Когда мы хотим выполнить компьютерный анализ, нам нужны инструменты, которые можно запустить с любого устройства, одним из которых является Wintaylor, входящий в дистрибутив CAINE (Computer Aided INvestigative Environment) .
Что такое CAINE?
CAINE - это дистрибутив Linux для криминалистического анализа компьютера.
Что такое Wintaylor?
Wintaylor - это набор портативных инструментов, а программы, которые он группирует, являются свободными . Он широко используется для извлечения информации о программном и аппаратном обеспечении с компьютера, использующего операционную систему Windows .
Мы можем использовать Wintaylor отдельно без установки CAINE, для этого мы скачиваем:
СКАЧАТЬ ВИНТАЙЛОР
Как только мы загрузили его, мы распаковываем его и можем запустить с жесткого диска, или с флеш-памяти, или с флешки.
Далее мы увидим набор кнопок, каждая из которых относится к инструменту, в этом уроке будет описан каждый инструмент и как его использовать.
1. Информация о системе - информация о системе
Этот инструмент System Information X позволяет вам проверять конфигурацию компьютера, собирать информацию об аппаратных и программных компонентах, а также мы можем создавать отчеты .
Когда мы запускаем приложение, появляются две опции: во-первых, инструмент ищет журналы событий и каталоги, а другой - искать или читать файл журнала, который мы укажем. Для этого урока мы выберем первый вариант.
После тщательного анализа оборудования получается обширный список всех его компонентов, а также его модель, производитель или соответствующие данные.
Каждый элемент может исследовать данные, такие как:
- Процессор, торговое наименование, архитектура, количество ядер, частота.
- Мы можем получить информацию об оперативной памяти, материнской плате, мониторе, видеокарте, принтерах, звуковой карте, USB-устройствах или сетевых адаптерах.
- Мы также можем экспортировать отчет в XML для дальнейшего использования. В опции File > Summary Report у нас будет возможность просмотреть все профили, которые мы создали для нескольких компьютеров.
2. WinAudit - Компьютерный аудит
Этот инструмент, который мы видели в руководстве Computer Audit с WinAudit, является очень полезным приложением, которое показывает обширную информацию об операционной системе, периферийных устройствах и журналах ошибок BIOS . WinAudit - это небольшой инструмент для полного понимания системы, как аппаратного и программного обеспечения, регистрации и событий операционной системы, безопасности, пользователей.
Например, в пункте «Права пользователя» мы видим, какие разрешения имеет пользователь, когда он последний раз входил в систему и сколько раз он вошел в систему.
3. DriveManager - Управление устройствами хранения
Этот инструмент позволяет управлять управлением устройствами хранения . Drive Manager - это бесплатный и портативный инструмент управления дисками, который используется для просмотра информации о жестких дисках, съемных устройствах, таких как CD / DVD, флэш-памяти, и даже о ваших кард-ридерах и дисках, доступных по сети.
Вы можете показать и скрыть или заблокировать и разблокировать диски, получить доступ к таким инструментам, как проверка диска, создать замену букв дисков для файлов и папок, поиск дисков, скорость диска.
Drive Manager показывает размер диска, используемое пространство, а также доступное пространство и процент свободного места с автоматическим обновлением каждые 10 секунд, а также серийный том, идентификация продукта.
4. TestDisk - Восстановление данных
Этот инструмент мы увидели в руководстве по восстановлению жесткого диска с инструментами TestDisk и Rstudio. TestDisk является кроссплатформенным и используется для восстановления потерянных данных на разделах и загрузочных дисках, жестких дисках USB или флэш-памяти и картах памяти . TestDisk поддерживает разделы в форматах ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS.$config[ads_text5] not found
5. FTK Imager - Инструменты для захвата образов дисков
Forensic Toolkit (FTK Imager) - это набор инструментов, который позволяет вам управлять и захватывать образы жесткого диска, внешние устройства хранения и оперативную память для исследовательских целей.
