Wintaylor, преносим инструмент за съдебен анализ в Windows

Когато искаме да извършим анализ на компютър, имаме нужда от инструменти, които могат да се изпълняват от всяко устройство, едно от тях е Wintaylor, което е част от дистрибуцията CAINE (компютърно подпомагана разследваща среда).

Какво е КАИН?CAINE е дистрибуция на Linux за изпълнение компютърен съдебномедицински анализ.

Какво е Wintaylor?Wintaylor е набор от преносими инструменти и програмите, които съдържа, са безплатен софтуер. Е много използва се за извличане на информация от софтуера и хардуера на компютър с операционна система Windows.

Можем да използваме Wintaylor отделно, без да се налага да инсталираме CAINE, за това изтегляме:

ИЗТЕГЛЕТЕ WINTAYLOR

След като го изтеглим, ние го разархивираме и можем да го стартираме от твърдия диск или от флаш памет или устройство за зареждане.

След това ще видим набор от бутони, всеки от които принадлежи на инструмент, в този урок всеки инструмент ще бъде описан и как да го използвам.

1. System Info - Информация за системата

Този инструмент за системна информация X, ви позволява да инспектирате конфигурацията на компютъра, да събирате информация за хардуерни и софтуерни компоненти, а също така да генерираме отчети.

Когато стартираме приложението, виждаме две опции, първата е инструментът да търси в дневници и директории на събития, а другата опция е да търси или чете регистрационен файл, който ще посочим. За този урок ще изберем първата опция.

След като оборудването е внимателно анализирано, се получава изчерпателен списък на всички негови компоненти, заедно с техния модел, производител или съответните подробности.

Всеки елемент можем да изследваме данните като:

• Процесорът, търговското наименование, архитектура, брой ядра, честота.

• Можем да получим информация за RAM, дънна платка, монитор, видеокарта, принтери, звукова карта, USB устройства или мрежови адаптери.

• Също така можем да експортираме отчет в XML за по -късна употреба. Вътрешна опция Файл > Обобщен доклад, ще имаме възможност да видим всички профили, които сме създали за няколко компютъра.

2. WinAudit - Компютърен одит

Този инструмент, който видяхме в урока за одит на компютри с WinAudit, е много полезно приложение, което азПоказва обширна информация за операционната система, периферните устройства и регистрационните файлове за грешки в BIOS. WinAudit е малък инструмент за познаване в дълбочина на системата както хардуер и софтуер, регистър и събития на операционната система, сигурност, потребители.

Например в елемента Привилегии на потребители можем да видим какви разрешения има потребител, когато е бил влязъл за последен път и колко пъти е влизал общо.

Увеличете

3. DriveManager - Управление на устройства за съхранение

Този инструмент ви позволява да управлявате администрирането на устройства за съхранение. Drive Manager е безплатен и преносим инструмент за управление на дискове, който се използва за преглед на информация за твърди дискове, сменяеми устройства като CD / DVD, флаш устройства и дори вашите четци на карти и устройства, достъпни в мрежата.

Увеличете

Можете да показвате и скривате или заключвате и отключвате устройства, да имате достъп до инструменти като проверка на диска, да създавате букви за подмяна на файлове и папки, да търсите дискове, скорост на диска.

Мениджър на устройства показва размера на диска, използваното пространство, както и наличното пространство, така и процента свободно пространство, с автоматично подновяване на всеки 10 секунди, както и сериен обем, идентификация на продукта.

4. TestDisk - Възстановяване на данни

Този инструмент е този, който видяхме в урока за възстановяване на твърдия диск с инструменти TestDisk и Rstudio. TestDisk е междуплатформен и Използва се за възстановяване на загубени данни на разделени дискове и зареждащи дискове, USB твърд диск или флаш памет и карти с памет. TestDisk поддържа дялове във формат ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS.

