かわろぐ

技術、ボルダリング、セキュリティ、その他もろもろ

MENU

データ保全ツール CDIR Collector を使ってみた

環境

  • Windows 10
  • CDIR Collector v1.1

CDIR Collector とは?

サイバーディフェンス研究所が開発した、オープンソースのデータ保全ツールです。

インシデント対応の初動に、専門知識がなくても簡単にデータ保全ができるように作られています。

現在の対象は Windows マシンだけのようですが、今後、Linux や Mac にも対応して行くとのことで期待しています。

保全可能なデータは

  • メモリダンプ
  • MFT
  • Change Journal
  • イベントログ
  • プリフェッチ
  • レジストリ

上記の6点、どれもツールを実行すれば自動で収集してくれるというツールです。

データ保全してみた

github からバイナリをダウンロードして 32GB 程度の容量のある USB メモリに展開するだけで準備完了です。

f:id:kawa_xxx:20161008160747p:plain

こんな感じですね。

そしてデータを保全したいPCに挿入し、 cdir-collector.exe を管理者権限で実行するだけです。

保全実行まえにメモリダンプを取得するか聞かれるので、今回は1を入力してメモリダンプも取る設定にしました。

f:id:kawa_xxx:20161008161638p:plain

後はひたすら完了するのを待つだけです。

今回対象にしたマシンはメモリ16GB で Skype とVirtualBox が動いている状態のものを用意しました。何も動いていないとメモリダンプが寂しいことになりそうだったので ^^;

このマシンのデータ保全には約 10 分程度かかり、取得したデータの容量は 約10GB 程度でした。exe と同じディレクトリに マシン名_日付 のフォルダが作成され、以下のように取得されました。

f:id:kawa_xxx:20161008161741p:plain

collector-log.txt には保全したファイルのハッシュ値と開始時間、終了時間と保全にかかった時間が記載されています。

次回はこの保全したデータを解析してみたいと思います。

参考文献

実践サイバーセキュリティモニタリング

実践サイバーセキュリティモニタリング

  • 作者: 八木毅,青木一史,秋山満昭,幾世知範,高田雄太,千葉大紀
  • 出版社/メーカー: コロナ社
  • 発売日: 2016/03/28
  • メディア: 単行本
  • この商品を含むブログを見る