman costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para EZ Tools de Eric Zimmerman?
Nomes alternativos comuns: EZ Tools, Ferramentas Zimmerman.
● Termos relacionados
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise.
- forensics-ir№ 644
Magnet AXIOM
Plataforma DFIR comercial da Magnet Forensics que ingere discos, fontes moveis e em nuvem, parseia artefatos e os apresenta em uma interface unica de revisao.
- forensics-ir№ 677
MFT (Master File Table)
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
- forensics-ir№ 1156
Análise de linha do tempo
Técnica forense que reconstrói a sequência cronológica de eventos num sistema, correlacionando carimbos temporais de ficheiros, registos e outros artefactos.