Wintaylor, bärbart kriminaltekniskt analysverktyg på Windows

Wintaylor, bärbart kriminaltekniskt analysverktyg på Windows

När vi vill göra en analys av en dator behöver vi verktyg som kan köras från vilken enhet som helst, en av dem är Wintaylor, som är en del av distributionen CAINE (datorstödd undersökningsmiljö).

Vad är CAINE?CAINE är en Linux -distribution att utföra dator rättsmedicinsk analys.

Vad är Wintaylor?Wintaylor är en uppsättning bärbara verktyg och programmen den innehåller är gratis programvara. Är väldigt används för att extrahera information från programvaran och hårdvaran på en dator som kör Windows -operativsystemet.

Vi kan använda Wintaylor separat utan att behöva installera CAINE, för detta laddar vi ner:

LADDA NER WINTAYLOR

När vi har laddat ner den packar vi upp den och vi kan köra den från hårddisken eller från ett flashminne eller en pendrive.

Därefter kommer vi att se en uppsättning knappar, var och en tillhör ett verktyg, i denna handledning kommer varje verktyg att beskrivas och hur man använder det.

1. Systeminformation - Systeminformation


Detta System Information X -verktyg, låter dig inspektera datorns konfiguration, samla in information om maskin- och programvarukomponenter, och vi kan också generera rapporter.

När vi startar programmet ser vi två alternativ, det första är för verktyget att söka efter händelseloggar och kataloger och det andra alternativet är att söka eller läsa en loggfil som vi kommer att indikera. För denna handledning väljer vi det första alternativet.

När utrustningen har analyserats noggrant får man en omfattande lista över alla dess komponenter, tillsammans med deras modell, tillverkare eller relevanta detaljer.

Varje objekt kan vi utforska data såsom:

  • Processorn, handelsnamn, arkitektur, antal kärnor, frekvens.
  • Vi kan få information om RAM, moderkort, bildskärm, grafikkort, skrivare, ljudkort, USB -enheter eller nätverkskort.
  • Vi kan också exportera en rapport i XML för senare användning. Invändigt alternativ Fil > Sammanfattande rapport, har vi möjlighet att se alla profiler som vi har skapat för flera datorer.

2. WinAudit - Datorrevision


Detta verktyg som vi såg i självstudien om granskning av datorer med WinAudit, är en mycket användbar applikation, som jagVisar omfattande information om operativsystemet, kringutrustning och BIOS -felloggar. WinAudit är ett litet verktyg för att på djupet känna till systemet både hårdvara och programvara, register och händelser i operativsystemet, säkerhet, användare.

Till exempel i objektet Användarrättigheter kan vi se vilka behörigheter en användare har, när han var inloggad för sista gången och hur många gånger han loggade in totalt.

FÖRSTORA

3. DriveManager - Hantera lagringsenheter


Detta verktyg låter dig hantera administrationen av lagringsenheter. Drive Manager är ett gratis och bärbart diskhanteringsverktyg som används för att visa information om hårddiskar, flyttbara enheter som CD / DVD, Flash -enheter och till och med dina kortläsare och enheter tillgängliga över nätverket.

FÖRSTORA

Du kan visa och dölja eller låsa och låsa upp enheter, komma åt verktyg som diskkontroll, skapa ersättningsbokstäver för filer och mappar, sökningar, diskhastighet.

Drive manager visar diskstorleken, det använda utrymmet, och både det tillgängliga utrymmet och andelen ledigt utrymme, med automatisk förnyelse var 10: e sekund, samt serievolym, produktidentifiering.

4. TestDisk - Dataåterställning


Det här verktyget är det vi såg i självstudien för återställning av hårddiskar med TestDisk- och Rstudio -verktyg. TestDisk är plattformsoberoende och Den används för att återställa förlorad data på partitionerade skivor och startdisketter, usb -hårddisk eller flashminne och minneskort. TestDisk stöder partitioner i ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS -format.

5. FTK Imager - Disk Image Capture Tools


Forensic Toolkit (FTK Imager) är en uppsättning verktyg för att hantera och ta bilder av hårddisk, externa lagringsenheter och RAM -minne för forskningsändamål.

