Wintaylor, přenosný nástroj forenzní analýzy ve Windows

Wintaylor, přenosný nástroj forenzní analýzy ve Windows

Když chceme provést analýzu počítače, potřebujeme nástroje, které lze spustit z jakéhokoli zařízení, jedním z nich je Wintaylor, který je součástí distribuce CAINE (vyšetřovací prostředí podporované počítačem).

Co je to CAINE?CAINE je distribuce Linuxu k provádění počítačová forenzní analýza.

Co je Wintaylor?Wintaylor je sada přenosných nástrojů a programy, které obsahuje, jsou svobodný software. Je velmi slouží k extrahování informací ze softwaru a hardwaru počítače s operačním systémem Windows.

Můžeme použít Wintaylor samostatně, aniž bychom museli instalovat CAINE, proto stahujeme:

STÁHNOUT WINTAYLOR

Jakmile jej stáhneme, rozbalíme jej a můžeme jej spustit z pevného disku nebo z flash paměti nebo pendrive.

Dále uvidíme sadu tlačítek, každé z nich patří k nástroji, v tomto tutoriálu bude každý nástroj popsán a jak jej používat.

1. System Info - System Information


Tento nástroj System Information X, umožňuje kontrolovat konfiguraci počítače, shromažďovat informace o hardwarových a softwarových komponentách a také můžeme generovat zprávy.

Když spustíme aplikaci, zobrazí se nám dvě možnosti, první je pro nástroj pro prohledávání protokolů událostí a adresářů a druhá možnost je prohledávat nebo číst soubor protokolu, který označíme. Pro tento tutoriál vybereme první možnost.

Jakmile je zařízení důkladně analyzováno, získá se komplexní seznam všech jeho součástí spolu s jejich modelem, výrobcem nebo příslušnými podrobnostmi.

Každá položka můžeme prozkoumat data, jako jsou:

  • Procesor, obchodní název, architektura, počet jader, frekvence.
  • Můžeme získat informace o paměti RAM, základní desce, monitoru, grafické kartě, tiskárnách, zvukové kartě, zařízeních USB nebo síťových adaptérech.
  • Můžeme také exportovat sestavu v XML pro pozdější použití. Možnost uvnitř Soubor > Souhrnná zpráva, budeme mít možnost zobrazit všechny profily, které jsme vytvořili pro několik počítačů.

2. WinAudit - počítačový audit


Tento nástroj, který jsme viděli v tutoriálu Auditování počítačů pomocí WinAudit, je velmi užitečná aplikace, kterou jsemZobrazuje rozsáhlé informace o operačním systému, periferiích a protokolech chyb systému BIOS. WinAudit je malý nástroj pro důkladnou znalost systému jak hardwaru, tak softwaru, registru a událostí operačního systému, zabezpečení, uživatelů.

Například v položce Oprávnění uživatele vidíme, jaká oprávnění má uživatel, kdy byl přihlášen naposledy a kolikrát se celkem přihlásil.

ZVĚTŠIT

3. DriveManager - Správa úložných zařízení


Tento nástroj umožňuje spravovat správu úložných zařízení. Drive Manager je bezplatný a přenosný nástroj pro správu disků, který se používá k prohlížení informací o pevných discích, vyměnitelných zařízeních, jako jsou disky CD / DVD, jednotky Flash, a dokonce i o čtečkách karet a jednotkách dostupných v síti.

ZVĚTŠIT

Můžete zobrazit a skrýt nebo zamknout a odemknout jednotky, přistupovat k nástrojům, jako je kontrola disku, vytvářet náhradní písmena jednotek pro soubory a složky, vyhledávat jednotky, rychlost disku.

Správce jednotek zobrazuje velikost disku, použité místo a dostupné místo i procento volného místa s automatickým obnovováním každých 10 sekund, stejně jako sériový svazek a identifikaci produktu.

4. TestDisk - Obnova dat


Tento nástroj jsme viděli v kurzu Hard Drive Recovery s nástroji TestDisk a Rstudio. TestDisk je multiplatformní a Slouží k obnově ztracených dat na dělených discích a zaváděcích discích, USB pevném disku nebo flash paměti a paměťových kartách. TestDisk podporuje oddíly ve formátu ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS.

5. FTK Imager - Nástroje pro zachycení obrazu disku


Forenzní sada nástrojů (FTK Imager) je sada nástrojů pro správu a pořizování obrázků na pevný disk, externí úložná zařízení a paměť RAM pro výzkumné účely.

ZVĚTŠIT

FTK Imager podporuje ukládání obrazů disků ve formátu dd. Tento nástroj je ten, který jsme viděli v tutoriálu Analyzovat obraz disku pomocí FTK Imager.

6. ZAPNUTÍ / VYPNUTÍ počítače - záznam zapnutí a vypnutí počítače


Tento nástroj nám umožňuje zjistit, ve kterých dnech byl počítač zapnut, kdy byl vypnut a kolik hodin byl v provozu, toto se používá k určení, kdy byl počítač zapnutý, vypnutý nebo v pohotovostním režimu. Může to být server, který bude monitorovat, že počítač není používán v nevhodnou dobu v případě společnosti nebo když mají přístup externí technici nebo správci.

ZVĚTŠIT

Toto ověření lze provést také pro počítač v síti a má bezplatnou verzi, která vám umožní sledovat 3 týdny, placená verze nemá omezení.

7. WHOIS - informace o doméně


WhoisThisDomain je a nástroj pro vyhledávání domény nám umožňuje získat informace o registrované doméně.

Automaticky se připojí k databázovému serveru WHOIS a prostřednictvím názvu domény načte data ze záznamu WHOIS domény. Podporuje jak obecné domény, tak domény s kódem země. Můžeme vytvořit seznam domén, který všechny zkontroluje a aktualizuje.

8. LANSCAN - Network Scan Tool


Aplikace se nazývá PortScan a používá se jako síťový skener Může rychle zkontrolovat rozsah IP a informace o počítačích v dané síti. Je to velmi užitečné, pokud chceme zkontrolovat informace o počítačích v síti. Je to velmi jednoduché, ale musíte vědět o sítích, abyste mohli určit, jaké informace vidíme.

Prohledávání sítě se provádí přiřazením rozsahu IP, například 192.168.0.0 až 192.168.0.255, a aplikace prohledá všechny počítače v dané síti. PortScan skenuje všechny dostupné porty a zobrazuje podrobnosti, jako je adresa MAC, název hostitele, otevřené porty a servery HTTP pro každý připojený počítač.

Kromě toho lze také pingovat IP adresu nebo název hostitele. Také v nejnovější verzi obsahuje nástroj pro testování rychlosti sítě pro určení rychlosti stahování a odesílání síťového připojení. PortScan můžeme použít k získání informací o službách HTTP, FTP, SMTP a SMB.

Aplikace je přenosná, takže si ji můžeme stáhnout samostatně a aktualizovanější s více možnostmi.

9. HexEdit - Hex Editor a RAM Capture


Tento nástroj je a hex editor, který umožňuje vidět, co se děje v paměti RAM a v BIOSu naživo, to znamená, že když je počítač zapnutý a funguje, slouží také k zachycení obrázků a disků v paměti.

ZVĚTŠIT

Když spustíme program z nabídky Soubor, můžeme zvolit paměťové zařízení nebo blok paměti RAM nebo BIOS.

Jakmile vybereme, odkud získáme data, HEXEDIT nám ukáže obsah, který můžeme prozkoumat. Pokud máme dostatek znalostí, můžeme upravovat informace přímo v paměti.

10. PhotoRec - Obnova obrazu disku a dat zařízení


PhotoRec je a Multiplatformní nástroj pro obnovu a archivaci dat pro pevné disky, USB flash disky a digitální fotoaparáty.

Obnovuje různé formáty obrázků a zvukových souborů, formáty dokumentů Ofiice a mnoho formátů souborů včetně ZIP.

PhotoRec se nepokouší zapsat na poškozená média, která se uživatel chystá obnovit. Obnovené soubory jsou místo toho zapsány do adresáře vybraného uživatelem, ze kterého je spuštěn PhotoRec. Lze jej použít k obnově dat při provádění forenzní analýzy včetně bitových kopií disku nebo paměti RAM. PhotoRec je dokonalým doplňkem TestDisku.

V tutoriálu Analýza obrazu disku pomocí FTK Imager jsem ukázal, jak používat PhotoREc s obrázkem dd z flash paměti. Můžete si také prohlédnout dobrý článek, který nám nabízí bezplatné programy pro obnovu smazaných souborů, kde je zmíněn PhotoRec.