5. FTK Imager - Инструменти за заснемане на изображения на диска

Съдебно -инструментариумният комплект (FTK Imager) е a набор от инструменти за управление и улавяне на изображения на твърд диск, външни устройства за съхранение и RAM памет за изследователски цели.

Увеличете

FTK Imager поддържа съхранение на дискови изображения във формат dd файл. Този инструмент е този, който видяхме в Анализиране на образа на диска с урок FTK Imager.

6. PC ON / OFF - Записване на включване и изключване на компютъра

Този инструмент ни позволява да знаем в кои дни компютърът е бил включен, кога е бил изключен и колко часа е работил, това се използва за определяне кога компютърът е бил включен, изключен или в режим на готовност. Това може да бъде сървър за наблюдение, че компютърът не се използва в неподходящи часове в случай на компания или когато на външни техници или администратори е предоставен достъп.

Увеличете

Тази проверка може да се извърши и за компютър в мрежата и има безплатна версия, която ви позволява да гледате 3 седмици, платената версия няма ограничения.

7. WHOIS - Информация за домейна

WhoisThisDomain е a инструмент за търсене на регистрация на домейн ни позволява да получим информация за регистриран домейн.

Той автоматично се свързва със сървъра на база данни WHOIS и чрез името на домейна извлича данните от записа WHOIS на домейна. Той поддържа както общи домейни, така и кодове на държави. Можем да създадем списък с домейни, за да проверим всички заедно и да ги актуализираме.

8. LANSCAN - Инструмент за мрежово сканиране

Приложението се нарича PortScan и използва се като мрежов скенер Той може бързо да провери IP диапазон и информация за компютрите в тази мрежа. Много е полезно, ако искаме да проверим информацията на компютрите в мрежата. Това е много просто, но трябва да знаете за мрежите, за да можете да определите каква информация виждаме.

Сканирането на мрежата се извършва чрез присвояване на IP диапазона, например 192.168.0.0 до 192.168.0.255 и приложението ще търси всички компютри в тази мрежа. PortScan сканира всички налични портове и показва подробности като MAC адрес, име на хост, отворени портове и HTTP сървъри за всяка свързана машина.

Освен това IP адрес или име на хост също могат да бъдат пингувани. Също така в последната версия той включва инструмент за тестване на скоростта на мрежата, за да определи скоростта на изтегляне и качване на мрежовата връзка. Можем да използваме PortScan за получаване на информация за HTTP, FTP, SMTP и SMB услуги.

Приложението е преносимо, така че можем да го изтеглим независимо и по -актуализирано с повече опции.

9. HexEdit - Hex Editor и RAM Capture

Този инструмент е a шестнадесетичен редактор, което ви позволява да видите какво се случва в RAM паметта и в BIOS на живо, тоест с включен и работещ компютър, той служи и за заснемане на изображения и дискове от паметта.

Увеличете

Когато стартираме програмата от менюто Файл, можем да изберем устройство за съхранение или блок памет RAM или BIOS.

След като сме избрали откъде ще получим данните, HEXEDIT, ще ни покаже съдържанието, което можем да изследваме. Ако имаме достатъчно знания, можем да редактираме информация директно в паметта.

10. PhotoRec - Възстановяване на изображение на диск и данни от устройството

PhotoRec е a Многоплатформен инструмент за възстановяване и архивиране на данни за твърди дискове, USB флаш устройства и цифрови фотоапарати.

Той възстановява различни формати на изображения и аудио файлове, формати на документи на Ofiice и много файлови формати, включително ZIP.

PhotoRec не се опитва да пише на повредения носител, който потребителят е на път да възстанови. Възстановените файлове вместо това се записват в избрана от потребителя директория, от която се изпълнява PhotoRec. Може да се използва за възстановяване на данни при извършване на съдебномедицински анализ, включително изображения на диск или RAM. PhotoRec е перфектно допълнение към TestDisk.

