Performs Windows forensic artifact analysis using Eric Zimmerman's EZ Tools suite (KAPE, MFTECmd, PECmd, LECmd, JLECmd, Timeline Explorer), parsing registry hives, prefetch files, event logs, and filesystem metadata.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
Eric Zimmerman 的 EZ Tools 套件是一组开源取证工具,已成为 Windows 数字取证调查的全球标准。这些工具最初由一位前 FBI 特工(现任 SANS 讲师)开发,用于解析和分析关键 Windows 制品,包括主文件表(Master File Table,$MFT)、注册表 hive、预取文件(Prefetch)、事件日志、快捷方式(LNK)文件和跳转列表(Jump List)。该套件与 KAPE(Kroll Artifact Parser and Extractor)集成,实现制品的自动化收集和处理,生成结构化 CSV 输出,可导入 Timeline Explorer 进行可视化分析。EZ Tools 被全球各地的执法机构、企业事件响应人员和取证顾问广泛使用。
Performs Windows forensic artifact analysis using Eric Zimmerman's EZ Tools suite (KAPE, MFTECmd, PECmd, LECmd, JLECmd, Timeline Explorer) to parse registry hives, prefetch files, event logs, and file metadata.
Perform Windows forensic artifact analysis using Eric Zimmerman's EZ Tools suite (KAPE, MFTECmd, PECmd, LECmd, JLECmd, Timeline Explorer) for registry hives, prefetch files, event logs, and file metadata.
Analyzes Windows event logs, PCAPs, filesystem artifacts, memory dumps for digital forensics and incident response. Detects AD attacks and correlates timelines for security investigations and threat hunting.
Share bugs, ideas, or general feedback.
Eric Zimmerman 的 EZ Tools 套件是一组开源取证工具,已成为 Windows 数字取证调查的全球标准。这些工具最初由一位前 FBI 特工(现任 SANS 讲师)开发,用于解析和分析关键 Windows 制品,包括主文件表(Master File Table,$MFT)、注册表 hive、预取文件(Prefetch)、事件日志、快捷方式(LNK)文件和跳转列表(Jump List)。该套件与 KAPE(Kroll Artifact Parser and Extractor)集成,实现制品的自动化收集和处理,生成结构化 CSV 输出,可导入 Timeline Explorer 进行可视化分析。EZ Tools 被全球各地的执法机构、企业事件响应人员和取证顾问广泛使用。
KAPE 是主要的编排工具,通过配置文件(.tkape 和 .mkape)自动化制品收集(Targets)和处理(Modules),定义要收集的制品以及要对其运行的 EZ Tools。
安装和设置:
# 从 https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape 下载 KAPE
# 解压到 C:\Tools\KAPE
# 更新 KAPE Targets 和 Modules
C:\Tools\KAPE\gkape.exe # GUI 版本
C:\Tools\KAPE\kape.exe # CLI 版本
# 同步最新 EZ Tools 二进制文件
C:\Tools\KAPE\Get-KAPEUpdate.ps1
运行 KAPE 收集和处理:
# 从挂载的取证镜像 E: 盘收集制品并使用 EZ Tools 处理
kape.exe --tsource E: --tdest C:\Cases\Case001\Collection --target KapeTriage --mdest C:\Cases\Case001\Processed --module !EZParser
# 收集特定制品类别
kape.exe --tsource E: --tdest C:\Cases\Case001\Collection --target FileSystem,RegistryHives,EventLogs --mdest C:\Cases\Case001\Processed --module MFTECmd,RECmd,EvtxECmd
# 实时系统分类采集(以管理员身份运行)
kape.exe --tsource C: --tdest D:\LiveTriage\Collection --target KapeTriage --mdest D:\LiveTriage\Processed --module !EZParser --vhdx LiveTriageImage
MFTECmd 将 NTFS $MFT、$J(USN 日志)、$Boot、$SDS 和 $LogFile 解析为人类可读的 CSV 格式。
# 解析 $MFT 文件
MFTECmd.exe -f "C:\Cases\Evidence\$MFT" --csv C:\Cases\Output --csvf MFT_output.csv
# 解析 USN 日志($J)
MFTECmd.exe -f "C:\Cases\Evidence\$J" --csv C:\Cases\Output --csvf USNJournal_output.csv
# 解析 $Boot 获取卷信息
MFTECmd.exe -f "C:\Cases\Evidence\$Boot" --csv C:\Cases\Output --csvf Boot_output.csv
# 解析 $SDS 获取安全描述符
MFTECmd.exe -f "C:\Cases\Evidence\$SDS" --csv C:\Cases\Output --csvf SDS_output.csv
MFT 输出关键字段:
| 字段 | 描述 |
|---|---|
| EntryNumber | MFT 记录编号 |
| ParentEntryNumber | 父目录 MFT 记录 |
| InUse | 记录是否处于活跃或已删除状态 |
| FileName | 文件或目录名称 |
| Created0x10 | $STANDARD_INFORMATION 创建时间戳 |
| Created0x30 | $FILE_NAME 创建时间戳 |
| LastModified0x10 | $STANDARD_INFORMATION 修改时间戳 |
| IsDirectory | 布尔值,指示目录或文件 |
| FileSize | 逻辑文件大小(字节) |
| Extension | 文件扩展名 |
PECmd 解析 Windows 预取文件(.pf),提供程序执行证据,包括运行次数和时间戳。
