„Wintaylor“, nešiojamas teismo ekspertizės įrankis sistemoje „Windows“

Kai norime atlikti kompiuterio analizę, mums reikia įrankių, kuriuos galima vykdyti iš bet kurio įrenginio, vienas iš jų yra „Wintaylor“, kuris yra platinimo dalis CAINE (kompiuterinė tyrimo aplinka).

Kas yra CAINE?CAINE yra „Linux“ platinimas, kurį reikia atlikti kompiuterinė teismo ekspertizė.

Kas yra Wintaylor?„Wintaylor“ yra nešiojamų įrankių rinkinys, o jame esančios programos yra nemokama programinė įranga. Labai naudojama informacijai išgauti iš kompiuterio, kuriame veikia „Windows“ operacinė sistema, programinės ir techninės įrangos.

„Wintaylor“ galime naudoti atskirai, neįdiegę CAINE, todėl atsisiųsime:

ATSISIŲSTI WINTAYLOR

Atsisiuntę mes jį išpakuosime ir galėsime paleisti iš standžiojo disko arba iš „flash“ atminties ar „pendrive“.

Toliau pamatysime mygtukų rinkinį, kiekvienas iš jų priklauso įrankiui, šioje pamokoje bus aprašytas kiekvienas įrankis ir kaip juo naudotis.

1. Sistemos informacija - sistemos informacija

Šis sistemos informacijos X įrankis, leidžia jums patikrinti kompiuterio konfigūraciją, rinkti informaciją apie aparatūros ir programinės įrangos komponentus, taip pat galime generuoti ataskaitas.

Kai paleidžiame programą, matome dvi parinktis: pirmoji skirta įrankiui ieškoti įvykių žurnaluose ir kataloguose, o kita galimybė - ieškoti arba perskaityti žurnalo failą, kurį nurodysime. Šioje pamokoje pasirinksime pirmąjį variantą.

Išsamiai išanalizavus įrangą, gaunamas išsamus visų jos sudedamųjų dalių sąrašas kartu su jų modeliu, gamintoju ar atitinkama informacija.

Kiekvieną elementą galime tyrinėti tokiais duomenimis kaip:

• Procesorius, prekės pavadinimas, architektūra, branduolių skaičius, dažnis.

• Galime gauti informacijos apie RAM, pagrindinę plokštę, monitorių, vaizdo plokštę, spausdintuvus, garso plokštę, USB įrenginius ar tinklo adapterius.

• Taip pat galime eksportuoti ataskaitą XML formatu, kad vėliau naudotume. Vidinis variantas Failas > Suvestinė ataskaita, turėsime galimybę pamatyti visus profilius, kuriuos sukūrėme keliems kompiuteriams.

2. „WinAudit“ - kompiuterių auditas

Šis įrankis, kurį matėme pamokoje apie kompiuterių tikrinimą naudojant „WinAudit“, yra labai naudinga programa, kurią ašRodo išsamią informaciją apie operacinę sistemą, išorinius įrenginius ir BIOS klaidų žurnalus. „WinAudit“ yra nedidelis įrankis, leidžiantis išsamiai pažinti sistemą tiek aparatinę, tiek programinę įrangą, registrą ir operacinės sistemos įvykius, saugumą, vartotojus.

Pavyzdžiui, elemente Vartotojo privilegijos matome, kokius leidimus turi vartotojas, kada jis paskutinį kartą buvo prisijungęs ir kiek kartų jis iš viso prisijungė.

DIDELIS

3. „DriveManager“ - tvarkykite saugojimo įrenginius

Šis įrankis leidžia valdyti saugojimo įrenginių administravimą. „Drive Manager“ yra nemokamas ir nešiojamasis disko valdymo įrankis, naudojamas informacijai apie kietus diskus, keičiamus įrenginius, pvz., CD / DVD, „Flash“ įrenginius ir net jūsų tinkle pasiekiamiems kortelių skaitytuvams ir diskams peržiūrėti.

DIDELIS

Galite rodyti ir slėpti arba užrakinti ir atrakinti diskus, pasiekti įrankius, pvz., Disko tikrinimą, sukurti pakaitines failų ir aplankų disko raides, ieškoti diskų, disko spartą.

Disko valdytojas rodo disko dydį, naudojamą erdvę ir turimą vietą bei laisvos vietos procentą, automatiškai atnaujinant kas 10 sekundžių, taip pat serijos apimtį, produkto identifikaciją.

4. „TestDisk“ - duomenų atkūrimas

Šį įrankį matėme „Hard Drive Recovery“ mokymo programoje su „TestDisk“ ir „Rstudio“ įrankiais. „TestDisk“ yra kelių platformų ir Jis naudojamas prarastiems duomenims atkurti suskirstytuose diskuose ir įkrovos diskuose, USB standžiajame diske arba „flash“ atmintyje ir atminties kortelėse. „TestDisk“ palaiko skaidinius ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS formatu.

