- 1. Systeminfo - Systeminformationen
- 2. WinAudit - Computer-Audit
- 3. DriveManager - Speichergeräte verwalten
- 4. TestDisk - Datenwiederherstellung
- 5. FTK Imager - Tools zur Festplatten-Image-Erfassung
- 6. PC EIN / AUS - Computer beim Ein- und Ausschalten aufzeichnen
- 7. WHOIS - Domain-Informationen
- 8. LANSCAN - Netzwerk-Scan-Tool
- 9. HexEdit - Hex-Editor und RAM-Capture
- 10. PhotoRec - Wiederherstellung von Datenträgerabbildern und Gerätedaten
- 11. RAM Dump - RAM-Speicher-Capture in Windwos
- 12. Recuva - Datenwiederherstellungstool
- 13. USB-Schreibschutz - Schützen Sie USB-Speichergeräte
- 14. USB-Geräte - Liste der USB-Geräte
- 15. Windows File Analyzer - Analyse und Dekodierung versteckter Dateien
Wenn wir eine Analyse eines Computers durchführen möchten, benötigen wir Tools, die von jedem Gerät ausgeführt werden können, eines davon ist Wintaylor, das Teil der Distribution ist CAINE (Computer Aided Investigative Environment).
Was ist KAINE?CAINE ist eine Linux-Distribution zum Ausführen Computerforensische Analyse.
Was ist Wintaylor?Wintaylor ist eine Reihe tragbarer Tools und die darin enthaltenen Programme sind kostenlose Software. Ist sehr Wird verwendet, um Informationen aus der Software und Hardware eines Computers zu extrahieren, auf dem das Windows-Betriebssystem ausgeführt wird.
Wir können Wintaylor separat verwenden, ohne CAINE installieren zu müssen, dafür laden wir:
WINTAYLOR HERUNTERLADEN
Sobald wir es heruntergeladen haben, entpacken wir es und können es von der Festplatte oder von einem Flash-Speicher oder einem USB-Stick ausführen.
Als nächstes sehen wir eine Reihe von Schaltflächen, von denen jede zu einem Werkzeug gehört. In diesem Tutorial wird jedes Werkzeug beschrieben und wie es verwendet wird.
1. Systeminfo - Systeminformationen
Dieses Systeminformations-X-Tool, ermöglicht Ihnen, die Konfiguration des Computers zu überprüfen, Informationen über Hardware- und Softwarekomponenten zu sammeln und wir können auch Berichte erstellen.
Wenn wir die Anwendung starten, sehen wir zwei Optionen, die erste ist für das Tool, Ereignisprotokolle und Verzeichnisse zu durchsuchen, und die andere Option besteht darin, eine Protokolldatei zu suchen oder zu lesen, die wir angeben. Für dieses Tutorial werden wir die erste Option auswählen.
Nach gründlicher Analyse der Ausrüstung erhält man eine umfassende Liste aller Komponenten mit Modell, Hersteller oder relevanten Details.
Jedes Element können wir die Daten untersuchen, wie zum Beispiel:
- Prozessor, Handelsname, Architektur, Anzahl der Kerne, Frequenz.
- Wir können Informationen über RAM, Motherboard, Monitor, Grafikkarte, Drucker, Soundkarte, USB-Geräte oder Netzwerkadapter erhalten.
- Wir können auch einen Bericht in XML zur späteren Verwendung exportieren. Innenoption Datei > Kurzbericht, haben wir die Möglichkeit, alle Profile anzuzeigen, die wir für mehrere Computer erstellt haben.
2. WinAudit - Computer-Audit
Dieses Tool, das wir im Tutorial zum Auditing von Computern mit WinAudit gesehen haben, ist eine sehr nützliche Anwendung, die ichZeigt umfangreiche Informationen zu Betriebssystem, Peripheriegeräten und BIOS-Fehlerprotokollen an. WinAudit ist ein kleines Tool, um das System sowohl Hardware als auch Software, Registrierung und Ereignisse des Betriebssystems, Sicherheit und Benutzer eingehend zu kennen.
