Eric Zimmerman 的 EZ Tools
Eric Zimmerman 的 EZ Tools 是什么?
Eric Zimmerman 的 EZ Tools由 Eric Zimmerman 维护的免费 Windows DFIR 工具集,包含命令行与 GUI 工具,用于解析常见取证工件并构建时间线。
EZ Tools 是 Eric Zimmerman (前 FBI 探员,现就职于 Kroll) 维护的专用解析与查看工具集合,每个工具聚焦特定的 Windows 工件: PECmd 解析 Prefetch、MFTECmd 解析 $MFT/$LogFile/$J、EvtxECmd 解析事件日志、RECmd 解析注册表,以及 AmcacheParser、LECmd (LNK)、JLECmd (Jump List) 等。输出统一为 CSV 或 JSON,可加载到 Timeline Explorer 进行快速过滤,或作为 KAPE 模块的输入。EZ Tools 开源、更新频繁,是当今大多数 Windows 入侵分析以及 SANS FOR500/FOR508 课程实验的基础。
● 示例
- 01
使用 `MFTECmd.exe -f $MFT --csv .` 解析 $MFT 并在 Timeline Explorer 中查看。
- 02
运行 `EvtxECmd.exe -d C:\Triage\EventLogs --csv .` 将事件日志规范化后导入 SIEM。
● 常见问题
Eric Zimmerman 的 EZ Tools 是什么?
由 Eric Zimmerman 维护的免费 Windows DFIR 工具集,包含命令行与 GUI 工具,用于解析常见取证工件并构建时间线。 它属于网络安全的 取证与应急响应 分类。
Eric Zimmerman 的 EZ Tools 是什么意思?
由 Eric Zimmerman 维护的免费 Windows DFIR 工具集,包含命令行与 GUI 工具,用于解析常见取证工件并构建时间线。
Eric Zimmerman 的 EZ Tools 是如何工作的?
EZ Tools 是 Eric Zimmerman (前 FBI 探员,现就职于 Kroll) 维护的专用解析与查看工具集合,每个工具聚焦特定的 Windows 工件: PECmd 解析 Prefetch、MFTECmd 解析 $MFT/$LogFile/$J、EvtxECmd 解析事件日志、RECmd 解析注册表,以及 AmcacheParser、LECmd (LNK)、JLECmd (Jump List) 等。输出统一为 CSV 或 JSON,可加载到 Timeline Explorer 进行快速过滤,或作为 KAPE 模块的输入。EZ Tools 开源、更新频繁,是当今大多数 Windows 入侵分析以及 SANS FOR500/FOR508 课程实验的基础。
如何防御 Eric Zimmerman 的 EZ Tools?
针对 Eric Zimmerman 的 EZ Tools 的防御通常结合技术控制与运营实践,详见上方完整定义。
Eric Zimmerman 的 EZ Tools 还有哪些其他名称?
常见的别称包括: EZ Tools, Zimmerman 工具。
● 相关术语
- forensics-ir№ 578
KAPE (Kroll 工件解析与提取器)
由 Kroll 推出的 Windows 取证分流工具,可从在线系统或镜像中收集取证工件,并通过解析模块生成可直接审查的结果。
- forensics-ir№ 644
Magnet AXIOM
加拿大 Magnet Forensics 推出的商用 DFIR 平台,可摄取磁盘、移动与云端来源,解析工件并在统一界面中提供给分析师审查。
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 1156
时间线分析
一种取证技术,通过关联文件、日志和其他工件的时间戳,重建系统上事件的时间顺序。
● 参见
- № 366E01 (EnCase) 取证镜像格式
- № 289dd (原始磁盘镜像)