Chainsaw：一款基于Windows事件日志的信息安全取证工具

文章预览

关于Chainsaw Chainsaw是一款基于Windows事件日志的信息安全取证工具，该工具提供了强大的“第一时间响应”能力，可以帮助广大研究人员快速识别Windows事件日志中的威胁。 Chainsaw提供了一种通用且快速的方法来搜索事件日志中的关键字，并使用内置检测逻辑和对 Sigma 检测规则的支持来识别威胁。 功能介绍 1、使用Sigma检测规则和自定义 Chainsaw 检测规则搜寻威胁； 2、通过字符串匹配和正则表达式模式搜索并提取取证证据； 3、通过分析 Shimcache 工件并使用 Amcache 数据丰富它们来创建执行时间表； 4、分析 SRUM 数据库并提供有关它的分析结果； 5、转储取证证据的原始内容（MFT、注册表配置单元、ESE 数据库）； 6、速度极快，用Rust编写，封装了EVTX 解析器库； 7、干净、轻量的执行和输出格式，没有不必要的臃肿； 8、TAU 引擎库提供的文档标记（检测逻 ………………………………