Im Element Benutzerberechtigungen können wir beispielsweise sehen, welche Berechtigungen ein Benutzer hat, wann er das letzte Mal angemeldet war und wie oft er sich insgesamt angemeldet hat.
VERGRÖSSERN
3. DriveManager - Speichergeräte verwalten
Dieses Werkzeug ermöglicht Ihnen die Verwaltung der Speichergeräte. Drive Manager ist ein kostenloses und tragbares Datenträgerverwaltungstool, das verwendet wird, um Informationen über Festplatten, Wechseldatenträger wie CD / DVD, Flash-Laufwerke und sogar Ihre über das Netzwerk verfügbaren Kartenleser und Laufwerke anzuzeigen.
VERGRÖSSERN
Sie können Laufwerke ein- und ausblenden oder sperren und entsperren, auf Tools wie Festplattenprüfung zugreifen, Ersatzlaufwerksbuchstaben für Dateien und Ordner erstellen, Laufwerke durchsuchen, Festplattengeschwindigkeit.
Laufwerksmanager zeigt die Festplattengröße, den belegten Speicherplatz und sowohl den verfügbaren Speicherplatz als auch den Prozentsatz des freien Speicherplatzes mit automatischer Erneuerung alle 10 Sekunden sowie das Serienvolumen und die Produktidentifikation an.
4. TestDisk - Datenwiederherstellung
Dieses Tool ist dasjenige, das wir im Tutorial zur Festplattenwiederherstellung mit TestDisk- und Rstudio-Tools gesehen haben. TestDisk ist plattformübergreifend und Es wird verwendet, um verlorene Daten auf partitionierten Festplatten und Boot-Festplatten, USB-Festplatten oder Flash-Speicher und Speicherkarten wiederherzustellen. TestDisk unterstützt Partitionen in den Formaten ext2/ext3/ext4, HFS+, HFSX, FAT16, FAT32, FAT, NTFS.
5. FTK Imager - Tools zur Festplatten-Image-Erfassung
Das Forensic Toolkit (FTK Imager) ist a Tools zum Verwalten und Erfassen von Bildern von Festplatten, externen Speichergeräten und RAM-Speicher für Forschungszwecke.
VERGRÖSSERN
FTK Imager unterstützt das Speichern von Disk-Images im dd-Dateiformat. Dieses Tool ist dasjenige, das wir im Tutorial Disk Image mit FTK Imager analysieren gesehen haben.
6. PC EIN / AUS - Computer beim Ein- und Ausschalten aufzeichnen
Dieses Werkzeug lässt uns wissen, an welchen Tagen ein Computer eingeschaltet war, wann er ausgeschaltet war und wie viele Stunden er in Betrieb war, wird verwendet, um festzustellen, wann der Computer ein- oder ausgeschaltet war oder sich im Standby-Modus befand. Dies kann ein Server sein, um zu überwachen, dass ein Computer im Falle eines Unternehmens nicht zu unangemessenen Zeiten verwendet wird oder wenn externen Technikern oder Administratoren Zugriff gewährt wird.
VERGRÖSSERN
Diese Überprüfung kann auch für einen Computer im Netzwerk durchgeführt werden und es gibt eine kostenlose Version, mit der Sie 3 Wochen lang zuschauen können. Die kostenpflichtige Version hat keine Einschränkungen.
7. WHOIS - Domain-Informationen
WhoisThisDomain ist ein Suchtool für die Domainregistrierung ermöglicht es uns, Informationen über eine registrierte Domain zu erhalten.
Es verbindet sich automatisch mit dem WHOIS-Datenbankserver und ruft über den Domänennamen die Daten aus dem WHOIS-Eintrag der Domäne ab. Es unterstützt sowohl generische Domains als auch Ländercode-Domains. Wir können eine Liste von Domains erstellen, um alle zusammen zu überprüfen und auf dem neuesten Stand zu halten.
