データ保全ツール CDIR Collector を使ってみた
kawa.xxx
環境
- Windows 10
- CDIR Collector v1.1
CDIR Collector とは?
サイバーディフェンス研究所が開発した、オープンソースのデータ保全ツールです。
インシデント対応の初動に、専門知識がなくても簡単にデータ保全ができるように作られています。
現在の対象は Windows マシンだけのようですが、今後、Linux や Mac にも対応して行くとのことで期待しています。
保全可能なデータは
- メモリダンプ
- MFT
- Change Journal
- イベントログ
- プリフェッチ
- レジストリ
上記の6点、どれもツールを実行すれば自動で収集してくれるというツールです。
データ保全してみた
github からバイナリをダウンロードして 32GB 程度の容量のある USB メモリに展開するだけで準備完了です。

こんな感じですね。
そしてデータを保全したいPCに挿入し、 cdir-collector.exe
を管理者権限で実行するだけです。
保全実行まえにメモリダンプを取得するか聞かれるので、今回は1を入力してメモリダンプも取る設定にしました。

後はひたすら完了するのを待つだけです。
今回対象にしたマシンはメモリ16GB で Skype とVirtualBox が動いている状態のものを用意しました。何も動いていないとメモリダンプが寂しいことになりそうだったので ^^;
このマシンのデータ保全には約 10 分程度かかり、取得したデータの容量は 約10GB 程度でした。exe と同じディレクトリに マシン名_日付
のフォルダが作成され、以下のように取得されました。

collector-log.txt には保全したファイルのハッシュ値と開始時間、終了時間と保全にかかった時間が記載されています。
次回はこの保全したデータを解析してみたいと思います。
参考文献
- http://www.atmarkit.co.jp/ait/articles/1609/15/news006.html
- https://github.com/CyberDefenseInstitute/CDIR/releases
ABOUT ME