BlackHat资料us-14-Castle-GRR-Find-All-The-Badness-Collect-All-The-Things-WP.pdfVIP

GRR Artifacts Greg Castle  Blackhat 2014  Contact: grr­dev@    Abstract   During a security investigation responders need to quickly retrieve common pieces of  information that include items such as logs, configured services, cron jobs, patch state, user  accounts, and much more.  These pieces of information are known as forensic artifacts, and  their location and format vary drastically across systems.  We have built a framework to  describe forensic artifacts that allows them to be collected and customised quickly using the  GRR Rapid Response open source live forensics system.  We aim to provide a centralized,  free, community sourced, knowledge base of forensic artifacts that the world can use both as an  information source and within other tools.  Background   In a windows response scenario you might be interested in retrieving items such as the registry  hives, event logs, user accounts, runkeys, running services, and ‘at’ jobs.  Many investigators  hold the location of all this information in their heads, internal wiki’s, text files etc. that have been  built from years of experience, but this doesn’t scale well.      Increasingly investigators need to operate outside of their comfort zones on unfamiliar operating  systems with unfamiliar software.  In these scenarios investigators will rely on information such  as forensicswiki, , blogposts, conference slides and whatever other  information is available.  The problems here are:    ● The information isn’t machine readable  ● Accuracy and completeness varies wildly  ● Information is often published once and never updated, and where updates are needed  it’s often easier to republish than edit the old content  ● There’s no consistent format to specify machine specific