Fastir - Fast Forensics или сам себе криминалист

Конечно, все понимают, что Windows хранит в себе тонны информации о работе пользователя за компьютером. Но одно дело - абстрактно знать, другое - в одном месте собрать даже не все, а только основные сведения о том, какие файлы открывал пользователь, когда, какие флешки подключал, историю всех браузеров, автозапуск, логи и кучу другой информации. Это впечатляет! Для этого есть куча утилит, но хочу упомянуть одну из них - Fastir.

Fastir бесплатна, базируется здесь: https://github.com/SekoiaLab/Fastir_Collector/releases. Скачать можно исходные коды и готовые 32 и 64 битные экзешники FastIR_x64.exe и FastIR_x86.exe.

После запуска (трубуются права админитстратора) создается директория output, в которой находятся cvs файлы с кучей интереснейшей и полезной информацией. Кроме банального автозапуска тут есть список запущенных служб, процессов, таблицы arp и маршрутов, список WiFi сетей, к которым раньше (о, порой это было очень давно!) подключался пользователь. Это быстрый срез состояния системы, который удобно анализировать, чтобы найти, скажем, подтверждение, что в системе может быть вирус, или что некто занимался ерундой за компом.

Настоящие криминалисты, понятное дело, forensics утилиты никогда не запускают на работающем экземпляре проверяемого компьютера, но это другой случай. Это может быть удобно для быстрого анализа, что за комп, что с ним делали, что происходило на момент запуска Fastir. Многие знают и используют полезные утилиты NirSoft, но ключевое отличие Fastir в том, что запустив один раз вы получаете массив данных для дальнейшего спокойного изучения. Для разных случаев - разные методы. Наверняка, Fastir найдет свое место в вашем наборе полезных утилит.

Авторизуйтесь для добавления комментариев!