Chainsaw je alatka otvorenog koda za prvi odgovor za brzo otkrivanje prijetnji u Windows forenzičkim artefakt-ima, uključujući dnevnike događaja i MFT datoteku. Omogućava brzu pretragu ključnih riječi kroz dnevnike događaja i indefikovanja prijetnje koristeći ugrađenu Sigma detekciju i prilagođena pravila detekcije.
Karakteristike Chainsaw
- Potražite prijetnje koristeći Sigma pravila detekcije i prilagođena pravila detekcije
- Pretražujte i izdvajajte forenzičke artefakt-e pomoću uparivanja nizova i obrazaca regularnih izraza
- Kreirajte vremenske okvire izvršenja analizirajući Shimcache artefakt-e i obogaćujući ih Amcache podacima
- Analizirajte SRUM bazu podataka i pružite uvid u nju
- Izbacite sirovi sadržaj forenzičkih artefakat-a (MFT, hives registra, ESE baze podataka)
- Munjevito, napisano u hrđi, obavija biblioteku EVTX parsera
- Čisto i lagano izvođenje i izlazni formati bez nepotrebnog naduvavanja
- Označavanje dokumenata (logičko podudaranje detekcije) koje pruža TAU Engine Library
- Izlaz rezultuje u različitim formatima, kao što su ASCII format tabele, CSV format i JSON format
Motorna pila je dostupna za besplatno preuzimanje na GitHubu . Alat se može pokrenuti na Linux, macOS i Windows.
Izvor:Help Net Security
