- 1. Sistēmas informācija - Sistēmas informācija
- 2. WinAudit - datoru audits
- 3. DriveManager - Pārvaldiet krātuves ierīces
- 4. TestDisk - datu atkopšana
- 5. FTK Imager - diska attēlu uzņemšanas rīki
- 6. PC ON / OFF - Ierakstiet datora ieslēgšanu un izslēgšanu
- 7. WHOIS - domēna informācija
- 8. LANSCAN - tīkla skenēšanas rīks
- 9. HexEdit - Hex redaktors un RAM uztveršana
- 10. PhotoRec - diska attēla un ierīces datu atkopšana
- 11. RAM Dump - RAM atmiņas uztveršana Windwos
- 12. Recuva - datu atkopšanas rīks
- 13. USB rakstīšanas aizsargs - aizsargājiet USB atmiņas ierīces
- 14. USB ierīces - USB ierīču saraksts
- 15. Windows failu analizators - slēpto failu analīze un dekodēšana
Ja mēs vēlamies veikt datora analīzi, mums ir nepieciešami rīki, kurus var izpildīt no jebkuras ierīces, viens no tiem ir Wintaylor, kas ir daļa no izplatīšanas CAINE (datorizēta izmeklēšanas vide).
Kas ir CAINE?CAINE ir Linux izplatīšana, kas jāveic datora kriminālistikas analīze.
Kas ir Wintaylor?Wintaylor ir pārnēsājamu rīku kopums, un tajā ietvertās programmas ir bezmaksas programmatūra. Ir ļoti izmanto, lai iegūtu informāciju no datora, kurā darbojas Windows operētājsistēma, programmatūras un aparatūras.
Mēs varam izmantot Wintaylor atsevišķi, neinstalējot CAINE, tāpēc mēs lejupielādējam:
LEJUPIELĀDĒT WINTAYLOR
Kad esam to lejupielādējuši, mēs to izpakojam un varam palaist no cietā diska vai no zibatmiņas vai pendrive.
Tālāk mēs redzēsim pogu kopumu, katra no tām pieder kādam rīkam, šajā apmācībā tiks aprakstīts katrs rīks un tā lietošana.
1. Sistēmas informācija - Sistēmas informācija
Šis sistēmas informācijas X rīks, ļauj pārbaudīt datora konfigurāciju, apkopot informāciju par aparatūras un programmatūras komponentiem, kā arī varam ģenerēt atskaites.
Uzsākot lietojumprogrammu, mēs redzam divas iespējas: pirmā ir rīka meklēšana notikumu žurnālos un direktorijos, un otra iespēja ir meklēt vai lasīt žurnāla failu, kuru mēs norādīsim. Šajā apmācībā mēs izvēlēsimies pirmo iespēju.
Kad iekārta ir rūpīgi analizēta, tiek iegūts visaptverošs visu tā sastāvdaļu saraksts, kā arī to modelis, ražotājs vai attiecīgā informācija.
Katru vienumu mēs varam izpētīt tādus datus kā:
- Procesors, tirdzniecības nosaukums, arhitektūra, kodolu skaits, biežums.
- Mēs varam iegūt informāciju par RAM, mātesplati, monitoru, videokarti, printeriem, skaņas karti, USB ierīcēm vai tīkla adapteriem.
- Mēs varam arī eksportēt pārskatu XML formātā, lai to varētu izmantot vēlāk. Iekšējais variants Fails > Kopsavilkuma ziņojums, mums būs iespēja redzēt visus profilus, ko esam izveidojuši vairākiem datoriem.
2. WinAudit - datoru audits
Šis rīks, ko mēs redzējām apmācībā par datoru revīziju, izmantojot WinAudit, ir ļoti noderīga lietojumprogrammaParāda plašu informāciju par operētājsistēmu, perifērijas ierīcēm un BIOS kļūdu žurnāliem. WinAudit ir mazs rīks, lai padziļināti zinātu sistēmu gan aparatūru, gan programmatūru, reģistru un operētājsistēmas notikumus, drošību, lietotājus.
