- 1. Systeeminfo - Systeeminformatie
- 2. WinAudit - Computercontrole
- 3. DriveManager - Opslagapparaten beheren
- 4. TestDisk - Gegevensherstel
- 5. FTK Imager - Hulpmiddelen voor het vastleggen van schijfafbeeldingen
- 6. PC AAN / UIT - Opnemen Computer in- en uitschakelen
- 7. WHOIS - Domeininformatie
- 8. LANSCAN - Netwerkscantool
- 9. HexEdit - Hex Editor en RAM Capture
- 10. PhotoRec - Herstel van schijfkopie en apparaatgegevens
- 11. RAM Dump - RAM-geheugen vastleggen in Windwos
- 12. Recuva - Hulpprogramma voor gegevensherstel
- 13. USB-schrijfbeveiliging - Bescherm USB-opslagapparaten
- 14. USB-apparaten - Lijst met USB-apparaten
- 15. Windows File Analyzer - Analyse en decodering van verborgen bestanden
Als we een analyse van een computer willen uitvoeren, hebben we tools nodig die vanaf elk apparaat kunnen worden uitgevoerd, een daarvan is Wintaylor, dat deel uitmaakt van de distributie CAINE (computerondersteunde onderzoeksomgeving).
Wat is CAINE?CAINE is een Linux-distributie om uit te voeren computer forensische analyse.
Wat is Wintaylor?Wintaylor is een set draagbare tools en de programma's die het bevat zijn gratis software. Is zeer gebruikt om informatie te extraheren uit de software en hardware van een computer met het Windows-besturingssysteem.
We kunnen Wintaylor apart gebruiken zonder CAINE te hoeven installeren, hiervoor downloaden we:
DOWNLOAD WINTAYLOR
Zodra we het hebben gedownload, pakken we het uit en kunnen we het uitvoeren vanaf de harde schijf of vanaf een flashgeheugen of een pendrive.
Vervolgens zullen we een reeks knoppen zien, elk van hen behoort tot een tool, in deze tutorial zal elke tool worden beschreven en hoe deze te gebruiken.
1. Systeeminfo - Systeeminformatie
Deze systeeminformatie X-tool, stelt u in staat de configuratie van de computer te inspecteren, informatie te verzamelen over hardware- en softwarecomponenten en we kunnen ook rapporten genereren.
Wanneer we de applicatie starten, zien we twee opties, de eerste is voor de tool om gebeurtenislogboeken en mappen te doorzoeken en de andere optie is om een logbestand te zoeken of te lezen dat we zullen aangeven. Voor deze tutorial zullen we de eerste optie selecteren.
Nadat de apparatuur grondig is geanalyseerd, wordt een uitgebreide lijst van alle componenten verkregen, samen met hun model, fabrikant of relevante details.
Elk item kunnen we de gegevens verkennen, zoals:
- De processor, handelsnaam, architectuur, aantal cores, frequentie.
- We kunnen informatie verkrijgen over RAM, moederbord, monitor, videokaart, printers, geluidskaart, USB-apparaten of netwerkadapters.
- We kunnen ook een rapport in XML exporteren voor later gebruik. Binnen optie Bestand > Samenvattingsverslag, hebben we de mogelijkheid om alle profielen te zien die we voor verschillende computers hebben gemaakt.
2. WinAudit - Computercontrole
Deze tool die we zagen in de tutorial over het controleren van computers met WinAudit, is een zeer nuttige toepassing, die ikToont uitgebreide informatie over het besturingssysteem, randapparatuur en BIOS-foutlogboeken. WinAudit is een klein hulpmiddel om diepgaand het systeem te kennen, zowel hardware als software, register en gebeurtenissen van het besturingssysteem, beveiliging, gebruikers.
In het item Gebruikersrechten kunnen we bijvoorbeeld zien welke rechten een gebruiker heeft, wanneer hij voor het laatst is ingelogd en hoe vaak hij in totaal heeft ingelogd.
VERGROTEN
3. DriveManager - Opslagapparaten beheren
Deze tool stelt u in staat om het beheer van opslagapparaten te beheren. Drive Manager is een gratis en draagbare schijfbeheertool die wordt gebruikt om informatie te bekijken over harde schijven, verwisselbare apparaten zoals cd/dvd, flashdrives en zelfs uw kaartlezers en schijven die via het netwerk beschikbaar zijn.
VERGROTEN
U kunt stations weergeven en verbergen of vergrendelen en ontgrendelen, toegang krijgen tot tools zoals schijfcontrole, vervangende stationsletters maken voor bestanden en mappen, stations zoeken, schijfsnelheid.
Drive-manager toont de schijfgrootte, de gebruikte ruimte en zowel de beschikbare ruimte als het percentage vrije ruimte, met automatische vernieuwing elke 10 seconden, evenals serieel volume, productidentificatie.
