EZ Tools Эрика Циммермана
Что такое EZ Tools Эрика Циммермана?
EZ Tools Эрика ЦиммерманаБесплатный набор инструментов DFIR для Windows (CLI и GUI) от Эрика Циммермана для разбора распространённых криминалистических артефактов и построения таймлайнов.
EZ Tools — коллекция специализированных парсеров и просмотрщиков, поддерживаемая Эриком Циммерманом (ранее ФБР, ныне Kroll). Каждый инструмент нацелен на конкретный артефакт Windows: PECmd для Prefetch, MFTECmd для $MFT/$LogFile/$J, EvtxECmd для журналов событий, RECmd для реестра, AmcacheParser, LECmd для LNK-файлов, JLECmd для Jump Lists и другие. Вывод единообразный — CSV или JSON, его можно загрузить в Timeline Explorer для быстрой фильтрации или подать на модули KAPE. EZ Tools — это открытый исходный код, частые обновления, и они лежат в основе большинства современных анализов вторжений в Windows и лабораторных работ SANS FOR500/FOR508.
● Примеры
- 01
Разбор $MFT командой `MFTECmd.exe -f $MFT --csv .` и просмотр в Timeline Explorer.
- 02
Запуск `EvtxECmd.exe -d C:\Triage\EventLogs --csv .` для нормализации журналов перед загрузкой в SIEM.
● Частые вопросы
Что такое EZ Tools Эрика Циммермана?
Бесплатный набор инструментов DFIR для Windows (CLI и GUI) от Эрика Циммермана для разбора распространённых криминалистических артефактов и построения таймлайнов. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает EZ Tools Эрика Циммермана?
Бесплатный набор инструментов DFIR для Windows (CLI и GUI) от Эрика Циммермана для разбора распространённых криминалистических артефактов и построения таймлайнов.
Как работает EZ Tools Эрика Циммермана?
EZ Tools — коллекция специализированных парсеров и просмотрщиков, поддерживаемая Эриком Циммерманом (ранее ФБР, ныне Kroll). Каждый инструмент нацелен на конкретный артефакт Windows: PECmd для Prefetch, MFTECmd для $MFT/$LogFile/$J, EvtxECmd для журналов событий, RECmd для реестра, AmcacheParser, LECmd для LNK-файлов, JLECmd для Jump Lists и другие. Вывод единообразный — CSV или JSON, его можно загрузить в Timeline Explorer для быстрой фильтрации или подать на модули KAPE. EZ Tools — это открытый исходный код, частые обновления, и они лежат в основе большинства современных анализов вторжений в Windows и лабораторных работ SANS FOR500/FOR508.
Как защититься от EZ Tools Эрика Циммермана?
Защита от EZ Tools Эрика Циммермана обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия EZ Tools Эрика Циммермана?
Распространённые альтернативные названия: EZ Tools, Инструменты Циммермана.
● Связанные термины
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Инструмент триажа для Windows от Kroll, который собирает криминалистические артефакты с работающих систем или образов и запускает модули-парсеры, выдавая готовый для анализа вывод.
- forensics-ir№ 644
Magnet AXIOM
Коммерческая DFIR-платформа канадской Magnet Forensics: загружает данные с дисков, мобильных и облачных источников, разбирает артефакты и представляет их в едином интерфейсе анализа.
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 1156
Анализ временной шкалы
Криминалистический метод, восстанавливающий хронологическую последовательность событий в системе путём сопоставления меток времени файлов, журналов и других артефактов.