Wintaylor, instrument portabil de analiză criminalistică pe Windows

Când vrem să efectuăm o analiză a unui computer, avem nevoie de instrumente care pot fi executate de pe orice dispozitiv, unul dintre acestea este Wintaylor, care face parte din distribuție CAINE (Computer Aided INvestigative Environment).

Ce este CAINE?CAINE este o distribuție Linux de realizat analiza criminalistica computerizata.

Ce este Wintaylor?Wintaylor este un set de instrumente portabile și programele pe care le conține sunt software gratuit. E foarte folosit pentru a extrage informații din software-ul și hardware-ul unui computer care rulează sistemul de operare Windows.

Putem folosi Wintaylor separat fără a fi nevoie să instalăm CAINE, pentru aceasta descărcăm:

DESCĂRCAȚI WINTAYLOR

Odată ce l-am descărcat îl dezarhivăm și îl putem rula de pe hard disk sau dintr-o memorie flash sau un pendrive.

În continuare vom vedea un set de butoane, fiecare dintre ele aparținând unui instrument, în acest tutorial fiecare instrument va fi descris și cum să îl utilizați.

1. Informații sistem - Informații sistem

Acest instrument System Information X, vă permite să inspectați configurația computerului, să colectați informații despre componentele hardware și software și putem genera și rapoarte.

Când pornim aplicația, vedem două opțiuni, prima este ca instrumentul să caute jurnalele de evenimente și directoare și cealaltă opțiune este să căutați sau să citiți un fișier jurnal pe care îl vom indica. Pentru acest tutorial vom selecta prima opțiune.

Odată ce echipamentul a fost analizat cu atenție, se obține o listă cuprinzătoare a tuturor componentelor sale, împreună cu modelul, producătorul sau detaliile relevante.

Fiecare articol îl putem explora, cum ar fi:

• Procesorul, denumirea comercială, arhitectura, numărul de nuclee, frecvența.

• Putem obține informații despre RAM, placă de bază, monitor, placă video, imprimante, placă de sunet, dispozitive USB sau adaptoare de rețea.

• De asemenea, putem exporta un raport în XML pentru utilizare ulterioară. Opțiunea Inside Fişier > Raport sumar, vom avea opțiunea de a vedea toate profilurile pe care le-am creat pentru mai multe computere.

2. WinAudit - Audit computerizat

Acest instrument pe care l-am văzut în tutorialul privind Auditarea computerelor cu WinAudit, este o aplicație foarte utilă, pe care euAfișează informații extinse despre sistemul de operare, periferice și jurnalele de erori ale BIOS-ului. WinAudit este un mic instrument pentru a cunoaște în detaliu sistemul atât hardware și software, registru și evenimente ale sistemului de operare, securitate, utilizatori.

De exemplu, în elementul Privilegiile utilizatorului, putem vedea ce permisiuni are un utilizator, când a fost conectat pentru ultima dată și de câte ori s-a conectat în total.

MARI

3. DriveManager - Gestionați dispozitivele de stocare

Acest instrument vă permite să gestionați administrarea dispozitivelor de stocare. Managerul de unități este un instrument de gestionare a discurilor gratuit și portabil care este utilizat pentru a vizualiza informații despre hard disk-uri, dispozitive amovibile precum CD / DVD, unități Flash și chiar cititoarele de carduri și unitățile disponibile în rețea.

MARI

Puteți afișa și ascunde sau bloca și debloca unitățile, puteți accesa instrumente precum verificarea discului, puteți crea litere de înlocuire pentru fișiere și foldere, căutați unități, viteza discului.

Manager de unitate arată dimensiunea discului, spațiul utilizat și atât spațiul disponibil, cât și procentul de spațiu liber, cu reînnoire automată la fiecare 10 secunde, precum și volumul serial, identificarea produsului.

4. TestDisk - Recuperare date

Acest instrument este cel pe care l-am văzut în tutorialul de recuperare a hard diskului cu instrumentele TestDisk și Rstudio. TestDisk este multiplataforma și Este utilizat pentru recuperarea datelor pierdute pe discuri partiționate și discuri de încărcare, hard disk USB sau memorie flash și carduri de memorie. TestDisk acceptă partiții în format ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS.

5. FTK Imager - Instrumente de captare a imaginilor pe disc

Setul de instrumente criminalistice (FTK Imager) este un set de instrumente pentru gestionarea și captarea imaginilor de pe hard disk, dispozitive de stocare externe și memorie RAM în scopuri de cercetare.

MARI

FTK Imager acceptă stocarea imaginilor de disc în format de fișier dd. Acest instrument este cel pe care l-am văzut în tutorialul Analizați imaginea discului cu FTK Imager.

6. PC ON / OFF - Înregistrați pornirea și oprirea computerului

Acest instrument ne permite să știm în ce zile a fost pornit computerul, când a fost oprit și câte ore a funcționat, aceasta este utilizată pentru a determina când computerul a fost pornit, oprit sau în modul de așteptare. Acesta poate fi un server pentru a monitoriza faptul că un computer nu este utilizat la ore inadecvate în cazul unei companii sau când tehnicienilor externi sau administratorilor li se oferă acces.

MARI

Această verificare poate fi efectuată și pentru un computer din rețea și are o versiune gratuită care vă permite să urmăriți 3 săptămâni, versiunea cu plată nu are limite.

7. WHOIS - Informații despre domeniu

WhoisThisDomain este un instrument de căutare a înregistrării domeniului ne permite să obținem informații despre un domeniu înregistrat.

Se conectează automat la serverul de baze de date WHOIS și prin numele domeniului, preia datele din înregistrarea WHOIS a domeniului. Acceptă atât domenii generice, cât și domenii de coduri de țară. Putem crea o listă de domenii pentru a le verifica împreună și a le menține actualizate.

8. LANSCAN - Instrument de scanare în rețea

Aplicația se numește PortScan și folosit ca scaner de rețea Poate verifica rapid un interval IP și informații despre computerele din acea rețea. Este foarte util dacă vrem să verificăm informațiile computerelor din rețea. Este foarte simplu, dar trebuie să știți despre rețele pentru a putea determina ce informații vedem.

Scanarea rețelei se efectuează prin atribuirea intervalului IP, de exemplu 192.168.0.0 până la 192.168.0.255, iar aplicația va căuta toate computerele din acea rețea. PortScan scanează toate porturile disponibile și afișează detalii precum adresa MAC, numele gazdei, porturile deschise și serverele HTTP pentru fiecare mașină conectată.

În plus, o adresă IP sau un nume de gazdă poate fi, de asemenea, ping. De asemenea, în cea mai recentă versiune încorporează un instrument de testare a vitezei rețelei pentru a determina viteza de descărcare și încărcare a conexiunii la rețea. Putem folosi PortScan pentru a obține informații despre serviciile HTTP, FTP, SMTP și SMB.

Aplicația este portabilă, astfel încât să o putem descărca independent și mai actualizată cu mai multe opțiuni.

9. HexEdit - Editor Hex și Captură RAM

Acest instrument este un editor hex, care vă permite să vedeți ce se întâmplă în memoria RAM și în BIOS live, adică cu computerul pornit și care funcționează, servește și pentru a captura imagini și discuri de memorie.

MARI

Când pornim programul din meniul Fișier, putem alege un dispozitiv de stocare sau un bloc de memorie RAM sau BIOS.

Odată ce am selectat de unde vom obține datele, HEXEDIT ne va arăta conținutul pe care îl putem explora. Dacă avem suficiente cunoștințe, putem edita informațiile direct în memorie.

10. PhotoRec - recuperarea datelor de pe dispozitiv și a imaginii pe disc

PhotoRec este un Instrument de recuperare și arhivare a datelor multiplatformă pentru hard disk-uri, unități flash USB și camere digitale.

Recuperează diverse formate de imagini și fișiere audio, formate de documente Ofiice și multe formate de fișiere, inclusiv ZIP.

PhotoRec nu încearcă să scrie pe suportul deteriorat pe care utilizatorul urmează să îl recupereze. Fișierele recuperate sunt scrise în schimb într-un director selectat de utilizator din care este rulat PhotoRec. Poate fi folosit pentru recuperarea datelor atunci când se efectuează analize criminalistice, inclusiv imagini de disc sau RAM. PhotoRec este un complement perfect pentru TestDisk.

În tutorialul Analizați imaginea discului cu FTK Imager, am arătat cum să utilizați PhotoREc cu o imagine dd din memoria flash. De asemenea, puteți vedea un articol bun care ne oferă programe gratuite pentru recuperarea fișierelor șterse, unde este menționat PhotoRec.

