« WordPress XML-RPC Pingback DDoS 攻撃について | トップページ | 警告: 国家的支援を受た攻撃者があなたのアカウントやパソコンを侵害しようとしている可能性があります。 »

インシデント発生時の対応 -自動証拠収集ツール Triage-IR

インシデント発生時の対応 -自動証拠収集ツール Triage-IR

Triage-IR の概要

https://code.google.com/p/triage-ir/

Windows システムでウイルス感染や不正アクセスなどが発生した際に調査に必要となる情報を自動収集してくれるプログラムです。


Triage-IR の使い方

  1. Triage-IR を USBメモリなどに格納しておく(必要に応じて triage.ini を変更)
  2. 調査対象システムに USB メモリを接続して、Triage-IR を起動
  3. Triage-IR の画面で「Run」ボタンを押すと情報収集開始
  4. Triage-IR と同じディレクトリの「YYYYMMDDhhmmss - コンピュータ名 Incident」のディレクトリに収集したデータが格納される

ボタン一つでメモリダンプとレジストリを取得してくれるので、エンドユーザに情報収集をお願いするときに便利そうです。また、メモリダンプがあるので、大きめのUSBメモリに入れておいたほうがよさそうです。


« WordPress XML-RPC Pingback DDoS 攻撃について | トップページ | 警告: 国家的支援を受た攻撃者があなたのアカウントやパソコンを侵害しようとしている可能性があります。 »

フォレンジック(Forensics)」カテゴリの記事

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索