Piemēram, vienumā Lietotāja privilēģijas mēs varam redzēt, kādas atļaujas ir lietotājam, kad viņš pēdējo reizi bija pieteicies un cik reizes viņš bija pieteicies.
PALIELINĀT
3. DriveManager - Pārvaldiet krātuves ierīces
Šis rīks ļauj pārvaldīt uzglabāšanas ierīču administrēšanu. Diska pārvaldnieks ir bezmaksas un pārnēsājams diska pārvaldības rīks, ko izmanto, lai skatītu informāciju par cietajiem diskiem, noņemamām ierīcēm, piemēram, CD / DVD, zibatmiņas diskiem un pat jūsu tīklā pieejamajiem karšu lasītājiem un diskdziņiem.
PALIELINĀT
Jūs varat parādīt un paslēpt vai bloķēt un atbloķēt diskus, piekļūt tādiem rīkiem kā diska pārbaude, izveidot failu un mapju nomaiņas burtus, meklēt diskus, diska ātrumu.
Diska pārvaldnieks parāda diska izmēru, izmantoto vietu, kā arī pieejamo vietu un brīvās vietas procentuālo daudzumu ar automātisku atjaunošanu ik pēc 10 sekundēm, kā arī sērijas apjomu, produkta identifikāciju.
4. TestDisk - datu atkopšana
Šo rīku mēs redzējām cietā diska atkopšanas apmācībā ar TestDisk un Rstudio rīkiem. TestDisk ir vairāku platformu un To izmanto zaudēto datu atgūšanai sadalītajos diskos un sāknēšanas diskos, USB cietajā diskā vai zibatmiņā un atmiņas kartēs. TestDisk atbalsta starpsienas ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS formātā.
5. FTK Imager - diska attēlu uzņemšanas rīki
Kriminālistikas rīkkopa (FTK Imager) ir a rīku komplekts, lai pārvaldītu un uzņemtu attēlus cietajā diskā, ārējās atmiņas ierīcēs un RAM atmiņā pētniecības nolūkos.
PALIELINĀT
FTK Imager atbalsta diska attēlu saglabāšanu dd faila formātā. Šo rīku mēs redzējām diska attēla analīzē ar FTK Imager apmācību.
6. PC ON / OFF - Ierakstiet datora ieslēgšanu un izslēgšanu
Šis rīks ļauj mums uzzināt, kurās dienās dators tika ieslēgts, kad tas tika izslēgts un cik stundas tas darbojās, to izmanto, lai noteiktu, kad dators bija ieslēgts, izslēgts vai gaidīšanas režīmā. Tas var būt serveris, lai uzraudzītu, vai dators netiek izmantots nepiemērotā laikā uzņēmuma gadījumā vai kad tiek nodrošināta piekļuve ārējiem tehniķiem vai administratoriem.
PALIELINĀT
Šo verifikāciju var veikt arī tīklā esošam datoram, un tai ir bezmaksas versija, kas ļauj skatīties 3 nedēļas, maksas versijai nav ierobežojumu.
7. WHOIS - domēna informācija
WhoisThisDomain ir a domēna reģistrācijas meklēšanas rīks ļauj mums iegūt informāciju par reģistrētu domēnu.
Tas automātiski izveido savienojumu ar WHOIS datu bāzes serveri un caur domēna nosaukumu izgūst datus no domēna WHOIS ieraksta. Tas atbalsta gan vispārējos domēnus, gan valsts koda domēnus. Mēs varam izveidot domēnu sarakstu, lai visus kopā pārbaudītu un atjauninātu.