FTK Imager поддерживает хранение образов дисков в формате файлов в формате dd. Этот инструмент - то, что мы видели в уроке Анализ образа диска с помощью FTK Imager.
6. ПК ВКЛ / ВЫКЛ - Журнал включения и выключения компьютера
Этот инструмент позволяет нам знать, в какие дни компьютер был включен, когда он был выключен и сколько часов он работал, он используется для определения, когда компьютер был включен, выключен или находился в режиме ожидания. Это может использоваться для мониторинга того, что компьютер не используется в неподходящее время в случае компании или когда доступ предоставляется внешним техническим специалистам или администраторам.$config[ads_text5] not found
Вы также можете выполнить эту проверку для компьютера в сети, и у него есть бесплатная версия, которая позволяет просматривать 3 недели, что платная версия не имеет ограничений.
7. WHOIS - информация о домене
WhoisThisDomain - это инструмент поиска регистрации домена, который позволяет нам получать информацию о зарегистрированном домене.
Он автоматически подключается к серверу базы данных WHOIS и через доменное имя получает данные из записи WHOIS домена. Он совместим как с общими доменами, так и с доменами с кодом страны. Мы можем создать список доменов, чтобы проверить все вместе и обновить их.
$config[ads_text5] not found8. LANSCAN - Network Scan Tool
Приложение называется PortScan и используется в качестве сетевого сканера, который может быстро проверить диапазон IP-адресов и информацию о компьютерах в этой сети. Это очень полезно, если мы хотим проверить информацию о сетевом оборудовании. Это очень просто, но вы должны знать о сетях, чтобы определить, какую информацию мы видим.
Сканирование сети выполняется с назначенным диапазоном IP-адресов, например, от 192.168.0.0 до 192.168.0.255, и приложение выполнит поиск всех компьютеров в этой сети. PortScan анализирует все доступные порты и показывает подробную информацию, такую как MAC-адрес, имя хоста, открытые порты и HTTP-серверы для каждого подключенного компьютера.
$config[ads_text6] not foundКроме того, вы также можете пропинговать IP-адрес или имя хоста. Также в самой последней версии он включает в себя инструмент тестирования скорости сети для определения скорости загрузки и загрузки сетевого подключения. Мы можем использовать PortScan для получения информации об услугах HTTP, FTP, SMTP и SMB .
Приложение является портативным, поэтому мы можем загрузить его самостоятельно и более обновленное с большим количеством опций.
9. HexEdit - шестнадцатеричный редактор и захват оперативной памяти
Этот инструмент представляет собой шестнадцатеричный редактор, который позволяет вам видеть, что происходит в оперативной памяти и в живом BIOS, то есть, когда компьютер включен и работает, он также служит для захвата изображений из памяти и дисков.
Когда мы запускаем программу из меню «Файл», мы можем выбрать устройство хранения или блок оперативной памяти или BIOS.
После того, как мы выбрали, где мы будем получать данные, HEXEDIT покажет нам контент, который мы можем исследовать. Если у нас достаточно знаний, мы можем редактировать информацию прямо в памяти.
10. PhotoRec - восстановление данных с устройств и образов дисков
PhotoRec - это мультиплатформенный инструмент для восстановления и архивирования данных для жестких дисков, USB-накопителей и цифровых камер .
Восстанавливает различные форматы изображений и аудиофайлов, форматы документов Ofiice и многие форматы файлов, включая ZIP.
PhotoRec не пытается записать на поврежденный носитель, который пользователь собирается восстановить. Восстановленные файлы вместо этого записываются в каталог, выбранный пользователем, из которого запускается PhotoRec. Он может использоваться для восстановления данных, когда выполняется судебный анализ, включая образы дисков или оперативную память. PhotoRec является идеальным дополнением к TestDisk.
