Wintaylor, bærbart rettsmedisinsk analyseverktøy på Windows

Wintaylor, bærbart rettsmedisinsk analyseverktøy på Windows

Når vi ønsker å utføre en analyse av en datamaskin trenger vi verktøy som kan kjøres fra hvilken som helst enhet, en av dem er Wintaylor, som er en del av distribusjonen CAINE (Computer Aided Investigative Environment).

Hva er CAINE?CAINE er en Linux -distribusjon som skal utføres datamaskinens rettsmedisinske analyse.

Hva er Wintaylor?Wintaylor er et sett med bærbare verktøy, og programmene det inneholder er gratis programvare. Er meget brukes til å trekke ut informasjon fra programvaren og maskinvaren til en datamaskin som kjører Windows -operativsystemet.

Vi kan bruke Wintaylor separat uten å måtte installere CAINE, for dette laster vi ned:

LAST NED WINTAYLOR

Når vi har lastet den ned pakker vi den ut, og vi kan kjøre den fra harddisken eller fra et flash -minne eller en pendrive.

Deretter vil vi se et sett med knapper, hver av dem tilhører et verktøy, i denne opplæringen vil hvert verktøy bli beskrevet og hvordan du bruker det.

1. Systeminfo - Systeminformasjon


Dette System Information X -verktøyet, lar deg inspisere datamaskinens konfigurasjon, samle informasjon om maskinvare- og programvarekomponenter, og vi kan også generere rapporter.

Når vi starter programmet, ser vi to alternativer, det første er for verktøyet for å søke etter hendelseslogger og kataloger, og det andre alternativet er å søke eller lese en loggfil som vi vil indikere. For denne opplæringen velger vi det første alternativet.

Når utstyret er grundig analysert, får du en omfattende liste over alle dets komponenter, sammen med modell, produsent eller relevante detaljer.

Hvert element kan vi utforske dataene som:

  • Prosessoren, handelsnavn, arkitektur, antall kjerner, frekvens.
  • Vi kan skaffe informasjon om RAM, hovedkort, skjerm, skjermkort, skrivere, lydkort, USB -enheter eller nettverkskort.
  • Vi kan også eksportere en rapport i XML for senere bruk. Innvendig alternativ Fil > Sammendrags rapport, vil vi ha muligheten til å se alle profilene vi har opprettet for flere datamaskiner.

2. WinAudit - Datamaskinrevisjon


Dette verktøyet som vi så i opplæringen om revisjon av datamaskiner med WinAudit, er et veldig nyttig program, som jegViser omfattende informasjon om operativsystemet, eksterne enheter og BIOS -feillogger. WinAudit er et lite verktøy for å grundig kjenne systemet både maskinvare og programvare, register og hendelser i operativsystemet, sikkerhet, brukere.

For eksempel i elementet Brukerrettigheter kan vi se hvilke tillatelser en bruker har, når han var logget inn for siste gang og hvor mange ganger han logget inn totalt.

FORSTØRRE

3. DriveManager - Administrer lagringsenheter


Dette verktøyet lar deg administrere administrasjonen av lagringsenheter. Drive Manager er et gratis og bærbart diskhåndteringsverktøy som brukes til å vise informasjon om harddisker, flyttbare enheter som CD / DVD, Flash -stasjoner og til og med kortlesere og stasjoner som er tilgjengelige over nettverket.

FORSTØRRE

Du kan vise og skjule eller låse og låse opp stasjoner, få tilgang til verktøy som disksjekk, lage erstatningsstasjonsbokstaver for filer og mapper, søke stasjoner, diskhastighet.

Drive manager viser diskstørrelsen, den brukte plassen og både tilgjengelig plass og prosentandelen ledig plass, med automatisk fornyelse hvert 10. sekund, i tillegg til serievolum, produktidentifikasjon.

4. TestDisk - Data Recovery


Dette verktøyet er det vi så i opplæringen av harddiskgjenoppretting med TestDisk- og Rstudio -verktøy. TestDisk er på tvers av plattformer og Den brukes til å gjenopprette tapte data på partisjonerte disker og oppstartsdisker, usb -harddisk eller flash -minne og minnekort. TestDisk støtter partisjoner i ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS -format.

5. FTK Imager - Disk Image Capture Tools


Forensic Toolkit (FTK Imager) er en sett med verktøy for å administrere og ta bilder av harddisk, eksterne lagringsenheter og RAM -minne til forskningsformål.