В урока Анализ на изображението на диска с FTK Imager, аз показах как да използвам PhotoREc с dd изображение от флаш памет. Можете също така да видите добра статия, която ни предлага безплатни програми за възстановяване на изтрити файлове, където се споменава PhotoRec.

11. RAM Dump - улавяне на RAM памет в Windwos

Този раздел съдържа a набор от инструменти за улавяне на RAM. Инструментите са Winen и mdd, те са софтуер за командния ред, който ще ни позволи да улавяме RAM от USB памет, без да имаме администраторски права.

Командата е много проста например за милион посочваме:

 l aoption -o

И име на файл, където да запазите изображението:

 mdd -o dump.dd

В този случай за 53 секунди успяхме да направим изображение на Windows 7 с 2 GB RAM.

12. Recuva - инструмент за възстановяване на данни

Recuva е a инструмент за възстановяване на файлове, можем да го намерим и в статията Безплатни програми за възстановяване на изтрити файлове.

Този инструмент може да възстанови файлове, които са били изтрити от компютър, твърд диск, USB устройство, MP3 плейър или дори карта с памет от камера.

Recuva има съветник за възстановяване, за да определи какъв тип файл да търси и по този начин да ускори възстановяването. За да направите това, стартираме съветника и след това трябва да изберем типа файл, който искате да възстановите, като документи, снимки, видеоклипове, имейли, наред с други опции.

13. USB Защита от запис - Защитете USB устройства за съхранение

Позволява на защита за USB устройства За да контролира записването на данни и прехвърляния, този инструмент ще предотврати, например, случайно изтриване или запис на висящо устройство. USB WriteProtector ви позволява да блокирате как да отключите защитата срещу запис. В допълнение, той може да се изпълнява от неговия интерфейс или от командния ред.

Трябва да имаме предвид, че когато активираме опцията USB Write ON или OFF, когато свързваме USB устройство за зареждане, тя автоматично ще приеме избраната опция.

14. USB устройства - Списък на USB устройства

USBDeview е a инструмент, който показва всички USB устройства, свързани в момента с компютъра, както и всички USB устройства, които сте използвали преди. За всяко USB устройство се показва много подробна информация за името на устройството, описанието, типа на устройството, серийния номер, датата и часа на добавяне на устройството и друга информация за системата, производителя и доставчика.

Увеличете

Той също така ви позволява да управлявате и деинсталирате USB устройствата, които са били използвани преди, или да ги оставите като исторически, също така поддържа опцията за активиране и деактивиране на някое от USB устройствата. Може да се използва и за управление на мрежов USB на отдалечен компютър, стига да имате разрешенията на системния и мрежовия администратор.

15. Windows File Analyzer - Анализ и декодиране на скрити файлове

Този инструмент анализира и декодира някои файлове за съдебномедицински анализ. Файлът Thumbs.db е файл, създаден от Windows, когато се използва изглед на миниатюри. Това е скрит файл, който не се вижда от потребителите. Това ви позволява да получите тези данни, въпреки че изображението е изтрито, този файл съдържа данни за визуализация на изображението.

Също така връзките и преките пътища на манипулирани файлове са източник на информация, тъй като създават исторически запис.

След това имаме друг раздел, наречен Още инструменти o Повече инструменти, които имат множество приложения за работа в преносим режим, някои от тях са:

• SkypeLogView- за преглед на запазени разговори в Skype

• SniffPass: Да шпионираме ключ към определен IP адрес, до който имаме достъп

• MyLastSearch: За да определите кои са последните търсения и от кой браузър

• Възстановяване на системния регистър на Windows: Извлича и информация от системния регистър на Windows

Също така имаме системни инструменти на Windows, които да използваме от командния ред, като например netstat, systeminfo, ipconfig и много други.

В заключение ви оставяме няколко връзки към уроци, свързани с одити:

• Система за одит в CentOS 7
• Одит на Linux с Lynis