8. LANSCAN - Netzwerk-Scan-Tool
Die Anwendung heißt PortScan und als Netzwerkscanner verwendet Es kann schnell einen IP-Bereich und Informationen zu den Computern in diesem Netzwerk überprüfen. Es ist sehr nützlich, wenn wir die Informationen der Computer im Netzwerk überprüfen möchten. Es ist sehr einfach, aber Sie müssen über Netzwerke Bescheid wissen, um feststellen zu können, welche Informationen wir sehen.
Der Netzwerkscan wird durchgeführt, indem der IP-Bereich zugewiesen wird, zum Beispiel 192.168.0.0 bis 192.168.0.255, und die Anwendung durchsucht alle Computer in diesem Netzwerk. PortScan scannt alle verfügbaren Ports und zeigt Details wie MAC-Adresse, Hostname, offene Ports und HTTP-Server für jeden verbundenen Computer an.
Zusätzlich kann auch eine IP-Adresse oder ein Hostname angepingt werden. Auch in der neuesten Version ist ein Tool zum Testen der Netzwerkgeschwindigkeit integriert, um die Download- und Upload-Geschwindigkeit der Netzwerkverbindung zu bestimmen. Wir können PortScan verwenden, um Informationen über HTTP-, FTP-, SMTP- und SMB-Dienste zu erhalten.
Die Anwendung ist portabel, sodass wir sie unabhängig herunterladen und mit mehr Optionen aktualisieren können.
9. HexEdit - Hex-Editor und RAM-Capture
Dieses Werkzeug ist ein Hex-Editor, mit dem Sie live sehen können, was im RAM-Speicher und im BIOS passiert, d.
VERGRÖSSERN
Wenn wir das Programm über das Menü Datei starten, können wir ein Speichergerät oder einen RAM- oder BIOS-Speicherblock auswählen.
Sobald wir ausgewählt haben, woher wir die Daten beziehen, zeigt uns HEXEDIT den Inhalt, den wir erkunden können. Wenn wir genügend Wissen haben, können wir Informationen direkt im Speicher bearbeiten.
10. PhotoRec - Wiederherstellung von Datenträgerabbildern und Gerätedaten
PhotoRec ist ein Plattformübergreifendes Datenwiederherstellungs- und Archivierungstool für Festplatten, USB-Sticks und Digitalkameras.
Es stellt verschiedene Formate von Bildern und Audiodateien, Ofiice-Dokumentformaten und vielen Dateiformaten einschließlich ZIP wieder her.
PhotoRec versucht nicht, auf das beschädigte Medium zu schreiben, das der Benutzer wiederherstellen möchte. Die wiederhergestellten Dateien werden stattdessen in ein vom Benutzer ausgewähltes Verzeichnis geschrieben, von dem aus PhotoRec ausgeführt wird. Es kann zur Datenwiederherstellung verwendet werden, wenn forensische Analysen einschließlich Festplatten- oder RAM-Images durchgeführt werden. PhotoRec ist eine perfekte Ergänzung zu TestDisk.
Im Tutorial Disk-Image mit FTK Imager analysieren habe ich gezeigt, wie man PhotoREc mit einem dd-Image aus dem Flash-Speicher verwendet. Sie können auch einen guten Artikel lesen, der uns kostenlose Programme zum Wiederherstellen gelöschter Dateien anbietet, in denen PhotoRec erwähnt wird.
11. RAM Dump - RAM-Speicher-Capture in Windwos
Dieser Abschnitt enthält a Werkzeugsatz zum Erfassen von RAM. Die Tools sind Winen und mdd, es handelt sich um eine Befehlszeilensoftware, die es uns ermöglicht, den RAM von einem USB-Speicher zu erfassen, ohne Administratorrechte zu haben.
Der Befehl ist sehr einfach, zum Beispiel zu Million wir geben an:
l aoption -oUnd einen Dateinamen, in dem das Bild gespeichert werden soll:
mdd -o dump.dd
In diesem Fall konnten wir in 53 Sekunden ein Image von einem Windows 7 mit 2 GB RAM erstellen.
12. Recuva - Datenwiederherstellungstool
Recuva ist ein Dateiwiederherstellungstool, wir finden es auch im Artikel Kostenlose Programme zum Wiederherstellen gelöschter Dateien.