11. RAM Dump - zachycení paměti RAM ve Windwosu


Tato část obsahuje a sada nástrojů pro zachycení RAM. Nástroje jsou Winen a mdd, jsou to software příkazového řádku, který nám umožní zachytit paměť RAM z paměti USB bez oprávnění správce.

Příkaz je například velmi jednoduchý milión označujeme: 

 aoption -o
A název souboru, kam obrázek uložit: 
 mdd -o dump.dd

V tomto případě jsme za 53 sekund dokázali udělat obrázek Windows 7 s 2 GB RAM.

12. Recuva - nástroj pro obnovu dat


Recuva je a nástroj pro obnovu souborů, najdeme ho také v článku Bezplatné programy pro obnovu smazaných souborů.

Tento nástroj dokáže z fotoaparátu obnovit soubory, které byly odstraněny z počítače, pevného disku, jednotky USB, přehrávače MP3 nebo dokonce z paměťové karty.

Recuva má průvodce obnovením, který určuje, jaký typ souboru má být prohledáván, a tím urychlit obnovu. Chcete -li to provést, spustíme průvodce a poté musíme kromě jiných možností vybrat typ souboru, který chcete obnovit, například dokumenty, fotografie, videa, e -maily.

13. USB Write Protector - Chraňte paměťová zařízení USB


Umožňuje ochrana zařízení USB Aby tento nástroj mohl ovládat zápis dat a přenosy, zabrání například tomu, abychom omylem vymazali nebo zapsali pendrive. USB WriteProtector vám umožňuje zablokovat způsob odblokování ochrany proti zápisu. Navíc jej lze spustit z jeho rozhraní nebo z příkazového řádku.

Musíme mít na paměti, že když máme aktivovanou možnost USB zapnout nebo vypnout, když připojíme jakýkoli USB pendrive, automaticky přijme vybranou možnost.

14. Zařízení USB - seznam zařízení USB


USBDeview je a nástroj, který zobrazuje všechna zařízení USB aktuálně připojená k počítači a všechna zařízení USB, která jste dříve používali. U každého zařízení USB jsou zobrazeny velmi podrobné informace o názvu zařízení, popisu, typu zařízení, sériovém čísle, datu a čase přidání zařízení a další informace o systému, výrobci a prodejci.

ZVĚTŠIT

Umožňuje také spravovat a odinstalovat dříve používaná zařízení USB nebo je ponechat jako historická. Podporuje také možnost aktivace a deaktivace jakéhokoli zařízení USB. Lze jej také použít ke správě síťového USB na vzdáleném počítači, pokud máte oprávnění správce systému a sítě.

15. Windows File Analyzer - Analýza a dekódování skrytých souborů


Tento nástroj analyzuje a dekóduje některé soubory pro forenzní analýzu. Soubor Thumbs.db je soubor vytvořený systémem Windows při použití zobrazení miniatur. Jedná se o skrytý soubor, který uživatelé nevidí. To vám umožňuje získat tato data, přestože byl obrázek odstraněn, tento soubor obsahuje data pro náhled obrázku.

Také odkazy a zkratky manipulovaných souborů jsou zdrojem informací, protože vytvářejí historický záznam.

Pak tu máme další sekci s názvem Více nástrojů o Další nástroje, které mají více aplikací ke spuštění v přenosném režimu, některé z nich jsou:

  • SkypeLogView- zobrazit uložené Skype konverzace
  • SniffPass: Špehovat klíč na určité IP, ke které máme přístup
  • MyLastSearch: Chcete -li určit, která byla poslední vyhledávání a ze kterého prohlížeče
  • Obnovení registru Windows: Načte a informace z registru Windows

Máme také systémové nástroje Windows, které lze použít z příkazového řádku, jako například netstat, systémová informace, ipconfig a mnoho dalších.

Na závěr vám ponecháme několik odkazů na výukové programy související s audity:

  • Systém auditu v CentOS 7
  • Linux Audit s Lynisem

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
WhatsApp Beta: Nové funkce emodži a správce skupin
2
post-title
▷ Jak odebrat INPUT LAG PS5 - Rychle a snadno
3
post-title
Příkaz WC pro počítání řádků souborů v Terminálu Mac
4
post-title
Jak zablokovat aplikace Xiaomi Redmi Note 5
5
post-title
▷ Vložte dvojitou obrazovku Samsung Galaxy S21, S21 Plus a S21 Ultra - Rozdělená obrazovka

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -