2016.10.08 2022.08.12

データ保全ツール CDIR Collector を使ってみた

kawa.xxx

環境

サイバーディフェンス研究所が開発した、オープンソースのデータ保全ツールです。

インシデント対応の初動に、専門知識がなくても簡単にデータ保全ができるように作られています。

現在の対象は Windows マシンだけのようですが、今後、Linux や Mac にも対応して行くとのことで期待しています。

保全可能なデータは

上記の6点、どれもツールを実行すれば自動で収集してくれるというツールです。

github からバイナリをダウンロードして 32GB 程度の容量のある USB メモリに展開するだけで準備完了です。

こんな感じですね。

そしてデータを保全したいPCに挿入し、 cdir-collector.exe を管理者権限で実行するだけです。

保全実行まえにメモリダンプを取得するか聞かれるので、今回は1を入力してメモリダンプも取る設定にしました。

後はひたすら完了するのを待つだけです。

今回対象にしたマシンはメモリ16GB で Skype とVirtualBox が動いている状態のものを用意しました。何も動いていないとメモリダンプが寂しいことになりそうだったので ^^;

このマシンのデータ保全には約 10 分程度かかり、取得したデータの容量は約10GB 程度でした。exe と同じディレクトリに マシン名_日付 のフォルダが作成され、以下のように取得されました。

collector-log.txt には保全したファイルのハッシュ値と開始時間、終了時間と保全にかかった時間が記載されています。

次回はこの保全したデータを解析してみたいと思います。

ABOUT ME