セキュリティ
PR

データ保全ツール CDIR Collector を使ってみた

kawa.xxx
記事内に商品プロモーションを含む場合があります

環境

  • Windows 10
  • CDIR Collector v1.1

CDIR Collector とは?

サイバーディフェンス研究所が開発した、オープンソースのデータ保全ツールです。

インシデント対応の初動に、専門知識がなくても簡単にデータ保全ができるように作られています。

現在の対象は Windows マシンだけのようですが、今後、Linux や Mac にも対応して行くとのことで期待しています。

保全可能なデータは

  • メモリダンプ
  • MFT
  • Change Journal
  • イベントログ
  • プリフェッチ
  • レジストリ

上記の6点、どれもツールを実行すれば自動で収集してくれるというツールです。

データ保全してみた

github からバイナリをダウンロードして 32GB 程度の容量のある USB メモリに展開するだけで準備完了です。

f:id:kawa_xxx:20161008160747p:plain

こんな感じですね。

そしてデータを保全したいPCに挿入し、 cdir-collector.exe を管理者権限で実行するだけです。

保全実行まえにメモリダンプを取得するか聞かれるので、今回は1を入力してメモリダンプも取る設定にしました。

f:id:kawa_xxx:20161008161638p:plain

後はひたすら完了するのを待つだけです。

今回対象にしたマシンはメモリ16GB で Skype とVirtualBox が動いている状態のものを用意しました。何も動いていないとメモリダンプが寂しいことになりそうだったので ^^;

このマシンのデータ保全には約 10 分程度かかり、取得したデータの容量は 約10GB 程度でした。exe と同じディレクトリに マシン名_日付 のフォルダが作成され、以下のように取得されました。

f:id:kawa_xxx:20161008161741p:plain

collector-log.txt には保全したファイルのハッシュ値と開始時間、終了時間と保全にかかった時間が記載されています。

次回はこの保全したデータを解析してみたいと思います。

参考文献

ABOUT ME
kawa.xxx
都内のIT系企業に勤める会社員。自分の備忘録的なアウトプット用の場所で、ボルダリングやガシェッド、セキュリティ、カメラの話題が中心です。
記事URLをコピーしました