FÖRSTORA

FTK Imager stöder lagring av diskbilder i dd -filformat. Det här verktyget är det vi såg i analysen Disk image with FTK Imager tutorial.

6. PC ON / OFF - Spela in och slå på datorn


Detta verktyg låter oss veta vilka dagar en dator slogs på, när den stängdes av och hur många timmar den var i drift, detta används för att avgöra när datorn var på, av eller i vänteläge. Detta kan vara en server för att övervaka att en dator inte används vid olämpliga timmar för ett företag eller när externa tekniker eller administratörer får åtkomst.

FÖRSTORA

Denna verifiering kan också utföras för en dator i nätverket och den har en gratisversion som låter dig titta på 3 veckor, den betalda versionen har inga gränser.

7. WHOIS - Domäninformation


WhoisThisDomain är en sökverktyg för domänregistrering tillåter oss att få information om en registrerad domän.

Den ansluter automatiskt till WHOIS -databasservern och hämtar data från domänens WHOIS -post genom domännamnet. Den stöder både generiska domäner och landskoddomäner. Vi kan skapa en lista med domäner för att kontrollera alla tillsammans och hålla dem uppdaterade.

8. LANSCAN - Network Scan Tool


Applikationen heter PortScan och används som en nätverksskanner Det kan snabbt kontrollera ett IP -område och information om datorerna i det nätverket. Det är mycket användbart om vi vill kontrollera informationen för datorerna i nätverket. Det är väldigt enkelt men du måste veta om nätverk för att kunna avgöra vilken information vi ser.

Nätverksskanningen utförs genom att tilldela IP -intervallet, till exempel 192.168.0.0 till 192.168.0.255 och programmet söker igenom alla datorer i det nätverket. PortScan skannar alla tillgängliga portar och visar detaljer som MAC -adress, värdnamn, öppna portar och HTTP -servrar för varje ansluten maskin.

Dessutom kan en IP -adress eller värdnamn också pingas. I den senaste versionen har den också ett nätverkshastighetstestverktyg för att bestämma nedladdnings- och uppladdningshastigheten för nätverksanslutningen. Vi kan använda PortScan för att få information om HTTP-, FTP-, SMTP- och SMB -tjänster.

Applikationen är bärbar så vi kan ladda ner den oberoende och mer uppdaterad med fler alternativ.

9. HexEdit - Hex Editor och RAM Capture


Detta verktyg är en hex editor, som låter dig se vad som händer i RAM -minnet och i BIOS live, det vill säga när datorn är påslagen och fungerar, fungerar den också för att fånga minnesbilder och diskar.

FÖRSTORA

När vi startar programmet från Arkiv -menyn kan vi välja en lagringsenhet eller ett RAM- eller BIOS -minnesblock.

När vi har valt varifrån vi kommer att hämta data, kommer HEXEDIT att visa oss innehållet som vi kan utforska. Om vi ​​har tillräckligt med kunskap kan vi redigera information direkt i minnet.

10. PhotoRec - Diskbild och enhetsdataåterställning


PhotoRec är en Verktyg för återställning och arkivering av flera plattformar för hårddiskar, USB -minnen och digitalkameror.

Det återställer olika bildformat och ljudfiler, Ofiice -dokumentformat och många filformat inklusive ZIP.

PhotoRec försöker inte skriva till det skadade mediet som användaren är på väg att återställa. De återställda filerna skrivs istället till en användarvald katalog som PhotoRec körs från. Den kan användas för dataåterställning när rättsmedicinsk analys utförs inklusive disk- eller RAM -bilder. PhotoRec är ett perfekt komplement till TestDisk.

I självstudien Analysera diskbild med FTK Imager visade jag hur jag använder PhotoREc med en dd -bild från flashminne. Du kan också se en bra artikel som erbjuder oss gratisprogram för att återställa raderade filer, där PhotoRec nämns.

11. RAM Dump - RAM -minnesinsamling i Windwos


Detta avsnitt innehåller a uppsättning verktyg för att fånga RAM. Verktygen är Winen och mdd, de är kommandoradsprogramvara som gör att vi kan fånga RAM -minnet från ett USB -minne utan att ha administratörsbehörighet.

Kommandot är mycket enkelt till exempel till miljon vi anger: 

 l aoption -o
Och ett filnamn där bilden ska sparas: 
 mdd -o dump.dd

I det här fallet kunde vi på 53 sekunder göra en bild av en Windows 7 med 2 GB RAM.

12. Recuva - Data Recovery Tool


Recuva är en verktyg för filåterställning, kan vi också hitta det i artikeln Gratis program för att återställa raderade filer.

Detta verktyg kan återställa filer som har raderats från en dator, en hårddisk, en USB -enhet, en MP3 -spelare eller till och med ett minneskort från en kamera.

Recuva har en återställningsguide för att ange vilken typ av fil som ska sökas och på så sätt göra återställningen snabbare. För att göra detta startar vi guiden och sedan måste vi välja vilken typ av fil du vill återställa, till exempel dokument, foton, videor, e -postmeddelanden, bland andra alternativ.

13. USB -skrivskydd - Skydda USB -lagringsenheter


Tillåter skydd för USB -enheter För att kontrollera skrivning av data och överföringar kommer detta verktyg att förhindra att vi till exempel raderar eller skriver en pendrive av misstag. USB WriteProtector låter dig blockera hur du låser upp skrivskydd. Dessutom kan den köras från dess gränssnitt eller från kommandoraden.

Vi måste komma ihåg att när vi har alternativet USB Write ON eller OFF aktiverat, när vi ansluter någon USB -pendrive, kommer det automatiskt att välja det valda alternativet.

14. USB -enheter - Lista över usb -enheter


USBDeview är en verktyg som visar alla USB -enheter som för närvarande är anslutna till datorn, samt alla USB -enheter som du tidigare använde. För varje USB -enhet visas mycket detaljerad information om enhetens namn, beskrivning, enhetstyp, serienummer, datum och tid då enheten lades till och annan information om system, tillverkare och leverantörer.

FÖRSTORA

Det låter dig också hantera och avinstallera USB -enheter som tidigare användes eller lämna dem som historiska, det stöder också möjligheten att aktivera och inaktivera någon av USB -enheterna. Den kan också användas för att hantera nätverksansluten USB på en fjärrdator, så länge du har system- och nätverksadministratörsbehörighet.

15. Windows File Analyzer - Analys och avkodning av dolda filer


Detta verktyg analyserar och avkodar några filer för rättsmedicinsk analys. Thumbs.db -filen är en fil som skapats av Windows när miniatyrvy används. Det är en dold fil som inte ses av användare. Detta gör att du kan få dessa data, även om bilden har raderats, innehåller den här filen data för förhandsgranskning av bilden.

Länkar och genvägar till manipulerade filer är också en informationskälla eftersom de skapar en historisk post.

Sedan har vi ett annat avsnitt som heter Fler verktyg o Fler verktyg som har flera applikationer att köra i bärbart läge, några av dem är:

  • SkypeLogView- för att visa sparade Skype -konversationer
  • SniffPass: Att spionera nyckel på en viss IP som vi har åtkomst till
  • MyLastSearch: För att avgöra vilka som var de senaste sökningarna och från vilken webbläsare
  • Windows -registeråterställning: Hämtar och information från Windows -registret

Vi har också Windows -systemverktyg att använda från kommandoraden, t.ex. netstat, system information, ipconfig och många fler.

Avslutningsvis lämnar vi ett par länkar till självstudier relaterade till revisioner:

  • Revisionssystem i CentOS 7
  • Linux -granskning med Lynis

Du kommer att bidra till utvecklingen av webbplatsen, dela sidan med dina vänner

wave wave wave wave wave

Populära Inlägg

wave
1
post-title
Så här installerar du Grafana på Ubuntu -servern och CentOS 7 Linux
2
post-title
▷ SÄTT MITT ANSIKT på en Instagram FOTO
3
post-title
Mongodb, nosql -databas
4
post-title
Suricata Inträngningsdetekteringssystem
5
post-title
▷ SKAPA DIRECT ACCESS Kali Linux ✔️

Rekommenderas

wave
- Sponsored Ad -

Redaktionen

wave
- Sponsored Ad -