4. TestDisk - Gegevensherstel
Deze tool is degene die we zagen in de Hard Drive Recovery-tutorial met TestDisk- en Rstudio-tools. TestDisk is platformonafhankelijk en Het wordt gebruikt voor het herstellen van verloren gegevens op gepartitioneerde schijven en opstartschijven, USB-harde schijf of flash-geheugen en geheugenkaarten. TestDisk ondersteunt partities in ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS-indeling.
5. FTK Imager - Hulpmiddelen voor het vastleggen van schijfafbeeldingen
De Forensic Toolkit (FTK Imager) is een set tools voor het beheren en vastleggen van afbeeldingen van de harde schijf, externe opslagapparaten en RAM-geheugen Voor onderzoeksdoeleinden.
VERGROTEN
FTK Imager ondersteunt het opslaan van schijfkopieën in dd-bestandsindeling. Deze tool is degene die we zagen in de Analyse schijfkopie met FTK Imager tutorial.
6. PC AAN / UIT - Opnemen Computer in- en uitschakelen
Deze tool stelt ons in staat te weten op welke dagen een computer was ingeschakeld, wanneer deze was uitgeschakeld en hoeveel uur deze in gebruik was, dit wordt gebruikt om te bepalen wanneer de computer aan, uit of in de stand-bymodus stond. Dit kan een server zijn om te controleren of een computer niet op ongepaste uren wordt gebruikt in het geval van een bedrijf of wanneer externe technici of beheerders toegang krijgen.
VERGROTEN
Deze verificatie kan ook worden uitgevoerd voor een computer op het netwerk en heeft een gratis versie waarmee u 3 weken kunt kijken, de betaalde versie kent geen limieten.
7. WHOIS - Domeininformatie
WhoisThisDomain is een zoekfunctie voor domeinregistratie stelt ons in staat om informatie te verkrijgen over een geregistreerd domein.
Het maakt automatisch verbinding met de WHOIS-databaseserver en haalt via de domeinnaam de gegevens op uit het WHOIS-record van het domein. Het ondersteunt zowel generieke domeinen als landcodedomeinen. We kunnen een lijst met domeinen maken om ze allemaal samen te controleren en up-to-date te houden.
8. LANSCAN - Netwerkscantool
De applicatie heet PortScan en gebruikt als netwerkscanner Het kan snel een IP-bereik en informatie over de computers op dat netwerk controleren. Het is erg handig als we de informatie van de computers op het netwerk willen controleren. Het is heel eenvoudig, maar je moet kennis hebben van netwerken om te kunnen bepalen welke informatie we zien.
De netwerkscan wordt uitgevoerd door het IP-bereik toe te wijzen, bijvoorbeeld 192.168.0.0 tot 192.168.0.255 en de toepassing doorzoekt alle computers in dat netwerk. PortScan scant alle beschikbare poorten en geeft details weer zoals MAC-adres, hostnaam, open poorten en HTTP-servers voor elke aangesloten machine.
Daarnaast kan ook een IP-adres of hostnaam worden gepingd. Ook in de meest recente versie bevat het een netwerksnelheidstesttool om de download- en uploadsnelheid van de netwerkverbinding te bepalen. We kunnen PortScan gebruiken om informatie te verkrijgen over HTTP-, FTP-, SMTP- en SMB-services.
De applicatie is draagbaar, dus we kunnen deze onafhankelijk downloaden en meer bijgewerkt met meer opties.
9. HexEdit - Hex Editor en RAM Capture
Deze tool is een hex-editor, waarmee u kunt zien wat er in het RAM-geheugen en in het BIOS live gebeurt, dat wil zeggen, met de computer ingeschakeld en werkend, dient het ook om geheugenafbeeldingen en schijven vast te leggen.
VERGROTEN
Wanneer we het programma starten vanuit het menu Bestand, kunnen we een opslagapparaat of een RAM- of BIOS-geheugenblok kiezen.
Zodra we hebben gekozen waar we de gegevens vandaan zullen halen, laat HEXEDIT ons de inhoud zien die we kunnen verkennen. Als we voldoende kennis hebben, kunnen we informatie direct in het geheugen bewerken.
10. PhotoRec - Herstel van schijfkopie en apparaatgegevens
PhotoRec is een Hulpprogramma voor gegevensherstel en archivering op meerdere platforms voor harde schijven, USB-flashstations en digitale camera's.
Het herstelt verschillende formaten van afbeeldingen en audiobestanden, Ofiice-documentformaten en vele bestandsformaten, waaronder ZIP.
PhotoRec probeert niet te schrijven naar de beschadigde media die de gebruiker gaat herstellen. De herstelde bestanden worden in plaats daarvan naar een door de gebruiker geselecteerde map geschreven van waaruit PhotoRec wordt uitgevoerd. Het kan worden gebruikt voor gegevensherstel bij het uitvoeren van forensische analyse, inclusief schijf- of RAM-afbeeldingen. PhotoRec is een perfecte aanvulling op TestDisk.