8. LANSCAN - tīkla skenēšanas rīks
Lietojumprogrammas nosaukums ir PortScan un izmanto kā tīkla skeneri Tas var ātri pārbaudīt IP diapazonu un informāciju par šī tīkla datoriem. Tas ir ļoti noderīgi, ja vēlamies pārbaudīt tīklā esošo datoru informāciju. Tas ir ļoti vienkārši, taču jums ir jāzina par tīkliem, lai varētu noteikt, kādu informāciju mēs redzam.
Tīkla skenēšana tiek veikta, piešķirot IP diapazonu, piemēram, no 192.168.0.0 līdz 192.168.0.255, un lietojumprogramma meklēs visus šī tīkla datorus. PortScan skenē visus pieejamos portus un parāda informāciju, piemēram, MAC adresi, resursdatora nosaukumu, atvērtos portus un HTTP serverus katrai pievienotajai mašīnai.
Turklāt var piespraust arī IP adresi vai resursdatora nosaukumu. Arī jaunākajā versijā ir iekļauts tīkla ātruma pārbaudes rīks, lai noteiktu tīkla savienojuma lejupielādes un augšupielādes ātrumu. Mēs varam izmantot PortScan, lai iegūtu informāciju par HTTP, FTP, SMTP un SMB pakalpojumiem.
Lietojumprogramma ir pārnēsājama, lai mēs to varētu lejupielādēt neatkarīgi un atjaunināt ar vairākām iespējām.
9. HexEdit - Hex redaktors un RAM uztveršana
Šis rīks ir a hex redaktors, kas ļauj redzēt, kas notiek RAM atmiņā un BIOS tiešraidē, tas ir, ieslēdzot datoru un strādājot, tas kalpo arī atmiņas attēlu un disku uzņemšanai.
PALIELINĀT
Kad mēs sākam programmu no izvēlnes Fails, mēs varam izvēlēties atmiņas ierīci vai RAM vai BIOS atmiņas bloku.
Kad būsim izvēlējušies, no kurienes mēs iegūsim datus, HEXEDIT parādīs mums saturu, ko varam izpētīt. Ja mums ir pietiekami daudz zināšanu, mēs varam rediģēt informāciju tieši atmiņā.
10. PhotoRec - diska attēla un ierīces datu atkopšana
PhotoRec ir Daudzplatformu datu atkopšanas un arhivēšanas rīks cietajiem diskiem, USB zibatmiņām un digitālajām kamerām.
Tas atgūst dažādus attēlu un audio failu formātus, Ofiice dokumentu formātus un daudzus failu formātus, ieskaitot ZIP.
PhotoRec nemēģina rakstīt uz bojāto datu nesēju, kuru lietotājs gatavojas atgūt. Atgūtie faili tiek ierakstīti lietotāja izvēlētajā direktorijā, no kura tiek palaists PhotoRec. To var izmantot datu atgūšanai, veicot tiesu ekspertīzi, ieskaitot diska vai RAM attēlus. PhotoRec ir ideāls TestDisk papildinājums.
Apmācībā Analizēt diska attēlu, izmantojot FTK Imager, es parādīju, kā lietot PhotoREc ar dd attēlu no zibatmiņas. Jūs varat arī redzēt labu rakstu, kas piedāvā mums bezmaksas programmas, lai atgūtu izdzēstos failus, kur ir minēts PhotoRec.
11. RAM Dump - RAM atmiņas uztveršana Windwos
Šajā sadaļā ir a rīku komplekts RAM uztveršanai. Rīki ir Winen un mdd, tā ir komandrindas programmatūra, kas ļaus mums iegūt RAM no USB atmiņas bez administratora tiesībām.
Komanda, piemēram, ir ļoti vienkārša miljons mēs norādām:
l opcija -oUn faila nosaukums, kur saglabāt attēlu:
mdd -o dump.dd
Šajā gadījumā 53 sekundēs mēs varējām izveidot Windows 7 attēlu ar 2 GB RAM.