FORSTØRRE

FTK Imager støtter lagring av diskbilder i dd -filformat. Dette verktøyet er det vi så i Analyze disk image with FTK Imager tutorial.

6. PC PÅ / AV - Spill datamaskinen på og av


Dette verktøyet lar oss vite hvilke dager en datamaskin ble slått på, når den ble slått av og hvor mange timer den var i drift, brukes dette til å bestemme når datamaskinen var på, av eller i ventemodus. Dette kan være en server for å overvåke at en datamaskin ikke brukes på upassende timer når det gjelder et selskap eller når eksterne teknikere eller administratorer får tilgang.

FORSTØRRE

Denne verifiseringen kan også utføres for en datamaskin på nettverket, og den har en gratisversjon som lar deg se 3 uker, den betalte versjonen har ingen grenser.

7. WHOIS - Domeneinformasjon


WhoisThisDomain er en søkeverktøy for domeneregistrering lar oss få informasjon om et registrert domene.

Den kobles automatisk til WHOIS -databaseserveren og henter dataene fra domenets WHOIS -post gjennom domenenavnet. Den støtter både generiske domener og landskodedomener. Vi kan lage en liste over domener for å kontrollere alt sammen og holde dem oppdatert.

8. LANSCAN - Nettverksskanneverktøy


Søknaden kalles PortScan og brukes som en nettverksskanner Den kan raskt kontrollere et IP -område og informasjon om datamaskinene i det nettverket. Det er veldig nyttig hvis vi vil sjekke informasjonen til datamaskinene i nettverket. Det er veldig enkelt, men du må vite om nettverk for å kunne avgjøre hvilken informasjon vi ser.

Nettverksskanningen utføres ved å tilordne IP -området, for eksempel 192.168.0.0 til 192.168.0.255, og programmet vil søke på alle datamaskinene i nettverket. PortScan skanner alle tilgjengelige porter og viser detaljer som MAC -adresse, vertsnavn, åpne porter og HTTP -servere for hver tilkoblet maskin.

I tillegg kan en IP -adresse eller vertsnavn også pinges. Også i den nyeste versjonen inneholder den et testverktøy for nettverkshastighet for å bestemme nedlastings- og opplastingshastigheten til nettverkstilkoblingen. Vi kan bruke PortScan til å skaffe informasjon om HTTP-, FTP-, SMTP- og SMB -tjenester.

Programmet er bærbart, slik at vi kan laste det ned uavhengig og mer oppdatert med flere alternativer.

9. HexEdit - Hex Editor og RAM Capture


Dette verktøyet er et hex -redaktør, som lar deg se hva som skjer i RAM -minnet og i BIOS live, det vil si når datamaskinen er slått på og fungerer, tjener den også til å fange minnebilder og disker.

FORSTØRRE

Når vi starter programmet fra Fil -menyen, kan vi velge en lagringsenhet eller en RAM- eller BIOS -minneblokk.

Når vi har valgt hvor vi skal hente dataene, vil HEXEDIT vise oss innholdet vi kan utforske. Hvis vi har nok kunnskap, kan vi redigere informasjon direkte i minnet.

10. PhotoRec - Disk Image og enhetsdatagjenoppretting


PhotoRec er en Verktøy for gjenoppretting og arkivering av flere plattformer for harddisker, USB -flash -stasjoner og digitale kameraer.

Den gjenoppretter forskjellige formater for bilder og lydfiler, Ofiice -dokumentformater og mange filformater, inkludert ZIP.

PhotoRec prøver ikke å skrive til det skadede mediet brukeren er i ferd med å gjenopprette. De gjenopprettede filene skrives i stedet til en brukervalgt katalog som PhotoRec kjøres fra. Den kan brukes til datagjenoppretting når du utfører rettsmedisinsk analyse inkludert disk- eller RAM -bilder. PhotoRec er et perfekt supplement til TestDisk.

I opplæringen Analyser diskbilde med FTK Imager, viste jeg hvordan du bruker PhotoREc med et dd -bilde fra flash -minne. Du kan også se en god artikkel som tilbyr oss gratis programmer for å gjenopprette slettede filer, der PhotoRec er nevnt.

11. RAM Dump - RAM -fangst i Windwos


Denne delen inneholder a sett med verktøy for å fange RAM. Verktøyene er Winen og mdd, de er kommandolinjeprogramvare som lar oss fange RAM fra et USB -minne uten å ha administratorrettigheter.

Kommandoen er veldig enkel for eksempel å million vi angir: 

 l aoption -o
Og et filnavn der du skal lagre bildet: 
 mdd -o dump.dd

I dette tilfellet kunne vi på 53 sekunder lage et bilde av en Windows 7 med 2 GB RAM.

12. Recuva - Data Recovery Tool


Recuva er en verktøy for filgjenoppretting, kan vi også finne det i artikkelen Gratis programmer for å gjenopprette slettede filer.

Dette verktøyet kan gjenopprette filer som er slettet fra en datamaskin, en harddisk, en USB -stasjon, en MP3 -spiller eller til og med et minnekort fra et kamera.

Recuva har en gjenopprettingsveiviser for å spesifisere hvilken type fil du vil søke etter og dermed gjøre gjenopprettingen raskere. For å gjøre dette, starter vi veiviseren, og deretter må vi velge filtypen du vil gjenopprette, for eksempel dokumenter, bilder, videoer, e -post, blant andre alternativer.

13. USB Write Protector - Beskytt USB -lagringsenheter


Tillater beskyttelse for USB -enheter For å kontrollere skriving av data og overføringer, forhindrer dette verktøyet for eksempel at vi sletter eller skriver en pendrive ved et uhell. USB WriteProtector lar deg blokkere hvordan du låser opp skrivebeskyttelse. I tillegg kan den kjøres fra grensesnittet eller fra kommandolinjen.

Vi må huske på at når vi har alternativet USB Write ON eller OFF aktivert, og når vi kobler til en USB -pendrive, vil det automatisk velge det valgte alternativet.

14. USB -enheter - Liste over usb -enheter


USBDeview er en verktøyet som viser alle USB -enhetene som er koblet til datamaskinen, samt alle USB -enhetene du tidligere brukte. For hver USB -enhet vises svært detaljert informasjon om enhetsnavnet, beskrivelsen, enhetstypen, serienummeret, datoen og klokkeslettet da enheten ble lagt til, og annen system-, produsent- og leverandørinformasjon.

FORSTØRRE

Den lar deg også administrere og avinstallere USB -enhetene som tidligere ble brukt eller la dem være historiske, den støtter også muligheten til å aktivere og deaktivere noen av USB -enhetene. Den kan også brukes til å administrere nettverks -USB på en ekstern datamaskin, så lenge du har system- og nettverksadministratortillatelser.

15. Windows File Analyzer - Analyse og dekoding av skjulte filer


Dette verktøyet analyserer og dekoder noen filer for rettsmedisinsk analyse. Thumbs.db -filen er en fil som er opprettet av Windows når miniatyrvisning brukes. Det er en skjult fil som ikke er sett av brukere. Dette lar deg få disse dataene, selv om bildet er slettet, inneholder denne filen data for forhåndsvisningen av bildet.

Også koblingene og snarveiene til manipulerte filer er en kilde til informasjon siden de lager en historisk post.

Så har vi en annen seksjon kalt Flere verktøy o Flere verktøy som har flere programmer å kjøre i bærbar modus, noen av dem er:

  • SkypeLogView- for å se lagrede Skype -samtaler
  • SniffPass: For å spionere nøkkelen til en bestemt IP som vi har tilgang til
  • MyLastSearch: For å avgjøre hvilke som var de siste søkene og fra hvilken nettleser
  • Windows -registergjenoppretting: Henter og informasjon fra Windows -registret

Vi har også Windows -systemverktøyene å bruke fra kommandolinjen, for eksempel netstat, systeminformasjon, ipconfig og mange flere.

For å avslutte, gir vi deg et par lenker til opplæringsprogrammer relatert til revisjoner:

  • Revisjonssystem i CentOS 7
  • Linux -revisjon med Lynis

Du vil bidra til utvikling av området, dele siden med vennene dine

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
Hvordan overføre brukerprofil i Windows 10
2
post-title
▷ Slik aktiverer du vannmodus på Apple Watch Series 6 og Apple Watch SE
3
post-title
Konverter VMware virtuell maskin til VirtualBox og omvendt
4
post-title
▷ Slik slår du av, starter på nytt eller tvinger omstart Xiaomi Mi 10 og Mi 10 Pro
5
post-title
Hva er nytt i iOS 8

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -