- 1. Информације о систему - Информације о систему
- 2. ВинАудит - Ревизија рачунара
- 3. ДривеМанагер - Управљајте уређајима за складиштење
- 4. ТестДиск - Опоравак података
- 5. ФТК Имагер - Алати за снимање слике диска
- 6. ПЦ ОН / ОФФ - Снимајте укључивање и искључивање рачунара
- 7. ВХОИС - Информације о домену
- 8. ЛАНСЦАН - Алат за скенирање мреже
- 9. ХекЕдит - Хек Едитор и РАМ Цаптуре
- 10. ПхотоРец - Опоравак слике диска и података уређаја
- 11. Думп РАМ - снимање РАМ меморије у Виндвосу
- 12. Рецува - алат за опоравак података
- 13. УСБ Заштита од писања - Заштитите УСБ меморијске уређаје
- 14. УСБ уређаји - Листа УСБ уређаја
- 15. Виндовс Филе Анализер - Анализа и декодирање скривених датотека
Када желимо да извршимо анализу рачунара потребни су нам алати који се могу извршити са било ког уређаја, један од њих је Винтаилор, који је део дистрибуције ЦАИНЕ (Рачунарски подржано истраживачко окружење).
Шта је ЦАИНЕ?ЦАИНЕ је Линук дистрибуција за извођење компјутерска форензичка анализа.
Шта је Винтаилор?Винтаилор је скуп преносивих алата и програми које садржи су бесплатни софтвер. Је веома користи се за извлачење информација из софтвера и хардвера рачунара са оперативним системом Виндовс.
Можемо користити Винтаилор одвојено без инсталирања ЦАИНЕ -а, за ово преузимамо:
ПРЕУЗМИ ВИНТАИЛОР
Када га преузмемо, распакујемо га и можемо га покренути са чврстог диска или са флеш меморије или меморијског уређаја.
Затим ћемо видети скуп дугмади, свако од њих припада алату, у овом водичу ће сваки алат бити описан и како га користити.
1. Информације о систему - Информације о систему
Овај алат за системске информације Кс, омогућава вам да прегледате конфигурацију рачунара, прикупите информације о хардверским и софтверским компонентама, а такође можемо да генеришемо извештаје.
Када покренемо апликацију, видимо две могућности, прва је да алатка претражује евиденције догађаја и директоријуме, а друга је да претражује или чита датотеку дневника коју ћемо означити. За овај водич одабраћемо прву опцију.
Након што је опрема темељно анализирана, добија се свеобухватна листа свих њених компоненти, заједно са њиховим моделом, произвођачем или релевантним детаљима.
Сваку ставку можемо истражити податке као што су:
- Процесор, трговачко име, архитектура, број језгара, фреквенција.
- Можемо добити информације о РАМ -у, матичној плочи, монитору, видео картици, штампачима, звучној картици, УСБ уређајима или мрежним адаптерима.
- Такође можемо да извеземо извештај у КСМЛ -у за каснију употребу. Унутрашња опција Датотека > Резиме извештај, имаћемо опцију да видимо све профиле које смо креирали за неколико рачунара.
2. ВинАудит - Ревизија рачунара
Овај алат који смо видели у водичу о ревизији рачунара помоћу ВинАудит -а је веома корисна апликација коју самПриказује опсежне информације о оперативном систему, периферним уређајима и евиденцијама грешака БИОС -а. ВинАудит је мали алат за дубинско познавање система и хардвера и софтвера, регистра и догађаја оперативног система, безбедности, корисника.
На пример, у ставци Корисничке привилегије можемо видети које дозволе корисник има, када је последњи пут био пријављен и колико се укупно пута пријавио.
ЕНЛАРГЕ
3. ДривеМанагер - Управљајте уређајима за складиштење
Овај алат омогућава вам управљање администрацијом уређаја за складиштење. Дриве Манагер је бесплатан и преносив алат за управљање дисковима који се користи за преглед информација о чврстим дисковима, преносивим уређајима попут ЦД / ДВД -а, флеш дискова, па чак и читачима картица и погонима доступним преко мреже.
ЕНЛАРГЕ
Можете приказати и сакрити или закључати и откључати дискове, приступити алатима попут провере диска, креирати заменска слова за датотеке и фасцикле, претраживати дискове, брзину диска.
