Το Chainsaw είναι ένα εργαλείο πρώτης απόκρισης ανοιχτού κώδικα (Open-source) για τον γρήγορο εντοπισμό απειλών σε forensic τεχνουργήματα των Windows. Μπορεί να χρησιμοποιηθεί στα αρχεία καταγραφής συμβάντων και στο αρχείο MFT.
Επιτρέπει γρήγορες αναζητήσεις λέξεων-κλειδιών στα αρχεία καταγραφής συμβάντων και εντοπίζει απειλές χρησιμοποιώντας ενσωματωμένους κανόνες ανίχνευσης Sigma αλλά και προσαρμοσμένους κανόνες ανίχνευσης.
Ανακαλύψτε περισσότερα άρθρα στα αποτελέσματα αναζήτησης.
Chainsaw χαρακτηριστικά
- Κυνήγι απειλών χρησιμοποιώντας Sigma detection rules αλλά και custom detection rules
- Αναζήτηση και εξαγωγή forensic με αντιστοίχιση συμβολοσειρών και μοτίβα regex
- Δημιουργήστε χρονοδιαγράμματα εκτέλεσης αναλύοντας τεχνουργήματα της Shimcache και εμπλουτίζοντάς τα με δεδομένα Amcache
- Αναλύστε τη βάση δεδομένων SRUM και πάρτε τις απαραίτητες πληροφορίες
- Dump του forensic ακατέργαστου περιεχομένου (MFT, registry hives, ESE databases)
- Γρήγορο, γραμμένο σε rust, περιέχει τη βιβλιοθήκη αναλυτών EVTX
- Καθαρές και ελαφριές μορφές εκτέλεσης και εξόδου χωρίς περιττά bloat
- Document tagging (λογική αντιστοίχιση ανίχνευσης) που παρέχεται από την TAU Engine Library
- Αποτελέσματα εξόδου σε μια ποικιλία μορφών, όπως μορφή πίνακα ASCII, μορφή CSV και μορφή JSON
Το Chainsaw είναι διαθέσιμο δωρεάν στο GitHub. Μπορεί να τρέξει σε Linux, macOS και Windows.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