# 解析目录中所有预取文件
PECmd.exe -d "C:\Cases\Evidence\Windows\Prefetch" --csv C:\Cases\Output --csvf Prefetch_output.csv
# 解析单个预取文件并输出详细信息
PECmd.exe -f "C:\Cases\Evidence\Windows\Prefetch\CMD.EXE-4A81B364.pf" --json C:\Cases\Output
# 使用关键词过滤解析预取文件
PECmd.exe -d "C:\Cases\Evidence\Windows\Prefetch" -k "powershell,cmd,wscript,cscript,mshta" --csv C:\Cases\Output --csvf SuspiciousExec.csv
RECmd 使用批处理文件处理 Windows 注册表 hive,批处理文件定义要提取的键和值。
# 使用默认批处理文件处理所有注册表 hive
RECmd.exe --bn C:\Tools\KAPE\Modules\bin\RECmd\BatchExamples\RECmd_Batch_MC.reb -d "C:\Cases\Evidence\Registry" --csv C:\Cases\Output --csvf Registry_output.csv
# 处理单个 NTUSER.DAT hive
RECmd.exe -f "C:\Cases\Evidence\Users\suspect\NTUSER.DAT" --bn C:\Tools\KAPE\Modules\bin\RECmd\BatchExamples\RECmd_Batch_MC.reb --csv C:\Cases\Output
# 处理 SYSTEM hive 获取 USB 设备历史
RECmd.exe -f "C:\Cases\Evidence\Registry\SYSTEM" --bn C:\Tools\KAPE\Modules\bin\RECmd\BatchExamples\RECmd_Batch_MC.reb --csv C:\Cases\Output
EvtxECmd 将 Windows 事件日志(.evtx)文件解析为结构化 CSV 格式,支持可定制的事件 ID 映射。
# 解析目录中所有事件日志
EvtxECmd.exe -d "C:\Cases\Evidence\Windows\System32\winevt\Logs" --csv C:\Cases\Output --csvf EventLogs_output.csv
# 解析单个事件日志
EvtxECmd.exe -f "C:\Cases\Evidence\Security.evtx" --csv C:\Cases\Output --csvf Security_output.csv
# 使用自定义映射增强字段提取
EvtxECmd.exe -d "C:\Cases\Evidence\Logs" --csv C:\Cases\Output --maps C:\Tools\KAPE\Modules\bin\EvtxECmd\Maps
# 解析 Recent 目录中的 LNK 文件
LECmd.exe -d "C:\Cases\Evidence\Users\suspect\AppData\Roaming\Microsoft\Windows\Recent" --csv C:\Cases\Output --csvf LNK_output.csv
# 解析跳转列表(自动目标)
JLECmd.exe -d "C:\Cases\Evidence\Users\suspect\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations" --csv C:\Cases\Output --csvf JumpLists_auto.csv
# 解析跳转列表(自定义目标)
JLECmd.exe -d "C:\Cases\Evidence\Users\suspect\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations" --csv C:\Cases\Output --csvf JumpLists_custom.csv
# 从注册表 hive 目录解析 ShellBag
SBECmd.exe -d "C:\Cases\Evidence\Registry" --csv C:\Cases\Output --csvf Shellbags_output.csv
# 从实时系统解析 ShellBag(需要管理员权限)
SBECmd.exe --live --csv C:\Cases\Output --csvf LiveShellbags_output.csv
Timeline Explorer 是用于分析所有 EZ Tools CSV 输出的 GUI 工具,支持过滤、排序、列分组和条件格式化。
# 启动 Timeline Explorer 并打开 CSV 输出
TimelineExplorer.exe "C:\Cases\Output\MFT_output.csv"
Timeline Explorer 关键功能:
# 从挂载在 E: 的取证镜像进行完整分类采集
kape.exe --tsource E: --tdest C:\Cases\Case001\Collected --target KapeTriage --vhdx TriageImage --zv false
# 处理所有已收集的制品
kape.exe --msource C:\Cases\Case001\Collected --mdest C:\Cases\Case001\Processed --module !EZParser
# 在 Timeline Explorer 中比较以下列:
# Created0x10($STANDARD_INFORMATION)vs Created0x30($FILE_NAME)
# 若 Created0x10 < Created0x30,则表明存在时间戳篡改
# $FILE_NAME 时间戳比 $STANDARD_INFORMATION 更难被篡改
| 工具 | 制品 | 位置 |
|---|---|---|
| MFTECmd | $MFT | NTFS 卷根目录 |
| MFTECmd | $J(USN 日志) | $Extend$UsnJrnl:$J |
| PECmd | 预取文件 | C:\Windows\Prefetch*.pf |
| RECmd | NTUSER.DAT | C:\Users{user}\NTUSER.DAT |
| RECmd | SYSTEM hive | C:\Windows\System32\config\SYSTEM |
| RECmd | SAM hive | C:\Windows\System32\config\SAM |
| RECmd | SOFTWARE hive | C:\Windows\System32\config\SOFTWARE |
| EvtxECmd | 事件日志 | C:\Windows\System32\winevt\Logs*.evtx |
| LECmd | LNK 文件 | C:\Users{user}\AppData\Roaming\Microsoft\Windows\Recent\ |
| JLECmd | 跳转列表 | C:\Users{user}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ |
| SBECmd | ShellBag | NTUSER.DAT 和 UsrClass.dat 注册表 hive |
所有 EZ Tools 生成的 CSV 输出均可: