- 1. Systeminformation - Systeminformation
- 2. WinAudit - Computerrevision
- 3. DriveManager - Administrer lagerenheder
- 4. TestDisk - Datagendannelse
- 5. FTK Imager - Disk Image Capture Tools
- 6. PC ON / OFF - Registrer computerens tænd og sluk
- 7. WHOIS - Domæneinformation
- 8. LANSCAN - Værktøj til netværksscanning
- 9. HexEdit - Hex Editor og RAM Capture
- 10. PhotoRec - Diskbillede og enhedsdatagendannelse
- 11. RAM Dump - Optagelse af RAM -hukommelse i Windwos
- 12. Recuva - Data Recovery Tool
- 13. USB -skrivebeskytter - Beskyt USB -lagerenheder
- 14. USB -enheder - Liste over usb -enheder
- 15. Windows File Analyzer - Analyse og dekodning af skjulte filer
Når vi vil foretage en analyse af en computer, har vi brug for værktøjer, der kan eksekveres fra enhver enhed, en af dem er Wintaylor, som er en del af distributionen CAINE (Computer Aided Investigative Environment).
Hvad er CAINE?CAINE er en Linux -distribution, der skal udføres computer retsmedicinsk analyse.
Hvad er Wintaylor?Wintaylor er et sæt bærbare værktøjer, og de programmer, det indeholder, er gratis software. Er meget bruges til at udtrække oplysninger fra software og hardware på en computer, der kører Windows -operativsystemet.
Vi kan bruge Wintaylor separat uden at skulle installere CAINE, til dette downloader vi:
DOWNLOAD WINTAYLOR
Når vi har downloadet den, pakker vi den ud, og vi kan køre den fra harddisken eller fra en flash -hukommelse eller en pendrive.
Dernæst vil vi se et sæt knapper, hver af dem tilhører et værktøj, i denne vejledning vil hvert værktøj blive beskrevet og hvordan man bruger det.
1. Systeminformation - Systeminformation
Dette systeminformation X -værktøj, giver dig mulighed for at inspicere computerens konfiguration, indsamle oplysninger om hardware- og softwarekomponenter, og vi kan også generere rapporter.
Når vi starter applikationen, ser vi to muligheder, den første er for værktøjet til at søge efter hændelseslogfiler og mapper, og den anden mulighed er at søge eller læse en logfil, som vi vil angive. Til denne vejledning vælger vi den første mulighed.
Når udstyret er blevet grundigt analyseret, opnås en omfattende liste over alle dets komponenter sammen med deres model, producent eller relevante detaljer.
Hvert element kan vi udforske dataene såsom:
- Processoren, handelsnavn, arkitektur, antal kerner, frekvens.
- Vi kan få oplysninger om RAM, bundkort, skærm, grafikkort, printere, lydkort, USB -enheder eller netværksadaptere.
- Vi kan også eksportere en rapport i XML til senere brug. Indvendig mulighed Fil > Opsummerende rapport, har vi mulighed for at se alle de profiler, vi har oprettet til flere computere.
2. WinAudit - Computerrevision
Dette værktøj, som vi så i selvstudiet om revision af computere med WinAudit, er et meget nyttigt program, som jegViser omfattende information om operativsystemet, periferiudstyr og BIOS -fejllogfiler. WinAudit er et lille værktøj til i dybden at kende systemet både hardware og software, registreringsdatabasen og hændelser i operativsystemet, sikkerhed, brugere.
For eksempel i elementet Brugerrettigheder kan vi se, hvilke tilladelser en bruger har, hvornår han var logget ind sidste gang, og hvor mange gange han loggede ind i alt.
FORSTØRRE
3. DriveManager - Administrer lagerenheder
Dette værktøj giver dig mulighed for at administrere administrationen af lagerenheder. Drive Manager er et gratis og bærbart diskhåndteringsværktøj, der bruges til at se oplysninger om harddiske, flytbare enheder som cd / dvd, flashdrev og endda dine kortlæsere og drev, der er tilgængelige over netværket.
FORSTØRRE
Du kan vise og skjule eller låse og låse drev op, få adgang til værktøjer som diskcheck, oprette erstatningsdrevbogstaver til filer og mapper, søgedrev, diskhastighed.
Drive manager viser diskstørrelsen, den brugte plads og både den ledige plads og procentdelen af ledig plads, med automatisk fornyelse hvert 10. sekund, samt seriel volumen, produktidentifikation.
4. TestDisk - Datagendannelse
Dette værktøj er det, vi så i harddiskgendannelsesguiden med TestDisk og Rstudio -værktøjer. TestDisk er cross-platform og Det bruges til at gendanne tabte data på partitionerede diske og bootdiske, usb -harddisk eller flash -hukommelse og hukommelseskort. TestDisk understøtter partitioner i ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS -format.
5. FTK Imager - Disk Image Capture Tools
Det retsmedicinske værktøjskit (FTK Imager) er en sæt værktøjer til at styre og optage billeder af harddisk, eksterne lagerenheder og RAM -hukommelse til forskningsformål.
FORSTØRRE
FTK Imager understøtter lagring af diskbilleder i dd -filformat. Dette værktøj er det, vi så i Analyse disk -billedet med FTK Imager -vejledning.
6. PC ON / OFF - Registrer computerens tænd og sluk
Dette værktøj giver os mulighed for at vide, hvilke dage en computer blev tændt, hvornår den var slukket, og hvor mange timer den var i drift, bruges dette til at bestemme, hvornår computeren var tændt, slukket eller i standbytilstand. Dette kan være en server til at overvåge, at en computer ikke bruges på upassende timer i tilfælde af en virksomhed, eller når eksterne teknikere eller administratorer får adgang.
FORSTØRRE
Denne verifikation kan også udføres for en computer på netværket, og den har en gratis version, der giver dig mulighed for at se 3 uger, den betalte version har ingen grænser.
7. WHOIS - Domæneinformation
WhoisThisDomain er en domæneregistreringssøgningsværktøj giver os mulighed for at indhente oplysninger om et registreret domæne.
Den opretter automatisk forbindelse til WHOIS -databaseserveren og henter dataene fra domænens WHOIS -post via domænenavnet. Det understøtter både generiske domæner og landekode domæner. Vi kan oprette en liste over domæner for at kontrollere alt sammen og holde dem opdaterede.
8. LANSCAN - Værktøj til netværksscanning
Applikationen hedder PortScan og bruges som netværksscanner Det kan hurtigt kontrollere et IP -område og oplysninger om computerne på dette netværk. Det er meget nyttigt, hvis vi vil kontrollere oplysningerne fra computerne på netværket. Det er meget enkelt, men du skal vide om netværk for at kunne afgøre, hvilke oplysninger vi ser.
Netværksscanningen udføres ved at tildele IP -området, f.eks. 192.168.0.0 til 192.168.0.255, og applikationen søger på alle computere i det pågældende netværk. PortScan scanner alle tilgængelige porte og viser detaljer såsom MAC -adresse, værtsnavn, åbne porte og HTTP -servere for hver tilsluttet maskine.
Derudover kan en IP -adresse eller et værtsnavn også pinges. Også i den seneste version indeholder den et værktøj til test af netværkshastighed til at bestemme download- og uploadhastigheden for netværksforbindelsen. Vi kan bruge PortScan til at indhente oplysninger om HTTP, FTP, SMTP og SMB -tjenester.
Applikationen er bærbar, så vi kan downloade den uafhængigt og mere opdateret med flere muligheder.
9. HexEdit - Hex Editor og RAM Capture
Dette værktøj er et hex editor, som giver dig mulighed for at se, hvad der sker i RAM -hukommelsen og i BIOS live, det vil sige, når computeren er tændt og fungerer, tjener den også til at fange hukommelsesbilleder og diske.
FORSTØRRE
Når vi starter programmet fra menuen Filer, kan vi vælge en lagerenhed eller en RAM- eller BIOS -hukommelsesblok.
Når vi har valgt, hvorfra vi vil hente dataene, vil HEXEDIT vise os det indhold, vi kan undersøge. Hvis vi har tilstrækkelig viden, kan vi redigere oplysninger direkte i hukommelsen.
10. PhotoRec - Diskbillede og enhedsdatagendannelse
PhotoRec er en Multiplatform -datagendannelses- og arkiveringsværktøj til harddiske, USB -flashdrev og digitale kameraer.
Det gendanner forskellige billedformater og lydfiler, Ofiice -dokumentformater og mange filformater, herunder ZIP.
PhotoRec forsøger ikke at skrive til det beskadigede medie, som brugeren er ved at gendanne. De gendannede filer skrives i stedet til et brugervalgt bibliotek, hvorfra PhotoRec køres. Det kan bruges til datagendannelse, når der udføres retsmedicinsk analyse, herunder disk- eller RAM -billeder. PhotoRec er et perfekt supplement til TestDisk.
I selvstudiet Analyser diskbillede med FTK Imager viste jeg, hvordan man bruger PhotoREc med et dd -billede fra flash -hukommelse. Du kan også se en god artikel, der tilbyder os gratis programmer til at gendanne slettede filer, hvor PhotoRec er nævnt.
11. RAM Dump - Optagelse af RAM -hukommelse i Windwos
Dette afsnit indeholder en sæt værktøjer til at indfange RAM. Værktøjerne er Winen og mdd, de er kommandolinjesoftware, der giver os mulighed for at fange RAM fra en USB -hukommelse uden at have administratorrettigheder.
Kommandoen er meget enkel for eksempel til million vi angiver:
l aoption -oOg et filnavn, hvor billedet skal gemmes:
mdd -o dump.dd
I dette tilfælde kunne vi på 53 sekunder lave et billede af en Windows 7 med 2 GB RAM.
12. Recuva - Data Recovery Tool
Recuva er en værktøj til gendannelse af filer, kan vi også finde det i artiklen Gratis programmer til at gendanne slettede filer.
Dette værktøj kan gendanne filer, der er blevet slettet fra en computer, en harddisk, et USB -drev, en MP3 -afspiller eller endda et hukommelseskort fra et kamera.
Recuva har en gendannelsesguide til at angive hvilken filtype der skal søges og dermed gøre genoprettelsen hurtigere. For at gøre dette starter vi guiden, og derefter skal vi vælge den filtype, du vil gendanne, f.eks. Dokumenter, fotos, videoer, e -mails, blandt andre muligheder.
13. USB -skrivebeskytter - Beskyt USB -lagerenheder
Tillader beskyttelse af USB -enheder For at kontrollere skrivning af data og overførsler forhindrer dette værktøj f.eks., At vi sletter eller skriver et pendrive ved et uheld. USB WriteProtector giver dig mulighed for at blokere, hvordan du låser skrivebeskyttelse op. Derudover kan det køres fra dets interface eller fra kommandolinjen.
Vi skal huske på, at når vi har indstillingen USB Write ON eller OFF aktiveret, når vi tilslutter et USB -pendrive, vil den automatisk vedtage den valgte mulighed.
14. USB -enheder - Liste over usb -enheder
USBDeview er en værktøj, der viser alle de USB -enheder, der aktuelt er tilsluttet computeren, samt alle de USB -enheder, du tidligere har brugt. For hver USB -enhed vises meget detaljerede oplysninger om enhedens navn, beskrivelse, enhedstype, serienummer, dato og klokkeslæt for tilføjelse af enheden og andre oplysninger om system, producent og leverandør.
FORSTØRRE
Det giver dig også mulighed for at administrere og afinstallere de USB -enheder, der tidligere blev brugt eller efterlade dem som historiske, det understøtter også muligheden for at aktivere og deaktivere enhver af USB -enhederne. Det kan også bruges til at styre netværks -USB på en fjerncomputer, så længe du har system- og netværksadministratortilladelser.
15. Windows File Analyzer - Analyse og dekodning af skjulte filer
Dette værktøj analyserer og afkoder nogle filer til retsmedicinsk analyse. Thumbs.db -filen er en fil, der er oprettet af Windows, når der bruges miniaturevisning. Det er en skjult fil, der ikke ses af brugerne. Dette giver dig mulighed for at få disse data, selvom billedet er blevet slettet, indeholder denne fil data til forhåndsvisning af billedet.
Også links og genveje til manipulerede filer er en kilde til information, da de opretter en historisk rekord.
Så har vi et andet afsnit kaldet Flere værktøjer o Flere værktøjer, der har flere applikationer til at køre i bærbar tilstand, nogle af dem er:
- SkypeLogView- for at se gemte Skype -samtaler
- SniffPass: At spionere nøglen på en bestemt IP, som vi har adgang til
- MyLastSearch: For at bestemme hvilke der var de sidste søgninger og fra hvilken browser
- Windows Registry Recovery: Henter og oplysninger fra Windows -registreringsdatabasen
Vi har også Windows -systemværktøjerne til brug fra kommandolinjen som f.eks netstat, systeminfo, ipconfig og mange flere.
Afslutningsvis efterlader vi dig et par links til selvstudier relateret til revisioner:
- Revisionssystem i CentOS 7
- Linux -revision med Lynis