5. „FTK Imager“ - disko vaizdo fiksavimo įrankiai

Teismo medicinos priemonių rinkinys (FTK Imager) yra įrankių rinkinys, skirtas valdyti ir fiksuoti standžiojo disko, išorinių atminties įrenginių ir RAM atminties vaizdus tyrimų tikslais.

DIDELIS

„FTK Imager“ palaiko disko vaizdų saugojimą dd failo formatu. Šį įrankį matėme „Analizuoti disko vaizdą su„ FTK Imager “pamoka.

6. Kompiuterio įjungimas / išjungimas - įrašykite kompiuterio įjungimą ir išjungimą

Šis įrankis leidžia mums žinoti, kuriomis dienomis kompiuteris buvo įjungtas, kada jis buvo išjungtas ir kiek valandų jis veikė, tai naudojama nustatyti, kada kompiuteris buvo įjungtas, išjungtas arba veikia laukimo režimu. Tai gali būti serveris, skirtas stebėti, ar kompiuteris nenaudojamas netinkamomis valandomis įmonės atveju arba kai prieiga suteikiama išorės technikams ar administratoriams.

DIDELIS

Šis patikrinimas taip pat gali būti atliktas tinkle esančiam kompiuteriui ir turi nemokamą versiją, leidžiančią žiūrėti 3 savaites, mokama versija neribojama.

7. WHOIS - domeno informacija

„WhoisThisDomain“ yra domeno registracijos paieškos įrankis leidžia mums gauti informacijos apie registruotą domeną.

Jis automatiškai prisijungia prie WHOIS duomenų bazės serverio ir per domeno pavadinimą nuskaito duomenis iš domeno WHOIS įrašo. Jis palaiko tiek bendrus, tiek šalies kodo domenus. Galime sukurti domenų sąrašą, kad visi kartu patikrintume ir nuolat juos atnaujintume.

8. LANSCAN - tinklo nuskaitymo įrankis

Programa vadinama „PortScan“ ir naudojamas kaip tinklo skaitytuvas Jis gali greitai patikrinti IP diapazoną ir informaciją apie to tinklo kompiuterius. Tai labai naudinga, jei norime patikrinti tinklo kompiuterių informaciją. Tai labai paprasta, tačiau jūs turite žinoti apie tinklus, kad galėtumėte nustatyti, kokią informaciją matome.

Tinklo nuskaitymas atliekamas priskiriant IP diapazoną, pavyzdžiui, nuo 192.168.0.0 iki 192.168.0.255, ir programa ieškos visuose to tinklo kompiuteriuose. „PortScan“ nuskaito visus galimus prievadus ir rodo išsamią informaciją, pvz., kiekvienos prijungtos mašinos MAC adresą, pagrindinio kompiuterio pavadinimą, atidarytus prievadus ir HTTP serverius.

Be to, IP adresas arba pagrindinio kompiuterio pavadinimas taip pat gali būti prispaustas. Taip pat naujausioje versijoje yra tinklo greičio bandymo įrankis, skirtas nustatyti tinklo ryšio atsisiuntimo ir įkėlimo greitį. Naudodami „PortScan“ galime gauti informacijos apie HTTP, FTP, SMTP ir SMB paslaugas.

Programa yra nešiojama, todėl galime ją atsisiųsti savarankiškai ir atnaujinti turėdami daugiau galimybių.

9. „HexEdit“ - „Hex“ redaktorius ir „RAM Capture“

Šis įrankis yra a šešiakampis redaktorius, kuris leidžia pamatyti, kas vyksta RAM atmintyje ir BIOS tiesiogiai, tai yra, kai kompiuteris įjungtas ir veikia, jis taip pat skirtas atminties vaizdams ir diskams fiksuoti.

DIDELIS

Kai paleisime programą iš meniu Failas, galime pasirinkti saugojimo įrenginį arba RAM arba BIOS atminties bloką.

Kai pasirinksime, iš kur gausime duomenis, HEXEDIT parodys turinį, kurį galime ištirti. Jei turime pakankamai žinių, galime redaguoti informaciją tiesiogiai atmintyje.

10. „PhotoRec“ - disko vaizdo ir įrenginio duomenų atkūrimas

„PhotoRec“ yra Kelių platformų duomenų atkūrimo ir archyvavimo įrankis standžiajam diskui, USB atmintinei ir skaitmeniniams fotoaparatams.

Jis atkuria įvairių formatų vaizdus ir garso failus, „Ofiice“ dokumentų formatus ir daugelį failų formatų, įskaitant ZIP.

„PhotoRec“ nebando rašyti į pažeistą laikmeną, kurią vartotojas ketina atkurti. Atkurti failai įrašomi į vartotojo pasirinktą katalogą, iš kurio paleidžiamas „PhotoRec“. Jis gali būti naudojamas duomenims atkurti atliekant teismo ekspertizę, įskaitant disko ar RAM vaizdus. „PhotoRec“ yra puikus „TestDisk“ priedas.