В руководстве «Анализ образа диска с помощью FTK Imager» я показал, как использовать PhotoREc с изображением флэш-памяти в формате dd. Вы также можете увидеть хорошую статью, которая предлагает бесплатные программы для восстановления удаленных файлов, где упоминается PhotoRec.
11. RAM Dump - захват оперативной памяти в Windwos
Этот раздел содержит набор инструментов для захвата оперативной памяти . Инструменты Winen и MDD, это программное обеспечение командной строки, которое позволит нам захватывать оперативную память с USB-накопителя, не имея прав администратора.
Команда очень проста, например, для mdd мы указываем:
l aopcion -oИ имя файла, где сохранить изображение:
mdd -o dump.dd
В этом случае за 53 секунды мы можем создать образ Windows 7 с 2 ГБ оперативной памяти.
12. Recuva - инструмент для восстановления данных
Recuva - это инструмент для восстановления файлов, мы также можем найти его в статье Бесплатные программы для восстановления удаленных файлов.
Этот инструмент может восстановить файлы, которые были удалены с компьютера, с жесткого диска, USB-накопителя, MP3-плеера или даже карты памяти с фотоаппарата.
В Recuva есть мастер восстановления, который указывает, какой тип файла искать, и, следовательно, ускоряет восстановление. Для этого мы запустим мастер, а затем мы должны выбрать, какой тип файла вы хотите восстановить, как документы, фотографии, видео, электронные письма, среди других вариантов.
13. USB Write Protector - Защита USB-накопителей
Он позволяет защите USB-устройств контролировать запись данных и передачу, этот инструмент предотвратит, например, то, что мы случайно удалили или записали флешку. USB WriteProtector позволяет заблокировать как разблокировать защиту от записи. Кроме того, он может быть запущен из его интерфейса или из командной строки.
Мы должны помнить, что когда мы активируем опцию USB Write ON или OFF, когда мы подключаем любую флешку, она автоматически принимает выбранную опцию.
14. USB-устройства - список USB-устройств
USBDeview - это инструмент, который показывает все USB-устройства, которые в данный момент подключены к компьютеру, а также все USB-устройства, которые вы использовали ранее . Для каждого USB-устройства отображаются очень подробные сведения об имени, описании, типе устройства, серийном номере, дате и времени добавления устройства, а также другая информация о системе, производителе и поставщике.
Он также позволяет вам управлять и удалять ранее использовавшиеся USB-устройства или оставлять их как устаревшие, а также поддерживает возможность активации и деактивации любого из USB-устройств. Его также можно использовать для управления сетью USB на удаленном компьютере, если у вас есть системный администратор и сетевые разрешения.
15. Windows File Analyzer - Анализ и декодирование скрытых файлов
Этот инструмент анализирует и декодирует некоторые файлы для криминалистического анализа . Файл Thumbs.db - это файл, созданный Windows при использовании эскиза. Это скрытый файл, который не виден пользователям. Это позволяет получить эти данные, даже если изображение было удалено, в этом файле хранятся данные предварительного просмотра изображения.
Также ссылки и ярлыки манипулируемых файлов являются источником информации, поскольку они создают историческую запись.
Затем у нас есть еще один раздел под названием Дополнительные инструменты или Дополнительные инструменты, в котором есть несколько приложений для запуска в переносном режиме, некоторые из них:
- SkypeLogView : для просмотра сохраненных разговоров Skype
- SniffPass : шпионить за конкретным IP, к которому у нас есть доступ
- MyLastSearch : чтобы определить, какие были последние поиски и из какого браузера
- Восстановление реестра Windows : восстановление и получение информации из реестра Windows
У нас также есть системные инструменты Windows для использования из командной строки, такие как netstat, systeminfo, ipconfig и многие другие.
В заключение мы оставляем пару ссылок на учебники, связанные с аудитами:
- Система аудита CentOS 7
- Аудит Linux с помощью Lynis
СТАТЬИ