Dieses Tool kann Dateien wiederherstellen, die von einem Computer, einer Festplatte, einem USB-Laufwerk, einem MP3-Player oder sogar einer Speicherkarte von einer Kamera gelöscht wurden.
Recuva verfügt über einen Wiederherstellungsassistenten, um anzugeben, welcher Dateityp gesucht werden soll, und beschleunigt so die Wiederherstellung. Dazu starten wir den Assistenten und müssen dann den Dateityp auswählen, den Sie wiederherstellen möchten, z. B. Dokumente, Fotos, Videos, E-Mails und andere Optionen.
13. USB-Schreibschutz - Schützen Sie USB-Speichergeräte
Ermöglicht die Schutz für USB-Geräte Um das Schreiben von Daten und Übertragungen zu kontrollieren, verhindert dieses Tool beispielsweise, dass wir versehentlich einen USB-Stick löschen oder schreiben. Mit USB WriteProtector können Sie das Entsperren des Schreibschutzes blockieren. Darüber hinaus kann es über seine Benutzeroberfläche oder über die Befehlszeile ausgeführt werden.
Wir müssen bedenken, dass, wenn wir die Option USB Write ON oder OFF aktiviert haben, beim Anschließen eines USB-Sticks automatisch die ausgewählte Option übernommen wird.
14. USB-Geräte - Liste der USB-Geräte
USBDeview ist ein Tool, das alle derzeit an den Computer angeschlossenen USB-Geräte sowie alle zuvor verwendeten USB-Geräte anzeigt. Für jedes USB-Gerät werden sehr detaillierte Informationen zu Gerätename, Beschreibung, Gerätetyp, Seriennummer, Datum und Uhrzeit des Hinzufügens des Geräts sowie andere System-, Hersteller- und Herstellerinformationen angezeigt.
VERGRÖSSERN
Es ermöglicht Ihnen auch, die zuvor verwendeten USB-Geräte zu verwalten und zu deinstallieren oder sie als historische Geräte zu belassen, es unterstützt auch die Möglichkeit, jedes der USB-Geräte zu aktivieren und zu deaktivieren. Es kann auch verwendet werden, um einen vernetzten USB auf einem Remote-Computer zu verwalten, sofern Sie über die Berechtigungen des System- und Netzwerkadministrators verfügen.
15. Windows File Analyzer - Analyse und Dekodierung versteckter Dateien
Dieses Werkzeug analysiert und dekodiert einige Dateien für die forensische Analyse. Die Datei Thumbs.db ist eine Datei, die von Windows erstellt wird, wenn die Miniaturansicht verwendet wird. Es ist eine versteckte Datei, die von Benutzern nicht gesehen wird. Dadurch können Sie diese Daten erhalten, obwohl das Bild gelöscht wurde, diese Datei enthält Daten für die Vorschau des Bildes.
Auch die Links und Verknüpfungen von manipulierten Dateien sind eine Informationsquelle, da sie einen historischen Datensatz erstellen.
Dann haben wir einen anderen Abschnitt namens Mehr Werkzeuge o Weitere Tools, die mehrere Anwendungen haben, die im tragbaren Modus ausgeführt werden können, einige davon sind:
- SkypeLogView- um gespeicherte Skype-Gespräche anzuzeigen
- Schnüffelpass: Um den Schlüssel einer bestimmten IP auszuspionieren, auf die wir Zugriff haben
- MyLastSearch: Um festzustellen, welche Suchanfragen zuletzt und von welchem Browser aus waren
- Wiederherstellung der Windows-Registrierung: Abrufen und Informationen aus der Windows-Registrierung
Wir haben auch die Windows-Systemtools, die Sie über die Befehlszeile verwenden können, wie z netstat, Systeminformationen, ipconfig und viele mehr.
Zum Abschluss hinterlassen wir Ihnen ein paar Links zu Tutorials zum Thema Audits:
- Audit-System in CentOS 7
- Linux-Audit mit Lynis