-rescue es un script ligero de Windows
Batch que recopila unos numerosos de datos forenses de sistemas Windows de 32
bits y 64 bits respetando el orden de volatilidad y artefactos que se cambian
con la ejecución del script. Se destina a la respuesta a incidentes
utilizándose en diferentes etapas del proceso de digital forensic e
investigación. Puede ser configurado para realizar colecciones completas de
datos para fines de digital forensic e investigación, así como personalizar
adquisiciones de tipos específicos de datos. La herramienta representa un
esfuerzo para agilizar la recolección de datos de máquina, independientemente
de las necesidades de la digital forensic y confiar menos en
el soporte in sitio cuando el acceso remoto o el análisis en vivo no están
disponibles.
Ir-rescue hace uso de comandos integrados de Windows y
utilidades de terceros bien conocidas de Sysinternals y NirSoft, por ejemplo,
algunas de código abierto. Está diseñada para agrupar las colecciones de datos
según el tipo de datos. Por ejemplo, se agrupan todos los datos relacionados
con la conexión en red, como los recursos compartidos de archivos abiertos y
las conexiones TCP (Protocolo de control de la transmisión), mientras que los
procesos, los servicios y las tareas se agrupan bajo malware. La herramienta de
digital forensic también está diseñada con el propósito de no hacer uso de
PowerShell y WMI (Windows Management Instrumentation) para que sea compatible
transversalmente. La adquisición de tipos de datos y otras opciones generales
se especifican en un archivo de configuración simple. Cabe señalar que el
script lanza un gran número de comandos y herramientas, dejando una huella
considerable en el sistema. El tiempo de ejecución varía dependiendo de la
potencia de cálculo y de las configuraciones establecidas, aunque suele
terminar dentro de un máximo de una hora si está configurado para ejecutarse
completamente. Ir-rescue es una de las herramientas usada por los expertos de digital forensic
de international institute of cyber security.
Ir-rescue ha sido escrito para la respuesta a incidentes y
digital forensic, así como para los profesionales de la seguridad por igual.
Por lo tanto, puede utilizarse para aprovechar las herramientas y comandos ya
agrupados durante las actividades de digital forensic.
Ir-rescue se basa en una serie de utilidades de terceros para
recopilar datos específicos de las maquinas. Las versiones de las herramientas
se enumeran en la siguiente sección y se proporcionan con el paquete tal cual
y, por lo tanto, sus licencias y acuerdos de usuario deben aceptarse antes de
ejecutar ir-rescue.
Ir-rescue debe ejecutarse bajo una consola de línea de comandos
con derechos de administrador y no requiere argumentos.
0 comments:
Post a Comment