主页地址:https://ericzimmerman.github.io/#!index.md
注意事项:
- 使用 PowerShell 脚本 Get-ZimmermanTools 一次性下载页面中所有工具,并用于后续统一更新。避免手动逐个下载,保证工具版本一致、完整。
- 工具分为 .NET 4.6.2 和 .NET 9 两个主要版本。推荐下载.NET 9 版本。
Get-ZimmermanTools 使用步骤
- 打开 PowerShell
- 下载并保存 Get-ZimmermanTools 脚本到某一目录。在该目录执行脚本,例如:
- 仅下载 .NET 9 版本到指定目录:
.\Get-ZimmermanTools.ps1 -Dest "D:\EZTools" -NetVersion 9 - 下载所有版本到默认目录:
.\Get-ZimmermanTools.ps1 -NetVersion 0
- 仅下载 .NET 9 版本到指定目录:
使用思路: 下列工具多为 CLI(命令行)或 GUI 工具,用于 Windows 取证分析。实际使用时通常是:收集目标系统对应的文件(如注册表 hive、日志、MFT 等),然后使用相应工具进行解析,导出为 CSV/JSON 等供进一步分析。
注册表与相关日志类
| 工具名称 | 描述 |
|---|---|
| AmcacheParser | 解析 Amcache.hve 文件,提取程序安装、执行等历史信息。支持处理被锁定的 Amcache 文件,可用于分析程序使用时间线。 |
| AppCompatCacheParser | 解析 AppCompatCache / ShimCache,提取系统中曾经运行过的程序痕迹。常用于确认特定程序是否在某台机器上运行过。 |
| RECmd | 强大的命令行注册表工具,可以:搜索多个注册表 hive;使用插件做规则化分析;导出结果为 CSV 等格式。典型用法是编写或使用现有插件批量抽取取证关键项。 |
| Registry Explorer | 图形界面版注册表查看与分析工具。支持多 hive 加载、搜索、插件解析,并能处理锁定的注册表文件。 |
| RLA | 用于回放注册表事务日志(transaction logs),将脏 hive 更新为干净状态。在某些工具无法处理带事务日志的 hive 时,可先用 RLA 修复后再分析。 |
文件系统与 MFT 相关
| 工具名称 | 描述 |
|---|---|
| MFTECmd | 解析 $MFT、$Boot、$J、$SDS、$I30 等 NTFS 关键结构,未来还会支持 $LogFile。输出文件创建、修改、访问、删除等时间线和属性信息,可作为时间轴分析基础。 |
| MFTExplorer | 图形界面查看 $MFT 的工具。用于直观浏览每个 MFT 记录,包括属性与时间戳等。 |
| VSCMount | 将某个卷上的所有卷影拷贝(Volume Shadow Copy)挂载到指定挂载点。方便取证人员访问历史快照中的文件、注册表等进行分析。 |
| RBCmd | 解析回收站相关文件(INFO2 / $I 文件),获取被删除文件的路径、删除时间等。用于恢复被删除文件的元数据信息。 |
快捷方式、跳转列表与用户活动轨迹
| 工具名称 | 描述 |
|---|---|
| LECmd | 解析 .lnk 快捷方式文件,提取目标路径、创建时间、访问时间等。常用于还原用户打开过哪些文件、路径。 |
| JLECmd | 解析 Jump List 文件,展示用户在应用中的最近文件/位置列表。有助于恢复用户最近使用的文档或访问路径。 |
| JumpList Explorer | GUI 版 Jump List 浏览器,以图形方式查看跳转列表内容。 |
| SBECmd | 命令行版 ShellBags 导出工具,适合批量导出和脚本化处理。 |
| ShellBags Explorer | GUI 工具,用于浏览和分析 ShellBags 数据(用户在资源管理器中的文件夹浏览历史)。可用于还原用户曾浏览过的目录结构,即使目录已被删除。 |
事件日志与系统资源使用
| 工具名称 | 描述 |
|---|---|
| EvtxECmd | 解析 Windows .evtx 事件日志,统一输出为 CSV、XML、JSON 等格式。支持自定义 "map" 规则,用于解码特定事件 ID 内容,支持处理锁定文件。常用于自动化批量解析安全日志、系统日志等。 |
| SrumECmd | 解析 SRUDB.dat(System Resource Usage Monitor 数据库)以及(可选)SOFTWARE hive。获取网络连接、进程活动、能耗等信息,用于细粒度活动分析。 |
| SumECmd | 解析 C:\Windows\System32\LogFiles\SUM 下的 Microsoft User Access Logs。用于还原用户访问某些资源的历史记录。 |
| WxTCmd | 解析 Windows 10 Timeline 数据库。用于重建用户在系统中的时间线活动信息,例如打开的文档、应用使用情况等。 |
| PECmd | Windows Prefetch 文件解析工具。Prefetch 是 Windows 为了加速程序启动而维护的记录,里面包含程序路径、运行次数、最后运行时间以及一些相关文件路径等信息,是时间线分析和程序执行证据的重要来源。文件位于:C:\Windows\Prefetch*.pf |
字符串、时间线与通用查看工具
| 工具名称 | 描述 |
|---|---|
| bstrings | 查找并提取文件中的字符串,支持内置正则规则。用于快速发现潜在有用信息(如 URL、路径、命令片段等),可处理锁定文件。 |
| Timeline Explorer | 图形化查看 CSV 和 Excel 文件,可以轻松过滤、分组、排序。常与其他工具配合使用:先导出 CSV,再用 Timeline Explorer 进行交互式分析。 |
| EZViewer | 轻量级通用文档查看器,支持:.doc/.docx/.xls/.xlsx/.txt/.log/.rtf/.otd/.htm/.html/.mht/.csv/.pdf 等格式;对于不支持的类型,以十六进制视图显示,并带数据解释器。方便在取证过程中快速预览各种文档。 |
| Hasher | 用于计算文件哈希值,用于校验文件完整性或取证固定证据。支持批量计算多个文件的哈希。 |
日志与网络相关工具
| 工具名称 | 描述 |
|---|---|
| iisGeoLocate | 解析 IIS 日志中的 IP 地址,进行地理位置解析。支持提取唯一 IP 和记录日志中存在的坏数据。 |
| KAPE | Kroll Artifact Parser/Extractor,灵活高效的取证采集和处理平台。 |
数据库相关
| 工具名称 | 描述 |
|---|---|
| SQLECmd | 专门面向 SQLite 数据库取证解析 的命令行工具。核心思路是:通过 "map"(规则/模板)来描述不同 SQLite 数据库的结构和字段,然后根据这些 map 自动去发现并解析相应的 SQLite 文件。 |
| SDB Explorer | 一个 Shim 数据库(SDB)图形化查看工具。Windows 的兼容性数据库(Shim DB)里保存了大量关于应用兼容性、补丁、可能的持久化手段等信息,对取证和恶意软件排查很有价值。GUI 工具。 |
其他辅助小工具
| 工具名称 | 描述 |
|---|---|
| TimeApp | 显示当前本地时间与 UTC 时间,并可选显示公共 IP 地址。 |
| XWFIM | X-Ways Forensics 安装管理器。用于管理和维护 X-Ways Forensics 的安装与更新。 |
实战建议与取证工作流
Eric Zimmerman 工具集(EZ Tools)的强大之处在于其 "解析引擎(CLI) + 核心展示(GUI)" 的黄金组合。
1. 黄金法则:自动化与标准化收集
- 使用 KAPE 作为前沿抓取平台:不要手动去扒各个受害者目录下的日志!强烈建议使用 KAPE (Kroll Artifact Parser and Extractor) 作为核心采集器。KAPE 预置了几乎所有 EZ Tools 的调用逻辑和取证目标收集路径(Targets & Modules),可以极速完成"数据证据提取 -> 工具自动化批量解析 -> 统一输出 CSV"的全流程基线操作。
2. 构建"大一统"的事件超级时间线 (Super Timeline)
单一孤证往往是不充足的,取证的核心是"还原时间线"。
- 抽取基础拼图:使用 MFTECmd 解析 $MFT(获取文件系统落盘、篡改痕迹)、使用 EvtxECmd 批量解析重要行为日志(获取远程登录/服务启动记录)、使用 PECmd 及 AppCompatCacheParser 解析预读取缓存(获取黑客工具执行历史)。
- 统一降维格式:将所有 CLI 工具的解析结果统一输出为易读的 CSV 格式文件。
- 上帝视角重现:将这些散落的 CSV 文件全部拖入 Timeline Explorer 中进行合并加载。通过其强大的多列联动过滤、正则高亮和分组功能,你就能在同一个视图里清晰看到黑客"远程登录系统 -> 投放恶意文件 -> 展开执行 -> 痕迹清理"的完整动作序列图。
3. 针对典型攻击场景的"工具组合套餐"
在时间紧迫的应急响应中,优先针对特定的攻击手法采用特定的"定点爆破"分析:
- 恶意程序溯源场景:想确认木马是否执行过?组合使用 AmcacheParser (追溯安装落地时间) + AppCompatCacheParser (探查历史运行兼容性记录) + PECmd (分析高频执行记录,包含程序精确路径及相关 DLL 加载映射)。
- 黑客窃密/文件漫游场景:想知道黑客查看了哪些敏感数据?组合使用 LECmd (LNK 快捷方式访问记录) + ShellBags Explorer (暴露曾打开过的深层敏感文件夹痕迹) + JLECmd (任务栏跳转列表中最近打开的文档)。哪怕黑客事后清掉了文件,ShellBags 的注册表残留依然会暴露出他进入过哪些隐私目录。
- 系统持久化(权限驻留)排查场景:重点关注注册表自启动与服务异常。
4. 绕过锁定文件的硬核技巧
在针对正在运行的被黑服务器进行活体取证(Live Forensics)时,许多高价值的日志和注册表(如 $MFT、SYSTEM hive)被系统内核死锁,常规双击或复制操作会被直接拒绝(报错占用)。
- 破局方案:EZ Tools 系列中的绝大部分底层读取解析器(如 EvtxECmd、MFTECmd、RECmd 等)都已经内建了 "直接卷访问机制(Raw Disk Access)"。只需赋予命令提示符 管理员权限 运行这些工具,它们便可绕过 Windows 系统层 API 的封锁,直接去读取底层磁盘扇区数据来解析正在被锁定的活动文件!
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)
