Wintaylor, prijenosni alat za forenzičku analizu u sustavu Windows

Wintaylor, prijenosni alat za forenzičku analizu u sustavu Windows

Kada želimo provesti analizu računala potrebni su nam alati koji se mogu izvesti s bilo kojeg uređaja, jedan od njih je Wintaylor, koji je dio distribucije CAINE (Računalno podržano istraživačko okruženje).

Što je CAINE?CAINE je distribucija Linuxa za izvođenje računalna forenzička analiza.

Što je Wintaylor?Wintaylor je skup prijenosnih alata i programi koje sadrži besplatni su softver. Je jako koristi se za izvlačenje informacija iz softvera i hardvera računala s operacijskim sustavom Windows.

Wintaylor možemo koristiti zasebno, a da ne moramo instalirati CAINE, za to preuzimamo:

PREUZMI WINTAYLOR

Nakon što ga preuzmemo, raspakiramo ga i možemo ga pokrenuti s tvrdog diska ili s flash memorije ili pogona.

Zatim ćemo vidjeti skup gumba, svaki od njih pripada alatu, u ovom vodiču bit će opisan svaki alat i kako ga koristiti.

1. Informacije o sustavu - Informacije o sustavu


Ovaj alat System Information X, omogućuje vam pregled konfiguracije računala, prikupljanje podataka o hardverskim i softverskim komponentama, a također možemo generirati izvješća.

Kad pokrenemo aplikaciju, vidimo dvije mogućnosti, prva je za alat za pretraživanje zapisnika događaja i direktorija, a druga je mogućnost pretraživanja ili čitanja datoteke dnevnika koju ćemo naznačiti. Za ovaj vodič odabrat ćemo prvu opciju.

Nakon što je oprema temeljito analizirana, dobiva se opsežan popis svih njezinih komponenti, zajedno s njihovim modelom, proizvođačem ili relevantnim pojedinostima.

Svaku stavku možemo istražiti podatke kao što su:

  • Procesor, trgovački naziv, arhitektura, broj jezgri, frekvencija.
  • Možemo dobiti informacije o RAM -u, matičnoj ploči, monitoru, video kartici, pisačima, zvučnoj kartici, USB uređajima ili mrežnim adapterima.
  • Također možemo izvesti izvješće u XML -u za kasniju upotrebu. Unutrašnja opcija Datoteka > Sažeto izvješće, imat ćemo mogućnost vidjeti sve profile koje smo stvorili za nekoliko računala.

2. WinAudit - Revizija računala


Ovaj alat koji smo vidjeli u vodiču o reviziji računala s WinAuditom vrlo je korisna aplikacija koju samPrikazuje opsežne informacije o operacijskom sustavu, perifernim uređajima i zapisnicima grešaka BIOS -a. WinAudit je mali alat za dubinsko poznavanje sustava i hardvera i softvera, registra i događaja operacijskog sustava, sigurnosti, korisnika.

Na primjer, u stavci Korisničke privilegije možemo vidjeti koja dopuštenja ima korisnik, kada je zadnji put bio prijavljen i koliko se ukupno puta prijavio.

POVEĆAJTE

3. DriveManager - Upravljajte uređajima za pohranu


Ovaj alat omogućuje upravljanje administracijom uređaja za pohranu. Drive Manager besplatan je i prenosiv alat za upravljanje diskovima koji se koristi za pregled informacija o tvrdim diskovima, prijenosnim uređajima poput CD -a / DVD -a, Flash pogona, pa čak i čitačima kartica i pogonima dostupnim preko mreže.

POVEĆAJTE

Možete prikazati i sakriti ili zaključati i otključati pogone, pristupiti alatima poput provjere diska, stvoriti zamjenska slova pogona za datoteke i mape, pretraživati ​​pogone, brzinu diska.

Upravitelj pogona prikazuje veličinu diska, iskorišteni prostor, raspoloživi prostor i postotak slobodnog prostora, s automatskim obnavljanjem svakih 10 sekundi, kao i serijski volumen, identifikaciju proizvoda.

4. TestDisk - oporavak podataka


Ovaj smo alat vidjeli u vodiču za oporavak tvrdog diska s alatima TestDisk i Rstudio. TestDisk je cross-platform i Koristi se za oporavak izgubljenih podataka na particioniranim diskovima i diskovima za pokretanje, USB tvrdom disku ili flash memoriji i memorijskim karticama. TestDisk podržava particije u ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS formatu.

5. FTK Imager - Alati za snimanje slike diska


Forenzički priručnik (FTK Imager) je a skup alata za upravljanje i snimanje slika tvrdog diska, vanjskih uređaja za pohranu i RAM memorije u istraživačke svrhe.

POVEĆAJTE

FTK Imager podržava spremanje slika diska u dd formatu datoteke. Ovaj smo alat vidjeli u Vodiču za analizu slike diska pomoću FTK Imager -a.

6. PC ON / OFF - Snimanje uključivanja i isključivanja računala


Ovaj alat omogućuje nam znati u koje je dane računalo bilo uključeno, kada je bilo isključeno i koliko je sati radilo, ovo se koristi za određivanje kada je računalo bilo uključeno, isključeno ili u stanju pripravnosti. To može biti poslužitelj za praćenje da se računalo ne koristi u neprikladno vrijeme u slučaju tvrtke ili kada se vanjskim tehničarima ili administratorima omogući pristup.

POVEĆAJTE

Ova se provjera može provesti i za računalo na mreži i ima besplatnu verziju koja vam omogućuje gledanje 3 tjedna, plaćena verzija nema ograničenja.

7. WHOIS - Podaci o domeni


WhoisThisDomain je a alat za pretraživanje registracije domene omogućuje nam dobivanje podataka o registriranoj domeni.

Automatski se povezuje s poslužiteljem baze podataka WHOIS i putem naziva domene dohvaća podatke iz WHOIS zapisa domene. Podržava i generičke domene i domene kodova zemalja. Možemo stvoriti popis domena kako bismo sve zajedno provjerili i ažurirali.

8. LANSCAN - Alat za skeniranje mreže


Aplikacija se naziva PortScan i koristi se kao mrežni skener Može brzo provjeriti IP raspon i podatke o računalima na toj mreži. Vrlo je korisno ako želimo provjeriti podatke o računalima na mreži. Vrlo je jednostavno, ali morate znati o mrežama da biste mogli utvrditi koje informacije vidimo.

Skeniranje mreže vrši se dodjelom IP raspona, na primjer 192.168.0.0 do 192.168.0.255, a aplikacija će pretraživati ​​sva računala u toj mreži. PortScan skenira sve dostupne portove i prikazuje pojedinosti kao što su MAC adresa, naziv hosta, otvoreni portovi i HTTP poslužitelji za svaki povezani stroj.

Osim toga, IP adresa ili naziv hosta također se mogu pingati. Također u najnovijoj verziji uključuje alat za ispitivanje brzine mreže za određivanje brzine preuzimanja i učitavanja mrežne veze. Možemo koristiti PortScan za dobivanje informacija o HTTP, FTP, SMTP i SMB uslugama.

Aplikacija je prijenosna pa je možemo samostalno preuzeti i ažurirati s više opcija.

9. HexEdit - Hex Editor i RAM Capture


Ovaj alat je a hex editor, koji vam omogućuje da vidite što se događa u RAM memoriji i u BIOS -u uživo, odnosno s uključenim računalom i radom, služi i za snimanje memorijskih slika i diskova.

POVEĆAJTE

Kada program pokrenemo s izbornika Datoteka, možemo odabrati uređaj za pohranu ili memorijski blok RAM -a ili BIOS -a.

Nakon što odaberemo odakle ćemo dobiti podatke, HEXEDIT će nam pokazati sadržaj koji možemo istražiti. Ako imamo dovoljno znanja, možemo urediti podatke izravno u memoriji.

10. PhotoRec - oporavak slike diska i podataka uređaja


PhotoRec je a Alat za oporavak i arhiviranje podataka na više platformi za tvrde diskove, USB flash pogone i digitalne fotoaparate.

Oporavlja različite formate slika i audio datoteka, formate dokumenata Ofiice i mnoge formate datoteka, uključujući ZIP.

PhotoRec ne pokušava pisati na oštećeni medij koji će se korisnik oporaviti. Oporavljene datoteke umjesto toga se zapisuju u direktorij odabran od korisnika iz kojeg se pokreće PhotoRec. Može se koristiti za oporavak podataka pri obavljanju forenzičke analize, uključujući slike diska ili RAM -a. PhotoRec je savršena dopuna TestDisku.

U vodiču Analiza slike diska pomoću FTK Imagera pokazao sam kako se koristi PhotoREc s dd slikom iz flash memorije. Također možete vidjeti dobar članak koji nam nudi besplatne programe za oporavak izbrisanih datoteka, gdje se spominje PhotoRec.

11. RAM Dump - snimanje RAM memorije u Windwosu


Ovaj odjeljak sadrži a skup alata za hvatanje RAM -a. Alati su Winen i mdd, oni su softver za naredbeni redak koji će nam omogućiti snimanje RAM -a s USB memorije bez administratorskih ovlasti.

Naredba je vrlo jednostavna, na primjer za milijuna označavamo: 

 l aoption -o
I naziv datoteke kamo spremiti sliku: 
 mdd -o dump.dd

U ovom slučaju, u 53 sekunde uspjeli smo napraviti sliku sustava Windows 7 s 2 GB RAM -a.

12. Recuva - alat za oporavak podataka


Recuva je a alat za oporavak datoteka, možemo ga pronaći i u članku Besplatni programi za oporavak izbrisanih datoteka.

Ovaj alat može oporaviti datoteke izbrisane s računala, tvrdog diska, USB pogona, MP3 playera ili čak memorijske kartice s fotoaparata.

Recuva ima čarobnjaka za oporavak koji određuje vrstu datoteke za pretraživanje i time ubrzava oporavak. Da bismo to učinili, pokrećemo čarobnjaka, a zatim moramo izabrati vrstu datoteke koju želite oporaviti, poput dokumenata, fotografija, video zapisa, e -poruka, među ostalim opcijama.

13. USB Zaštita od pisanja - Zaštitite USB uređaje za pohranu


Omogućuje zaštita USB uređaja Kako bi kontrolirao pisanje podataka i prijenose, ovaj će alat spriječiti, na primjer, da slučajno izbrišemo ili upišemo pogonski disk. USB WriteProtector omogućuje vam blokiranje načina otključavanja zaštite od pisanja. Osim toga, može se pokrenuti sa sučelja ili iz naredbenog retka.

Moramo imati na umu da će, kad imamo aktiviranu opciju USB Write ON ili OFF, kada spojimo bilo koji USB pogon, ona automatski prihvatiti odabranu opciju.

14. USB uređaji - Popis USB uređaja


USBDeview je a alat koji prikazuje sve USB uređaje koji su trenutno spojeni na računalo, kao i sve USB uređaje koje ste prethodno koristili. Za svaki USB uređaj prikazuju se vrlo detaljne informacije o imenu uređaja, opisu, vrsti uređaja, serijskom broju, datumu i vremenu dodavanja tog uređaja te ostalim podacima o sustavu, proizvođaču i dobavljaču.

POVEĆAJTE

Također vam omogućuje upravljanje i deinstaliranje USB uređaja koji su prethodno korišteni ili ih ostavljajte kao povijesne, također podržava opciju aktiviranja i deaktiviranja bilo kojeg od USB uređaja. Također se može koristiti za upravljanje umreženim USB -om na udaljenom računalu, sve dok imate dopuštenja administratora sustava i mreže.

15. Windows File Analyzer - Analiza i dekodiranje skrivenih datoteka


Ovaj alat analizira i dekodira neke datoteke radi forenzičke analize. Datoteka Thumbs.db datoteka je koju je stvorio Windows kada se koristi prikaz sličica. To je skrivena datoteka koju korisnici ne vide. To vam omogućuje da dobijete te podatke, iako je slika izbrisana, ova datoteka sadrži podatke za pregled slike.

Također su veze i prečaci manipuliranih datoteka izvor informacija budući da stvaraju povijesni zapis.

Zatim imamo još jedan odjeljak koji se zove Više alata o Više alata koji imaju više aplikacija za pokretanje u prijenosnom načinu rada, neki od njih su:

  • SkypeLogView- za pregled spremljenih Skype razgovora
  • SniffPass: Za špijuniranje određenog IP -a kojem imamo pristup
  • MyLastSearch: Da biste utvrdili koja su posljednja pretraživanja i iz kojeg preglednika
  • Oporavak registra sustava Windows: Dohvaća i informacije iz registra sustava Windows

Također imamo alate sustava Windows za korištenje iz naredbenog retka, kao što su netstat, systeminfo, ipconfig i još mnogo toga.

Za kraj, ostavljamo vam nekoliko veza do vodiča vezanih za revizije:

  • Sustav revizije u CentOS -u 7
  • Linux Audit s Lynisom

Vi ćete pomoći u razvoju web stranice, dijeljenje stranicu sa svojim prijateljima

wave wave wave wave wave

Popularni Postovi

wave
1
post-title
Kako postaviti čip i staviti SIM Xiaomi Redmi 6
2
post-title
Kako ponovno pokrenuti ili isključiti sat pametnog sata Michael Kors
3
post-title
Kako postaviti Adobe Reader PDF kao zadani u sustavu Windows 10
4
post-title
Instalirajte LXQt Ubuntu 21.04 ✔️ DESKTOP
5
post-title
Aplikacije za dijeljenje datoteka između Androida i računala putem WiFi -a

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -