CDIR (Cyber Defense Institute Incident Response) Collector - live collection tool based on oss tool/library
C C++
Switch branches/tags
Clone or download
Latest commit 0ea2de0 Jun 5, 2018
Permalink
Failed to load latest commit information.
CDIR v1.3.1 Jun 5, 2018
NTFSParserDLL v1.3.1 Jun 5, 2018
.gitattributes major update May 11, 2016
.gitignore v1.1 Jul 29, 2016
CDIR.sln v1.2 Mar 24, 2017
LICENSE.txt major update May 11, 2016
README.md v1.3.1 Jun 5, 2018
README_en.md v1.3.1 Jun 5, 2018

README.md

cdir-collector

English

cdir-collectorは初動対応時のデータ保全を支援するためのツールです。Windows PC上の以下のデータを取得することが可能です。

  • メモリ
  • NTFS
    • $MFT
    • $SECURE:$SDS
    • $UsnJrnl:$J
  • プリフェッチ
  • イベントログ
  • レジストリ
    • Amcache.hve
    • SAM, SECURITY, SOFTWARE, SYSTEM
    • NTUser.dat, UsrClass.dat
  • WMI
  • SRUM
  • Web
    • Default_History (Chrome)
    • default_cookies.sqlite, default_places.sqlite (Firefox)
    • WebCacheV01.dat (IE, Edge)

ダウンロード

バイナリ版は以下から入手可能です。

https://github.com/CyberDefenseInstitute/CDIR/releases

ビルド

ソースコードはVisual Studio 2017で読み込みビルドすることができます。cdir-collectorの構成ファイルは以下の通りです。

  • cdir.ini
  • cdir-collector.exe
  • NTFSParserDLL.dll
  • libcrypto-38.dll
  • libssl-39.dll
  • winpmem.exe

使い方

cdir-collector.exeを含む関連ファイル一式をUSBメモリやファイルサーバ上に配置してから実行することを想定しています。cdir-collector.exeをダブルクリックして実行してください。実行には管理者権限が必要です。実行場所に"コンピュータ名_年月日時分秒"フォルダを作成し、そのフォルダ配下にデータを保存します。

cdir.iniファイルを編集することにより、それぞれのデータを取得する、しないを切り替えることができます。

サードパーティ

cdir-collectorは以下のライブラリ、ツールを活用しています。

  • ライブラリ: NTFSParserDLL, LibreSSL
  • ツール: winpmem

winpmem.exeはrekallプロジェクト (https://github.com/google/rekall) で提供されているWindows用のメモリ保全プログラムです。