11. RAM Dump - captură de memorie RAM în Windwos

Această secțiune conține un set de instrumente pentru captarea RAM. Instrumentele sunt Winen și MDD, sunt programe de linie de comandă care ne vor permite să capturăm memoria RAM dintr-o memorie USB fără a avea privilegii de administrator.

Comanda este foarte simplă de exemplu pentru a milion indicăm:

 l opțiune -o

Și un nume de fișier unde să salvați imaginea:

 mdd -o dump.dd

În acest caz, în 53 de secunde am reușit să realizăm o imagine a unui Windows 7 cu 2 GB RAM.

12. Recuva - Instrument de recuperare a datelor

Recuva este un instrument de recuperare a fișierelor, îl putem găsi și în articolul Programe gratuite pentru recuperarea fișierelor șterse.

Acest instrument poate recupera fișierele care au fost șterse de pe un computer, un hard disk, o unitate USB, un MP3 player sau chiar o cartelă de memorie de pe o cameră.

Recuva are un expert de recuperare pentru a specifica ce tip de fișier să caute și, astfel, recuperarea mai rapidă. Pentru a face acest lucru, pornim expertul și apoi trebuie să selectăm tipul de fișier pe care doriți să îl recuperați, cum ar fi documente, fotografii, videoclipuri, e-mailuri, printre alte opțiuni.

13. USB Write Protector - Protejați dispozitivele de stocare USB

Permite protecție pentru dispozitivele USB Pentru a controla scrierea datelor și transferurile, acest instrument va împiedica, de exemplu, să ștergem sau să scriem un pendrive accidental. USB WriteProtector vă permite să blocați cum să deblocați protecția la scriere. În plus, poate fi rulat din interfața sa sau din linia de comandă.

Trebuie să avem în vedere că, atunci când avem activată sau dezactivată opțiunea USB Write, atunci când conectăm orice dispozitiv USB, aceasta va adopta automat opțiunea selectată.

14. Dispozitive USB - Lista dispozitivelor USB

USBDeview este un instrument care afișează toate dispozitivele USB conectate în prezent la computer, precum și toate dispozitivele USB pe care le-ați utilizat anterior. Pentru fiecare dispozitiv USB, sunt afișate informații foarte detaliate despre numele dispozitivului, descrierea, tipul dispozitivului, numărul de serie, data și ora la care a fost adăugat dispozitivul și alte informații despre sistem, producător și furnizor.

MARI

De asemenea, vă permite să gestionați și să dezinstalați dispozitivele USB care au fost utilizate anterior sau să le lăsați ca istorice, de asemenea, acceptă opțiunea de activare și dezactivare a oricărui dispozitiv USB. Poate fi, de asemenea, utilizat pentru a gestiona rețeaua USB pe un computer la distanță, atâta timp cât aveți permisiunile administratorului de sistem și de rețea.

15. Windows File Analyzer - Analiza și decodarea fișierelor ascunse

Acest instrument analizează și decodează unele fișiere pentru analize criminalistice. Fișierul Thumbs.db este un fișier creat de Windows atunci când este utilizată vizualizarea miniaturilor. Este un fișier ascuns nevăzut de utilizatori. Acest lucru vă permite să obțineți aceste date, chiar dacă imaginea a fost ștearsă, acest fișier conține date pentru previzualizarea imaginii.

De asemenea, legăturile și comenzile rapide ale fișierelor manipulate sunt o sursă de informații, deoarece creează o înregistrare istorică.

Apoi avem o altă secțiune numită Mai multe unelte o Mai multe instrumente care au mai multe aplicații pentru a rula în modul portabil, unele dintre ele sunt:

• SkypeLogView- pentru a vizualiza conversațiile Skype salvate

• SniffPass: Pentru a spiona cheia unui anumit IP la care avem acces

• MyLastSearch: Pentru a determina care au fost ultimele căutări și din ce browser

• Windows Registry Recovery: Preluări și informații din registrul Windows

Avem, de asemenea, instrumentele de sistem Windows pe care să le folosim din linia de comandă, cum ar fi netstat, informatie de sistem, ipconfig si multe altele.

Pentru a încheia, vă lăsăm câteva linkuri către tutoriale legate de audituri:

• Sistem de audit în CentOS 7
• Audit Linux cu Lynis