1. Get-ZimmermanTools
- 用途:批量下载、更新 Eric Zimmerman 工具集,快速搭建应急/取证分析环境。
- 应急响应场景:
- 初始化分析机
- 统一工具版本
- 快速补齐常用取证组件
- 适用文件类型/后缀:
- 无固定取证输入文件
- 常见分发文件:
.ps1、.zip
2. AmcacheParser
- 用途:解析 Amcache,发现程序落地、安装与执行相关痕迹。
- 应急响应场景:
- 排查可疑 EXE / DLL 是否曾落地
- 辅助确认软件安装历史
- 补充程序出现与活动时间线
- 适用文件类型/后缀:
.hve- 常见文件名:
Amcache.hve
3. AppCompatCacheParser
- 用途:解析 ShimCache / AppCompatCache。
- 应急响应场景:
- 判断可疑程序是否曾在系统中出现
- 辅助分析历史执行痕迹
- 与 Prefetch / Amcache 交叉验证
- 适用文件类型/后缀:
- 主要来自注册表 hive
- 常见输入:
SYSTEM(通常无普通后缀) - 也可能是其导出副本文件
4. bstrings
- 用途:从二进制文件中提取可读字符串。
- 应急响应场景:
- 从恶意样本提取 URL、域名、路径、命令行、互斥体、账号等 IOC
- 快速辅助样本静态分析
- 适用文件类型/后缀:
.exe.dll.sys.bin.dat- 内存转储或其他任意二进制文件
5. EvtxECmd
- 用途:解析 Windows 事件日志。
- 应急响应场景:
- 登录/注销分析
- 进程创建排查
- 服务安装、计划任务、PowerShell、RDP、账户变更分析
- 适用文件类型/后缀:
.evtx
6. EZViewer
- 用途:查看 EZ 工具输出结果。
- 应急响应场景:
- 浏览、筛选、复核解析结果
- 对批量导出的结果做人工审阅
- 适用文件类型/后缀:
.csv.tsv- 其他结果文本文件
7. JLECmd
- 用途:解析 Jump Lists。
- 应急响应场景:
- 还原用户最近打开过的文件、文档、程序
- 分析用户实际操作轨迹
- 适用文件类型/后缀:
.automaticDestinations-ms.customDestinations-ms
8. JumpListExplorer
- 用途:Jump Lists 图形化查看器。
- 应急响应场景:
- 人工审阅最近访问记录
- 对 Jump Lists 结果做可视化核查
- 适用文件类型/后缀:
.automaticDestinations-ms.customDestinations-ms
9. LECmd
- 用途:解析 LNK 快捷方式。
- 应急响应场景:
- 分析用户打开过的文件、程序、共享路径、移动介质目标
- 追查钓鱼附件、U 盘文件、网络共享访问
- 适用文件类型/后缀:
.lnk
10. MFTECmd
- 用途:解析 NTFS 的
$MFT。 - 应急响应场景:
- 文件落地、删除、重命名分析
- 恢复“文件曾经存在”的证据
- 还原文件系统活动时间线
- 适用文件类型/后缀:
$MFT(通常无普通后缀)- 也常见为取证导出的副本文件
11. MFTExplorer
- 用途:
$MFT图形化查看器。 - 应急响应场景:
- 人工核查文件系统记录
- 定点查看可疑文件条目与时间戳
- 适用文件类型/后缀:
$MFT
12. PECmd
- 用途:解析 Prefetch。
- 应急响应场景:
- 确认可疑程序是否执行过
- 查看执行次数、最近运行时间、加载文件
- 重建可疑程序执行链
- 适用文件类型/后缀:
.pf
13. RBCmd
- 用途:解析回收站记录。
- 应急响应场景:
- 分析攻击者是否删除文件
- 确认删除时间、原始路径、被删对象
- 辅助研判清痕行为
- 适用文件类型/后缀:
$I*$R*- 常见位于回收站目录
14. RecentFileCacheParser
- 用途:解析 RecentFileCache。
- 应急响应场景:
- 补充系统曾接触过的文件痕迹
- 辅助确认某文件是否曾出现在系统中
- 适用文件类型/后缀:
.bcf- 常见文件名:
RecentFileCache.bcf
15. RECmd
- 用途:批量解析 Windows Registry。
- 应急响应场景:
- 查自启动、服务、持久化、USB、用户活动、网络配置、软件安装
- 用批处理规则批量提取关键注册表痕迹
- 适用文件类型/后缀:
- 注册表 hive 文件,常见包括:
SYSTEMSOFTWARESAMSECURITYNTUSER.DATUSRCLASS.DAT
