Wintaylor, przenośne narzędzie do analizy kryminalistycznej w systemie Windows

Gdy chcemy przeprowadzić analizę komputera, potrzebujemy narzędzi, które można uruchomić z dowolnego urządzenia, jednym z nich jest Wintaylor, który jest częścią dystrybucji CAINE (środowisko śledcze wspomagane komputerowo).

Co to jest KAIN?CAINE to dystrybucja Linuksa do wykonania komputerowa analiza kryminalistyczna.

Czym jest Wintaylor?Wintaylor to zestaw przenośnych narzędzi, a zawarte w nim programy są darmowym oprogramowaniem. Jest bardzo służy do wydobywania informacji z oprogramowania i sprzętu komputera z systemem operacyjnym Windows.

Możemy używać Wintaylor oddzielnie bez konieczności instalowania CAINE, w tym celu pobieramy:

POBIERZ WINTAYLOR

Po pobraniu rozpakujemy go i możemy uruchomić z dysku twardego, pamięci flash lub pendrive'a.

Następnie zobaczymy zestaw przycisków, każdy z nich należy do narzędzia, w tym samouczku każde narzędzie zostanie opisane i jak z niego korzystać.

1. Informacje o systemie - Informacje o systemie

To narzędzie X informacji o systemie, umożliwia wgląd w konfigurację komputera, zbieranie informacji o komponentach sprzętowych i programowych, a także generowanie raportów.

Po uruchomieniu aplikacji widzimy dwie opcje, pierwsza dotyczy narzędzia do przeszukiwania dzienników zdarzeń i katalogów, a druga opcja to przeszukanie lub odczytanie pliku dziennika, który wskażemy. W tym samouczku wybierzemy pierwszą opcję.

Po dokładnym przeanalizowaniu sprzętu otrzymujemy wyczerpującą listę wszystkich jego elementów, wraz z ich modelem, producentem lub istotnymi szczegółami.

Każdy element możemy eksplorować z takimi danymi jak:

• Procesor, nazwa handlowa, architektura, liczba rdzeni, częstotliwość.

• Możemy uzyskać informacje o pamięci RAM, płycie głównej, monitorze, karcie graficznej, drukarkach, karcie dźwiękowej, urządzeniach USB czy kartach sieciowych.

• Możemy również wyeksportować raport w formacie XML do późniejszego wykorzystania. Opcja wewnętrzna Plik > Raport podsumowujący, będziemy mogli zobaczyć wszystkie profile, które utworzyliśmy dla kilku komputerów.

2. WinAudit - Audyt komputerowy

To narzędzie, które widzieliśmy w tutorialu Audyt komputerów za pomocą WinAudit, jest bardzo przydatną aplikacją, którą jaWyświetla obszerne informacje o systemie operacyjnym, urządzeniach peryferyjnych i dziennikach błędów systemu BIOS. WinAudit to małe narzędzie do dogłębnego poznania systemu zarówno sprzętu, jak i oprogramowania, rejestru i zdarzeń systemu operacyjnego, bezpieczeństwa, użytkowników.

Na przykład w elemencie Uprawnienia użytkownika możemy zobaczyć, jakie uprawnienia ma użytkownik, kiedy był ostatnio zalogowany i ile razy się logował.

POWIĘKSZAĆ

3. DriveManager - Zarządzaj urządzeniami pamięci masowej

To narzędzie umożliwia zarządzanie administracją urządzeń pamięci masowej. Drive Manager to bezpłatne i przenośne narzędzie do zarządzania dyskami, które służy do przeglądania informacji o dyskach twardych, urządzeniach wymiennych, takich jak CD / DVD, dyski flash, a nawet czytnikach kart i dyskach dostępnych w sieci.

POWIĘKSZAĆ

Możesz pokazywać i ukrywać lub blokować i odblokowywać dyski, uzyskiwać dostęp do narzędzi, takich jak sprawdzanie dysku, tworzyć zastępcze litery dysków dla plików i folderów, wyszukiwać dyski, szybkość dysku.

Menedżer dysku pokazuje rozmiar dysku, zajęte miejsce, a także dostępne miejsce i procent wolnego miejsca, z automatycznym odnawianiem co 10 sekund, a także wolumin seryjny, identyfikacja produktu.

4. TestDisk - Odzyskiwanie danych

To narzędzie jest tym, które widzieliśmy w samouczku odzyskiwania dysku twardego z narzędziami TestDisk i Rstudio. TestDisk jest wieloplatformowy i Służy do odzyskiwania utraconych danych na dyskach partycjonowanych i dyskach rozruchowych, dysku twardym USB lub pamięci flash i kartach pamięci. TestDisk obsługuje partycje w formacie ext2/ext3/ext4, HFS+, HFSX, FAT16, FAT32, FAT, NTFS.