In de tutorial Schijfkopie analyseren met FTK Imager liet ik zien hoe je PhotoREc kunt gebruiken met een dd-afbeelding uit het flashgeheugen. U kunt ook een goed artikel zien dat ons gratis programma's biedt om verwijderde bestanden te herstellen, waar PhotoRec wordt genoemd.
11. RAM Dump - RAM-geheugen vastleggen in Windwos
Deze sectie bevat een set tools om RAM vast te leggen. De tools zijn Winen en mdd, het zijn opdrachtregelsoftware waarmee we het RAM-geheugen van een USB-geheugen kunnen vastleggen zonder beheerdersrechten.
De opdracht is heel eenvoudig om bijvoorbeeld: miljoen wij geven aan:
l een optie -oEn een bestandsnaam waar de afbeelding moet worden opgeslagen:
mdd -o dump.dd
In dit geval konden we in 53 seconden een afbeelding maken van een Windows 7 met 2 GB RAM.
12. Recuva - Hulpprogramma voor gegevensherstel
Recuva is een hulpprogramma voor bestandsherstel, we kunnen het ook vinden in het artikel Gratis programma's om verwijderde bestanden te herstellen.
Deze tool kan bestanden herstellen die zijn verwijderd van een computer, een harde schijf, een USB-drive, een MP3-speler of zelfs een geheugenkaart van een camera.
Recuva heeft een herstelwizard om aan te geven welk type bestand moet worden doorzocht en zo het herstel sneller te laten verlopen. Om dit te doen, starten we de wizard en vervolgens moeten we het type bestand selecteren dat u wilt herstellen, zoals documenten, foto's, video's, e-mails en andere opties.
13. USB-schrijfbeveiliging - Bescherm USB-opslagapparaten
Staat de toe bescherming voor USB-apparaten Om het schrijven van gegevens en overdrachten te regelen, voorkomt deze tool bijvoorbeeld dat we per ongeluk een pendrive wissen of schrijven. Met USB WriteProtector kunt u blokkeren hoe u de schrijfbeveiliging ontgrendelt. Bovendien kan het worden uitgevoerd vanuit de interface of vanaf de opdrachtregel.
We moeten niet vergeten dat wanneer we de optie USB Schrijven AAN of UIT hebben geactiveerd, wanneer we een USB-pendrive aansluiten, deze automatisch de geselecteerde optie overneemt.
14. USB-apparaten - Lijst met USB-apparaten
USBDeview is een tool die alle USB-apparaten toont die momenteel op de computer zijn aangesloten, evenals alle USB-apparaten die u eerder hebt gebruikt. Voor elk USB-apparaat wordt zeer gedetailleerde informatie weergegeven over de apparaatnaam, beschrijving, apparaattype, serienummer, de datum en tijd waarop het apparaat is toegevoegd en andere systeem-, fabrikant- en leveranciersinformatie.
VERGROTEN
Het stelt u ook in staat om de USB-apparaten die eerder werden gebruikt te beheren en te verwijderen of ze als historisch te laten, het ondersteunt ook de optie om elk van de USB-apparaten te activeren en deactiveren. Het kan ook worden gebruikt om een netwerk-USB op een externe computer te beheren, zolang u de systeem- en netwerkbeheerdersrechten hebt.
15. Windows File Analyzer - Analyse en decodering van verborgen bestanden
Deze tool analyseert en decodeert enkele bestanden voor forensische analyse. Het bestand Thumbs.db is een bestand dat door Windows is gemaakt wanneer de miniatuurweergave wordt gebruikt. Het is een verborgen bestand dat niet door gebruikers wordt gezien. Hierdoor kunt u deze gegevens verkrijgen, ook al is de afbeelding verwijderd, dit bestand bevat gegevens voor de preview van de afbeelding.
Ook de links en snelkoppelingen van gemanipuleerde bestanden zijn een bron van informatie omdat ze een historisch record vormen.
Dan hebben we een andere sectie genaamd Meer hulpmiddelen o Meer tools die meerdere applicaties hebben om in draagbare modus te draaien, sommige zijn:
- SkypeLogView- om opgeslagen Skype-gesprekken te bekijken
- SniffPass: Om de sleutel te bespioneren op een bepaald IP waartoe we toegang hebben
- MijnLaatste Zoeken: Om te bepalen welke de laatste zoekopdrachten waren en vanuit welke browser
- Windows Register Herstel: Haalt en informatie op uit het Windows-register
We hebben ook de Windows-systeemtools die u vanaf de opdrachtregel kunt gebruiken, zoals: netstat, systeeminformatie, ipconfig en nog veel meer.
Om af te sluiten, laten we u een aantal links naar tutorials met betrekking tot audits:
- Auditsysteem in CentOS 7
- Linux-audit met Lynis