Pamoka „Analizuoti disko vaizdą naudojant„ FTK Imager “parodžiau, kaip naudoti„ PhotoREc “su dd vaizdu iš„ flash “atminties. Taip pat galite pamatyti gerą straipsnį, kuriame siūlomos nemokamos programos, skirtos atkurti ištrintus failus, kur minima „PhotoRec“.

11. RAM išmetimas - RAM atminties fiksavimas „Windwos“

Šiame skyriuje yra a įrankių rinkinys RAM fiksavimui. Įrankiai yra „Winen“ ir „mdd“, jie yra komandinės eilutės programinė įranga, kuri leis mums užfiksuoti RAM iš USB atminties neturint administratoriaus teisių.

Pavyzdžiui, komanda yra labai paprasta milijonų mes nurodome:

 l pasirinkimas -o

Ir failo pavadinimas, kur išsaugoti vaizdą:

 mdd -o sąvartynas.dd

Šiuo atveju per 53 sekundes mums pavyko sukurti „Windows 7“ vaizdą su 2 GB RAM.

12. „Recuva“ - duomenų atkūrimo įrankis

Recuva yra a failų atkūrimo įrankis, taip pat galime rasti straipsnyje Nemokamos programos, skirtos atkurti ištrintus failus.

Šis įrankis gali atkurti failus, kurie buvo ištrinti iš kompiuterio, standžiojo disko, USB įrenginio, MP3 grotuvo ar net atminties kortelės iš fotoaparato.

„Recuva“ turi atkūrimo vedlį, kuris nurodo, kokio tipo failo ieškoti ir taip pagreitins atkūrimą. Norėdami tai padaryti, mes paleidžiame vedlį ir tada turime pasirinkti failo tipą, kurį norite atkurti, pavyzdžiui, dokumentus, nuotraukas, vaizdo įrašus, el.

13. USB rašymo apsauga - apsaugokite USB atminties įrenginius

Leidžia USB įrenginių apsauga Šis įrankis, skirtas kontroliuoti duomenų rašymą ir perdavimą, neleis, pavyzdžiui, atsitiktinai ištrinti ar įrašyti įrašo. USB WriteProtector leidžia blokuoti apsaugą nuo rašymo. Be to, jį galima paleisti iš savo sąsajos arba iš komandinės eilutės.

Turime turėti omenyje, kad kai įjungsime USB įrašymo įjungimo arba išjungimo parinktį, kai prijungsime bet kurį USB jungtį, ji automatiškai priims pasirinktą parinktį.

14. USB įrenginiai - USB įrenginių sąrašas

„USBDeview“ yra įrankis, kuriame rodomi visi šiuo metu prie kompiuterio prijungti USB įrenginiai, taip pat visi anksčiau naudoti USB įrenginiai. Kiekviename USB įrenginyje rodoma labai išsami informacija apie įrenginio pavadinimą, aprašymą, įrenginio tipą, serijos numerį, įrenginio pridėjimo datą ir laiką bei kitą informaciją apie sistemą, gamintoją ir pardavėją.

DIDELIS

Tai taip pat leidžia valdyti ir pašalinti anksčiau naudotus USB įrenginius arba palikti juos istorinius, taip pat palaiko bet kurio USB įrenginio įjungimo ir išjungimo galimybę. Jis taip pat gali būti naudojamas valdyti nuotoliniame kompiuteryje esantį USB, jei turite sistemos ir tinklo administratoriaus leidimus.

15. „Windows“ failų analizatorius - paslėptų failų analizė ir dekodavimas

Šis įrankis analizuoja ir dekoduoja kai kuriuos failus teismo analizei. „Thumbs.db“ failas yra failas, sukurtas „Windows“, kai naudojamas miniatiūrų vaizdas. Tai paslėptas failas, kurio nemato vartotojai. Tai leidžia jums gauti šiuos duomenis, net jei vaizdas buvo ištrintas, šiame faile yra duomenų, skirtų vaizdo peržiūrai.

Taip pat manipuliuotų failų nuorodos ir nuorodos yra informacijos šaltinis, nes jos sukuria istorinį įrašą.

Tada mes turime kitą skyrių, pavadintą Daugiau įrankių o Daugiau įrankių, turinčių kelias programas nešiojamajame režime, kai kurie iš jų yra:

• „SkypeLogView“- peržiūrėti išsaugotus „Skype“ pokalbius

• SniffPass: Šnipinėti raktą tam tikram IP, prie kurio turime prieigą

• MyLastSearch: Nustatyti, kurios buvo paskutinės paieškos ir iš kurios naršyklės

• „Windows“ registro atkūrimas: Nuskaito ir informaciją iš „Windows“ registro

Mes taip pat turime „Windows“ sistemos įrankius, kuriuos galime naudoti iš komandinės eilutės, pvz netstat, systeminfo, ipconfig ir daug daugiau.

Baigdami paliekame jums keletą nuorodų į pamokas, susijusias su auditu:

• „CentOS 7“ audito sistema
• „Linux“ auditas su „Lynis“