- 事务日志:
.LOG1.LOG2
- 注册表 hive 文件,常见包括:
16. RegistryExplorer
- 用途:注册表图形化查看器。
- 应急响应场景:
- 人工检查可疑键值
- 验证持久化项、自启动项、用户配置痕迹
- 适用文件类型/后缀:
SYSTEMSOFTWARESAMSECURITYNTUSER.DATUSRCLASS.DAT.LOG1.LOG2
17. rla
- 用途:仅根据当前截图中的程序名
rla.exe,仍无法安全确认其准确功能。 - 应急响应场景:
- 暂不建议直接记录具体用途,避免记错
- 最好结合该工具的
--help、说明文档或官方发布页再确认
- 适用文件类型/后缀:
- 暂无法准确确认
18. SDBExplorer
- 用途:解析 Shim Database(SDB)。
- 应急响应场景:
- 排查兼容性数据库中的异常配置
- 辅助分析利用 shim 的持久化手法
- 适用文件类型/后缀:
.sdb
19. SBECmd
- 用途:解析 ShellBags。
- 应急响应场景:
- 还原用户浏览过的目录
- 发现已删除目录、移动介质目录、网络目录访问痕迹
- 适用文件类型/后缀:
- 主要来自注册表 hive:
NTUSER.DATUSRCLASS.DAT
- 主要来自注册表 hive:
20. ShellBagsExplorer
- 用途:ShellBags 图形化查看器。
- 应急响应场景:
- 人工查看用户目录浏览轨迹
- 结合时间线验证目录访问行为
- 适用文件类型/后缀:
NTUSER.DATUSRCLASS.DAT
21. SQLECmd
- 用途:解析 SQLite / Windows Search / 相关数据库痕迹。
- 应急响应场景:
- 从数据库中恢复文件、搜索、程序活动信息
- 补充系统活动与历史行为证据
- 适用文件类型/后缀:
.db.sqlite.sqlite3.edb(视具体数据源而定)
22. SrumECmd
- 用途:解析 SRUM(System Resource Usage Monitor)。
- 应急响应场景:
- 查看程序网络活动
- 分析资源消耗、应用使用情况
- 辅助分析出网行为与时间段
- 适用文件类型/后缀:
.dat- 常见文件名:
SRUDB.dat
23. SumECmd
- 用途:解析系统使用相关数据库/痕迹数据,用于补充系统与应用活动轨迹。
- 应急响应场景:
- 补充系统/应用活动分析
- 作为时间线辅助证据源
- 适用文件类型/后缀:
- 常见为数据库类文件
- 可能包括:
.dat、.edb
- 备注:
- 具体输入类型最好结合该版本工具说明再次确认
24. TimelineExplorer
- 用途:时间线查看器。
- 应急响应场景:
- 将多种工具输出结果汇总筛选
- 串联完整攻击时间线
- 按时间窗口快速定位异常活动
- 适用文件类型/后缀:
.csv.tsv
25. VSCMount
- 用途:挂载卷影副本(Volume Shadow Copy)。
- 应急响应场景:
- 恢复历史文件版本
- 对比事发前后文件/注册表差异
- 勒索、清痕场景取证
- 适用文件类型/后缀:
- 卷影副本设备/系统对象
- 无典型普通文件后缀
26. iisGeoLocate
- 用途:对 IIS 日志中的 IP 进行地理定位与辅助分析。
- 应急响应场景:
- 分析 Web 访问来源
- 辅助排查扫描、爆破、WebShell 来源 IP
- 适用文件类型/后缀:
.log- IIS W3C 日志文件
最常用的一组(Windows 应急优先掌握)
EvtxECmd:看事件日志PECmd:看程序执行AmcacheParser:看程序落地/安装痕迹AppCompatCacheParser:看历史出现痕迹RECmd:查注册表、持久化、自启动MFTECmd:看文件系统变化LECmd:看快捷方式访问JLECmd:看 Jump ListsSBECmd:看目录浏览轨迹SrumECmd:看网络/资源使用TimelineExplorer:串联全案时间线
一句话记忆
- 看执行:
PECmd、AmcacheParser、AppCompatCacheParser - 看注册表/持久化:
RECmd、RegistryExplorer - 看文件落地/删除:
MFTECmd、RBCmd、VSCMount - 看用户行为:
LECmd、JLECmd、SBECmd - 看日志:
EvtxECmd - 看网络/资源:
SrumECmd、iisGeoLocate - 看汇总时间线:
TimelineExplorer