5. FTK Imager - Narzędzia do przechwytywania obrazu dysku

Forensic Toolkit (FTK Imager) jest zestaw narzędzi do zarządzania i przechwytywania obrazów dysku twardego, zewnętrznych nośników danych i pamięci RAM dla celów naukowych.

POWIĘKSZAĆ

FTK Imager obsługuje przechowywanie obrazów dysków w formacie pliku dd. To narzędzie jest tym, które widzieliśmy w samouczku Analizuj obraz dysku za pomocą FTK Imager.

6. PC WŁ./WYŁ. – Nagrywanie włączania i wyłączania komputera

To narzędzie pozwala nam dowiedzieć się, w które dni komputer był włączony, kiedy był wyłączony i ile godzin pracował, służy do określenia, kiedy komputer był włączony, wyłączony lub w trybie gotowości. Może to być serwer do monitorowania, czy komputer nie jest używany w nieodpowiednich godzinach w przypadku firmy lub gdy dostęp mają zewnętrzni technicy lub administratorzy.

POWIĘKSZAĆ

Tę weryfikację można również przeprowadzić dla komputera w sieci i ma wersję darmową, która pozwala na oglądanie 3 tygodnie, wersja płatna nie ma ograniczeń.

7. WHOIS - Informacje o domenie

WhoisThisDomain to narzędzie do wyszukiwania rejestracji domen pozwala nam uzyskać informacje o zarejestrowanej domenie.

Automatycznie łączy się z serwerem bazy danych WHOIS i poprzez nazwę domeny pobiera dane z rekordu WHOIS domeny. Obsługuje zarówno domeny ogólne, jak i domeny kodowe krajów. Możemy stworzyć listę domen, aby wszystkie razem sprawdzić i aktualizować.

8. LANSCAN - narzędzie do skanowania sieci

Aplikacja nazywa się PortScan i używany jako skaner sieciowy Może szybko sprawdzić zakres adresów IP i informacje o komputerach w tej sieci. Jest to bardzo przydatne, jeśli chcemy sprawdzić informacje o komputerach w sieci. To bardzo proste, ale musisz znać sieci, aby móc określić, jakie informacje widzimy.

Skanowanie sieci odbywa się poprzez przypisanie zakresu IP, na przykład 192.168.0.0 do 192.168.0.255, a aplikacja przeszuka wszystkie komputery w tej sieci. PortScan skanuje wszystkie dostępne porty i wyświetla szczegóły, takie jak adres MAC, nazwa hosta, otwarte porty i serwery HTTP dla każdego podłączonego komputera.

Dodatkowo można pingować adres IP lub nazwę hosta. Również w najnowszej wersji zawiera narzędzie do testowania prędkości sieci w celu określenia prędkości pobierania i wysyłania połączenia sieciowego. Możemy użyć PortScan do uzyskania informacji o usługach HTTP, FTP, SMTP i SMB.

Aplikacja jest przenośna, więc możemy ją pobrać niezależnie i bardziej zaktualizowaną z większą ilością opcji.

9. HexEdit - edytor szesnastkowy i przechwytywanie pamięci RAM

To narzędzie jest edytor heksadecymalny, który pozwala zobaczyć, co dzieje się w pamięci RAM i w BIOS-ie na żywo, czyli przy włączonym i pracującym komputerze, służy również do przechwytywania obrazów pamięci i dysków.

POWIĘKSZAĆ

Gdy uruchamiamy program z menu Plik, możemy wybrać urządzenie pamięci masowej lub blok pamięci RAM lub BIOS.

Po wybraniu miejsca, z którego uzyskamy dane, HEXEDIT pokaże nam zawartość, którą możemy zbadać. Jeśli mamy wystarczającą wiedzę, możemy edytować informacje bezpośrednio w pamięci.

10. PhotoRec - Odzyskiwanie obrazu dysku i danych urządzenia

PhotoRec to Wieloplatformowe narzędzie do odzyskiwania i archiwizacji danych z dysków twardych, dysków flash USB i aparatów cyfrowych.

Odzyskuje różne formaty obrazów i plików audio, formaty dokumentów Ofiice i wiele formatów plików, w tym ZIP.

PhotoRec nie próbuje pisać na uszkodzonym nośniku, który użytkownik zamierza odzyskać. Odzyskane pliki są zamiast tego zapisywane w wybranym przez użytkownika katalogu, z którego uruchamiany jest program PhotoRec. Może być używany do odzyskiwania danych podczas przeprowadzania analizy kryminalistycznej, w tym obrazów dysków lub pamięci RAM. PhotoRec jest doskonałym uzupełnieniem TestDisk.

W samouczku Analizuj obraz dysku za pomocą FTK Imager pokazałem, jak używać PhotoREc z obrazem dd z pamięci flash. Możesz także zobaczyć dobry artykuł, który oferuje nam darmowe programy do odzyskiwania skasowanych plików, w którym wspomina się o PhotoRec.

11. RAM Dump - przechwytywanie pamięci RAM w Windwos

Ta sekcja zawiera zestaw narzędzi do przechwytywania pamięci RAM. Narzędzia to Winen i mdd, to oprogramowanie wiersza poleceń, które pozwoli nam przechwycić pamięć RAM z pamięci USB bez uprawnień administratora.

Polecenie jest bardzo proste, na przykład: milion wskazujemy:

 l opcja -o

Oraz nazwę pliku, w którym ma zostać zapisany obraz:

 mdd -o dump.dd

W tym przypadku w 53 sekundy udało nam się wykonać obraz systemu Windows 7 z 2 GB pamięci RAM.

12. Recuva - narzędzie do odzyskiwania danych

Recuva jest narzędzie do odzyskiwania plików, możemy go również znaleźć w artykule Darmowe programy do odzyskiwania skasowanych plików.

To narzędzie może odzyskać pliki, które zostały usunięte z komputera, dysku twardego, dysku USB, odtwarzacza MP3, a nawet karty pamięci z aparatu.

Recuva ma kreatora odzyskiwania, który określa typ pliku do przeszukania, a tym samym przyspiesza odzyskiwanie. Aby to zrobić, uruchamiamy kreatora, a następnie musimy wybrać typ pliku, który chcesz odzyskać, między innymi dokumenty, zdjęcia, filmy, e-maile.

13. Ochrona przed zapisem USB - ochrona urządzeń pamięci masowej USB

Umożliwia ochrona urządzeń USB Aby kontrolować zapis danych i transfery, narzędzie to zapobiegnie np. przypadkowemu wykasowaniu lub zapisowi pendrive'a. USB WriteProtector umożliwia zablokowanie sposobu odblokowania ochrony przed zapisem. Ponadto można go uruchomić z jego interfejsu lub z wiersza poleceń.

Musimy pamiętać, że gdy mamy aktywną opcję USB Write ON lub OFF, to po podłączeniu dowolnego pendrive'a USB automatycznie przyjmie on wybraną opcję.

14. Urządzenia USB - Lista urządzeń USB

USBDeview to narzędzie, które pokazuje wszystkie urządzenia USB aktualnie podłączone do komputera, a także wszystkie wcześniej używane urządzenia USB. Dla każdego urządzenia USB wyświetlane są bardzo szczegółowe informacje o nazwie urządzenia, opisie, typie urządzenia, numerze seryjnym, dacie i godzinie dodania urządzenia oraz inne informacje o systemie, producencie i dostawcy.

POWIĘKSZAĆ

Pozwala również na zarządzanie i odinstalowywanie urządzeń USB, które były wcześniej używane lub pozostawienie ich jako historycznych, obsługuje również opcję aktywacji i dezaktywacji dowolnego z urządzeń USB. Może być również używany do zarządzania sieciowym USB na zdalnym komputerze, o ile masz uprawnienia administratora systemu i sieci.

15. Analizator plików systemu Windows - analiza i dekodowanie ukrytych plików

To narzędzie analizuje i dekoduje niektóre pliki do analizy kryminalistycznej. Plik Thumbs.db jest plikiem tworzonym przez system Windows, gdy używany jest widok miniatur. Jest to ukryty plik niewidoczny dla użytkowników. Pozwala to na uzyskanie tych danych, mimo że obraz został usunięty, plik ten zawiera dane do podglądu obrazu.

Również linki i skróty manipulowanych plików są źródłem informacji, ponieważ tworzą zapis historyczny.

Następnie mamy kolejną sekcję o nazwie Więcej narzędzi o Więcej narzędzi, które mają wiele aplikacji do uruchomienia w trybie przenośnym, niektóre z nich to:

• Widok dziennika Skype- aby wyświetlić zapisane rozmowy Skype

• SniffPass: Aby szpiegować klucz na określonym IP, do którego mamy dostęp

• Moje ostatnie wyszukiwanie: Aby określić, które były ostatnie wyszukiwania i z której przeglądarki

• Odzyskiwanie rejestru systemu Windows: Pobiera i informacje z rejestru Windows

Mamy również narzędzia systemowe Windows, których można używać z wiersza poleceń, takie jak netstat, Informacja o systemie, ipconfig i wiele więcej.

Na zakończenie pozostawiamy kilka linków do samouczków związanych z audytami:

• System audytu w CentOS 7
• Audyt Linuksa z Lynis