Менаџер погона приказује величину диска, искоришћени простор, расположиви простор и проценат слободног простора, са аутоматским обнављањем сваких 10 секунди, као и серијски волумен, идентификацију производа.
4. ТестДиск - Опоравак података
Овај алат смо видели у водичу за опоравак чврстог диска са алаткама ТестДиск и Рстудио. ТестДиск је за више платформи и Користи се за опоравак изгубљених података на партиционираним дисковима и дисковима за покретање, УСБ чврстом диску или флеш меморији и меморијским картицама. ТестДиск подржава партиције у ект2 / ект3 / ект4, ХФС +, ХФСКС, ФАТ16, ФАТ32, ФАТ, НТФС формату.
5. ФТК Имагер - Алати за снимање слике диска
Форензички приручник (ФТК Имагер) је а скуп алата за управљање и снимање слика чврстог диска, спољних уређаја за складиштење и РАМ меморије у истраживачке сврхе.
ЕНЛАРГЕ
ФТК Имагер подржава складиштење слика диска у дд формату датотеке. Овај алат смо видели у чланку Анализирање слике диска помоћу водича ФТК Имагер.
6. ПЦ ОН / ОФФ - Снимајте укључивање и искључивање рачунара
Овај алат омогућава нам да знамо у које је дане рачунар био укључен, када је био искључен и колико сати је радио, ово се користи за утврђивање када је рачунар био укључен, искључен или у режиму приправности. Ово може бити сервер за надгледање да се рачунар не користи у неодговарајуће сате у случају компаније или када је спољним техничарима или администраторима омогућен приступ.
ЕНЛАРГЕ
Ова верификација се такође може извршити за рачунар на мрежи и има бесплатну верзију која вам омогућава да гледате 3 недеље, плаћена верзија нема ограничења.
7. ВХОИС - Информације о домену
ВхоисТхисДомаин је а алатка за претрагу регистрације домена омогућава нам да добијемо информације о регистрованом домену.
Аутоматски се повезује са сервером базе података ВХОИС и преко назива домена преузима податке из ВХОИС записа домена. Подржава и генеричке домене и домене кодова земаља. Можемо да направимо листу домена које ћемо све заједно проверити и ажурирати.
8. ЛАНСЦАН - Алат за скенирање мреже
Апликација се зове ПортСцан и користи се као мрежни скенер Може брзо да провери ИП опсег и информације о рачунарима на тој мрежи. Веома је корисно ако желимо да проверимо информације о рачунарима на мрежи. Врло је једноставно, али морате знати о мрежама да бисте могли утврдити које информације видимо.
Скенирање мреже се врши додељивањем ИП опсега, на пример 192.168.0.0 до 192.168.0.255, а апликација ће претражити све рачунаре у тој мрежи. ПортСцан скенира све доступне портове и приказује детаље као што су МАЦ адреса, име хоста, отворени портови и ХТТП сервери за сваку повезану машину.
Додатно, ИП адреса или име хоста се такође могу пингати. Такође у најновијој верзији садржи алат за тестирање брзине мреже за одређивање брзине преузимања и отпремања мрежне везе. Можемо користити ПортСцан за добијање информација о ХТТП, ФТП, СМТП и СМБ услугама.
Апликација је преносива па је можемо преузети самостално и ажурирати је са више опција.
9. ХекЕдит - Хек Едитор и РАМ Цаптуре
Овај алат је а хек едитор, који вам омогућава да видите шта се дешава у РАМ меморији и у БИОС -у уживо, односно, када је рачунар укључен и ради, служи и за снимање меморијских слика и дискова.
ЕНЛАРГЕ
Када програм покренемо из менија Датотека, можемо изабрати уређај за складиштење или меморијски блок РАМ -а или БИОС -а.
Након што одаберемо одакле ћемо добити податке, ХЕКСЕДИТ ће нам показати садржај који можемо истражити. Ако имамо довољно знања, можемо уредити информације директно у меморији.
10. ПхотоРец - Опоравак слике диска и података уређаја
ПхотоРец је а Алат за опоравак и архивирање података на више платформи за чврсте дискове, УСБ флеш дискове и дигиталне фотоапарате.
Опоравља различите формате слика и аудио датотека, формате докумената Офиице и многе формате датотека, укључујући ЗИП.
ПхотоРец не покушава писати на оштећени медиј који ће се корисник опоравити. Опорављене датотеке се уместо тога записују у директоријум који је изабрао корисник из којег се покреће ПхотоРец. Може се користити за опоравак података приликом обављања форензичке анализе, укључујући слике диска или РАМ -а. ПхотоРец је савршена допуна ТестДиску.
У водичу Анализа слике диска помоћу ФТК Имагера показао сам како се користи ПхотоРЕц са дд сликом из фласх меморије. Такође можете видети добар чланак који нам нуди бесплатне програме за опоравак избрисаних датотека, где се помиње ПхотоРец.
11. Думп РАМ - снимање РАМ меморије у Виндвосу
Овај одељак садржи а скуп алата за хватање РАМ -а. Алати су Винен и мдд, они су софтвер за командну линију који ће нам омогућити снимање РАМ -а са УСБ меморије без администраторских привилегија.
Наредба је врло једноставна, на пример милион указујемо:
л аоптион -оИ назив датотеке где да сачувате слику:
мдд -о думп.дд
У овом случају, за 53 секунде успели смо да направимо слику Виндовс 7 са 2 ГБ РАМ -а.
12. Рецува - алат за опоравак података
Рецува је а алатка за опоравак датотека, можемо га пронаћи и у чланку Бесплатни програми за опоравак избрисаних датотека.
Овај алат може опоравити датотеке које су избрисане са рачунара, чврстог диска, УСБ уређаја, МП3 плејера или чак меморијске картице са камере.
Рецува има чаробњака за опоравак који одређује коју врсту датотеке треба претраживати и на тај начин убрзава опоравак. Да бисмо то урадили, покрећемо чаробњака, а затим морамо изабрати врсту датотеке коју желите да опоравите, попут докумената, фотографија, видео записа, е -порука, између осталих опција.
13. УСБ Заштита од писања - Заштитите УСБ меморијске уређаје
Омогућава заштита УСБ уређаја За контролу писања података и преноса, овај алат ће спречити, на пример, да случајно избришемо или упишемо погонски диск. УСБ ВритеПротецтор вам омогућава да блокирате начин откључавања заштите од писања. Осим тога, може се покренути са интерфејса или из командне линије.
Морамо имати на уму да ће, када имамо укључену опцију УСБ Врите ОН или ОФФ, када спојимо било који УСБ погон, она аутоматски усвојити одабрану опцију.
14. УСБ уређаји - Листа УСБ уређаја
УСБДевиев је а алатка која приказује све УСБ уређаје који су тренутно повезани са рачунаром, као и све УСБ уређаје које сте претходно користили. За сваки УСБ уређај приказују се врло детаљне информације о називу уређаја, опису, врсти уређаја, серијском броју, датуму и времену додавања тог уређаја и другим информацијама о систему, произвођачу и добављачу.
ЕНЛАРГЕ
Такође вам омогућава да управљате и деинсталирате УСБ уређаје који су претходно коришћени или их оставите као историјске, такође подржава опцију активирања и деактивирања било ког од УСБ уређаја. Такође се може користити за управљање умреженим УСБ -ом на удаљеном рачунару, све док имате дозволе администратора система и мреже.
15. Виндовс Филе Анализер - Анализа и декодирање скривених датотека
Овај алат анализира и декодира неке датотеке ради форензичке анализе. Датотека Тхумбс.дб је датотека коју је Виндовс створио када се користи приказ сличица. То је скривена датотека коју корисници не виде. Ово вам омогућава да добијете ове податке, иако је слика избрисана, ова датотека садржи податке за преглед слике.
Такође, везе и пречице манипулисаних датотека извор су информација јер стварају историјски запис.
Затим имамо још један одељак који се зове Више алата о Више алата који имају више апликација за покретање у преносивом режиму, неки од њих су:
- СкипеЛогВиев- да видите сачуване Скипе разговоре
- СниффПасс: Да бисмо шпијунирали кључ одређене ИП адресе којој имамо приступ
- МиЛастСеарцх: Да бисте утврдили које су последње претраге и из ког прегледача
- Опоравак регистра Виндовс: Преузима и информације из Виндовс регистра
Такође имамо системске алате за Виндовс које можемо користити из командне линије, као што су нетстат, системинфо, ипцонфиг и још много тога.
За крај, остављамо вам неколико веза до водича везаних за ревизије:
- Систем ревизије у ЦентОС -у 7
- Ревизија Линука са Линисом