12. Recuva - datu atkopšanas rīks
Recuva ir a failu atkopšanas rīks, mēs to varam atrast arī rakstā Bezmaksas programmas, lai atgūtu izdzēstos failus.
Šis rīks var no kameras atgūt failus, kas ir izdzēsti no datora, cietā diska, USB diskdziņa, MP3 atskaņotāja vai pat atmiņas kartes.
Recuva ir atkopšanas vednis, lai norādītu, kāda veida failu meklēt un tādējādi paātrinātu atkopšanu. Lai to izdarītu, mēs sākam vedni, un pēc tam mums ir jāizvēlas faila veids, kuru vēlaties atgūt, piemēram, dokumenti, fotoattēli, videoklipi, e -pasti un citas iespējas.
13. USB rakstīšanas aizsargs - aizsargājiet USB atmiņas ierīces
Ļauj aizsardzība USB ierīcēm Lai kontrolētu datu ierakstīšanu un pārsūtīšanu, šis rīks neļaus, piemēram, nejauši izdzēst vai ierakstīt pendrive. USB WriteProtector ļauj bloķēt rakstīšanas aizsardzības atbloķēšanu. Turklāt to var palaist no tā saskarnes vai no komandrindas.
Jāpatur prātā, ka tad, kad ir aktivizēta USB rakstīšanas ieslēgšanas vai izslēgšanas opcija, kad mēs pievienojam jebkuru USB pendrive, tā automātiski pieņems izvēlēto opciju.
14. USB ierīces - USB ierīču saraksts
USBDeview ir rīks, kas parāda visas USB ierīces, kas pašlaik ir pievienotas datoram, kā arī visas iepriekš izmantotās USB ierīces. Par katru USB ierīci tiek parādīta ļoti detalizēta informācija par ierīces nosaukumu, aprakstu, ierīces veidu, sērijas numuru, ierīces pievienošanas datumu un laiku, kā arī citu informāciju par sistēmu, ražotāju un pārdevēju.
PALIELINĀT
Tas arī ļauj pārvaldīt un atinstalēt iepriekš izmantotās USB ierīces vai atstāt tās kā vēsturiskas, kā arī atbalsta iespēju aktivizēt un deaktivizēt kādu no USB ierīcēm. To var izmantot arī, lai pārvaldītu tīklā savienotu USB tālvadības datorā, ja vien jums ir sistēmas un tīkla administratora atļaujas.
15. Windows failu analizators - slēpto failu analīze un dekodēšana
Šis rīks analizē un dekodē dažus failus kriminālistikas analīzei. Fails Thumbs.db ir fails, ko Windows izveidojusi, izmantojot sīktēlu skatu. Tas ir slēpts fails, ko lietotāji neredz. Tas ļauj iegūt šos datus, pat ja attēls ir izdzēsts, šis fails satur attēla priekšskatījuma datus.
Arī manipulēto failu saites un saīsnes ir informācijas avots, jo tās rada vēsturisku ierakstu.
Tad mums ir vēl viena sadaļa ar nosaukumu Vairāk rīku o Citi rīki, kuriem ir vairākas lietojumprogrammas, lai palaistu portatīvajā režīmā, daži no tiem ir:
- SkypeLogView- lai apskatītu saglabātās Skype sarunas
- SniffPass: Izspiegot atslēgu noteiktā IP, kuram mums ir piekļuve
- MyLastSearch: Lai noteiktu, kuri bija pēdējie meklējumi un no kuras pārlūkprogrammas
- Windows reģistra atkopšana: Izgūst un informāciju no Windows reģistra
Mums ir arī Windows sistēmas rīki, ko izmantot no komandrindas, piemēram, netstat, systeminfo, ipconfig un vēl daudz vairāk.
Noslēgumā mēs atstājam jums dažas saites uz apmācībām, kas saistītas ar revīzijām:
- Audita sistēma CentOS 7
- Linux audits ar Lynis