Wintaylor, portables forensisches Analysetool unter Windows

administrator Leave a Comment

Wenn wir eine Analyse eines Computers durchführen möchten, benötigen wir Tools, die von jedem Gerät ausgeführt werden können. Eines davon ist Wintaylor, das Teil der CAINE-Distribution (Computer Aided Investigative Environment) ist .

Was ist CAINE?
CAINE ist eine Linux-Distribution zur Durchführung von Computerforensik.

Was ist Wintaylor?
Wintaylor ist eine Reihe von portablen Tools und die Programme, die es gruppiert, sind freie Software . Es wird häufig zum Extrahieren von Informationen aus der Software und Hardware eines Computers verwendet, der das Windows-Betriebssystem verwendet .

Wir können Wintaylor separat verwenden, ohne CAINE installieren zu müssen. Dazu laden wir herunter:

WINTAYLOR HERUNTERLADEN

Sobald wir es heruntergeladen haben, entpacken wir es und können es von der Festplatte, einem Flash-Speicher oder einem Pendrive ausführen.

audia_wintaylor_1.jpg

Als nächstes werden wir eine Reihe von Schaltflächen sehen, von denen jede zu einem Werkzeug gehört. In diesem Tutorial werden wir jedes Werkzeug und seine Verwendung beschreiben.

1. Systeminfo – Systeminformationen

Mit diesem System Information X-Tool können Sie die Computerkonfiguration überprüfen, Informationen zu Hardware- und Softwarekomponenten erfassen und Berichte erstellen .

audia_wintaylor_2.jpg

Wenn wir die Anwendung starten, sehen wir zwei Optionen: Die erste besteht darin, dass das Tool in Ereignisprotokollen und Verzeichnissen sucht und die andere Option darin, eine von uns angegebene Protokolldatei zu suchen oder zu lesen. In diesem Tutorial wählen wir die erste Option aus.

Nach einer gründlichen Analyse des Geräts erhalten Sie eine umfassende Liste mit allen Komponenten, Modell, Hersteller oder relevanten Details.

audia_wintaylor_3.jpg

Jeder Gegenstand kann die Daten untersuchen, wie zum Beispiel:

  • Der Prozessor, Handelsname, Architektur, Anzahl der Kerne, Frequenz.
  • Wir können Informationen über RAM, Motherboard, Monitor, Grafikkarte, Drucker, Soundkarte, USB-Geräte oder Netzwerkadapter erhalten.
  • Wir können einen Bericht auch zur späteren Verwendung in XML exportieren. Unter der Option Datei > Zusammenfassungsbericht haben wir die Option, alle Profile anzuzeigen, die wir für mehrere Computer erstellt haben.

2. WinAudit – Computerprüfung

Dieses Tool, das wir im Tutorial Audit von Computern mit WinAudit gesehen haben , ist eine sehr nützliche Anwendung, die umfangreiche Informationen zu Betriebssystem, Peripheriegeräten und BIOS-Fehlerprotokollen enthält . WinAudit ist ein kleines Tool, mit dem Sie Hardware und Software, Registrierung und Ereignisse des Betriebssystems, Sicherheit und Benutzer detailliert kennenlernen können.

Unter dem Punkt Berechtigungen von Benutzern können wir beispielsweise sehen, über welche Berechtigungen ein Benutzer verfügt, wann er das letzte Mal angemeldet wurde und wie oft er insgesamt angemeldet ist.

audia_wintaylor_4.jpg

3. DriveManager – Verwalten Sie Speichergeräte

Mit diesem Tool können Sie die Verwaltung von Speichergeräten verwalten . Drive Manager ist ein kostenloses und portables Tool zur Datenträgerverwaltung, mit dem Sie Informationen zu Festplatten, Wechselmedien wie CD / DVD, Flash-Laufwerken und sogar Ihren Kartenlesern und Laufwerken anzeigen können, die über das Netzwerk verfügbar sind. audia_wintaylor_5.jpg

Sie können Laufwerke ein- und ausblenden oder sperren und entsperren, auf Tools wie Festplattenüberprüfung zugreifen, Ersatzlaufwerksbuchstaben für Dateien und Ordner erstellen, Laufwerke durchsuchen und die Geschwindigkeit der Festplatte festlegen.

See also  Passen Sie die Lautstärke mehrerer geöffneter Anwendungen in Windows 10 an

Drive Manager zeigt die Größe des Datenträgers, den verwendeten Speicherplatz sowie den verfügbaren Speicherplatz und den Prozentsatz des freien Speicherplatzes an. Die automatische Erneuerung erfolgt alle 10 Sekunden. Außerdem werden das serielle Volume und die Produktidentifikation angezeigt.

4. TestDisk – Datenwiederherstellung

Dieses Tool haben wir im Lernprogramm zur Wiederherstellung von Festplatten mit den Tools TestDisk und Rstudio gesehen . TestDisk ist plattformübergreifend und wird zur Wiederherstellung verlorener Daten auf Festplatten in Partitionen und Bootdisketten, USB-Festplatten oder Flash-Speichern und Speicherkarten verwendet . TestDisk unterstützt Partitionen im Format ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS.

audia_wintaylor_6.jpg

5. FTK Imager – Tools zur Erfassung von Festplattenabbildern

Das Tool Forensic Toolkit (FTK Imager) ist eine Reihe von Tools, mit denen Sie Festplattenabbilder, externe Speichergeräte und RAM-Speicher für Forschungszwecke verwalten und erfassen können . audia_wintaylor_7.jpg

FTK Imager unterstützt die Speicherung von Disk-Images im Dateiformat im dd-Format. Dieses Tool haben wir im Tutorial Disk-Image mit FTK Imager analysieren gesehen .

6. PC EIN / AUS – An- und Abmelden des Computers

Mit diesem Tool können wir feststellen , an welchen Tagen ein Computer eingeschaltet war, wann er ausgeschaltet wurde und wie viele Stunden er in Betrieb war. Auf diese Weise können wir feststellen, wann der Computer ein-, ausgeschaltet oder im Standby-Modus war. Auf diese Weise kann überwacht werden, dass ein Computer in einem Unternehmen zu unangemessenen Zeiten nicht verwendet wird oder dass externen Technikern oder Administratoren Zugriff gewährt wird. audia_wintaylor_8.jpg

Sie können diese Überprüfung auch für einen Computer im Netzwerk durchführen und haben eine kostenlose Version, mit der Sie 3 Wochen lang sehen können, dass die kostenpflichtige Version keine Beschränkungen hat.

7. WHOIS – Domain-Informationen

WhoisThisDomain ist ein Suchwerkzeug für die Domainregistrierung , mit dem wir Informationen zu einer registrierten Domain erhalten können.

audia_wintaylor_9.jpg

Es stellt automatisch eine Verbindung zum WHOIS-Datenbankserver her und ruft über den Domainnamen die WHOIS-Registrierungsdaten der Domain ab. Es werden sowohl generische Domains als auch Ländercode-Domains unterstützt. Wir können eine Liste von Domains erstellen, um alle zu überprüfen und aktualisieren zu lassen.

8. LANSCAN – Netzwerk-Scan-Tool

Die Anwendung heißt PortScan und wird als Netzwerkscanner verwendet , mit dem eine Reihe von IP-Adressen und Informationen zu Computern in diesem Netzwerk schnell überprüft werden können. Es ist sehr nützlich, wenn wir die Informationen der Computer im Netzwerk überprüfen möchten. Es ist sehr einfach, aber Sie müssen sich mit Netzwerken auskennen, um festzustellen, welche Informationen wir sehen.

audia_wintaylor_10.jpg

Wenn der Scan des Netzwerks abgeschlossen ist, wird der IP-Bereich zugewiesen, z. B. 192.168.0.0 bis 192.168.0.255, und die Anwendung durchsucht alle Computer in diesem Netzwerk. PortScan durchsucht alle verfügbaren Ports und zeigt Details wie MAC-Adresse, Hostname, offene Ports und HTTP-Server für jeden verbundenen Computer an.

See also  So nehmen Sie den Redmi Note 9S-Bildschirm auf

Darüber hinaus können Sie auch eine IP-Adresse oder einen Hostnamen anpingen. In der neuesten Version ist außerdem ein Tool zum Testen der Netzwerkgeschwindigkeit enthalten, mit dem die Download- und Upload-Geschwindigkeit der Netzwerkverbindung ermittelt werden kann. Mit PortScan können Informationen zu HTTP-, FTP-, SMTP- und SMB-Diensten abgerufen werden .

Die Anwendung ist portabel, sodass wir sie unabhängig herunterladen und mit mehr Optionen aktualisieren können.

9. HexEdit – Hexadezimaler Editor und RAM-Speichererfassung

Dieses Tool ist ein hexadezimaler Editor , mit dem Sie sehen können, was im RAM und im BIOS live passiert. Das heißt, wenn der Computer eingeschaltet ist und funktioniert, können Sie auch Speicherabbilder und Festplatten erfassen. audia_wintaylor_11.jpg

Wenn wir das Programm über das Menü Datei starten, können wir ein Speichergerät oder einen RAM- oder BIOS-Block auswählen.

Sobald wir ausgewählt haben, von wo wir die Daten erhalten, zeigt uns HEXEDIT den Inhalt, den wir untersuchen können. Wenn wir genug Wissen haben, können wir Informationen direkt im Speicher bearbeiten.

10. PhotoRec – Wiederherstellung von Daten von Plattengeräten und Bildern

PhotoRec ist ein plattformübergreifendes Tool zur Datenwiederherstellung und Archivierung von Festplatten, USB-Sticks und Digitalkameras .

audia_wintaylor_12.jpg

Stellt verschiedene Bildformate und Audiodateien, Office-Dokumentformate und viele Dateiformate einschließlich ZIP wieder her.

PhotoRec versucht nicht, auf das beschädigte Medium zu schreiben, das der Benutzer wiederherstellen möchte. Die stattdessen wiederhergestellten Dateien werden in ein Verzeichnis geschrieben, das vom Benutzer ausgewählt wurde, von dem aus PhotoRec ausgeführt wird. Es kann zur Datenwiederherstellung verwendet werden, wenn die forensische Analyse auch in Images von Festplatten oder RAM-Speichern durchgeführt wird. PhotoRec ist eine perfekte Ergänzung zu TestDisk.

Im Tutorial Disk-Image mit FTK Imager analysieren habe ich gezeigt, wie man PhotoREc mit einem dd-Image eines Flash-Speichers verwendet. Sie können auch einen guten Artikel sehen, der kostenlose Programme zur Wiederherstellung gelöschter Dateien anbietet, in denen PhotoRec erwähnt wird.

11. RAM Dump – Erfassen Sie RAM in Windwos

Dieser Abschnitt enthält eine Reihe von Tools zum Erfassen des Arbeitsspeichers . Die Tools sind Winen und mdd. Es handelt sich um eine Befehlszeilen-Software, mit der wir von einem USB-Speicher den RAM erfassen können, ohne über Administratorrechte zu verfügen.

Der Befehl ist sehr einfach, zum Beispiel für mdd, das wir angeben: 

 loption -o

Und einen Dateinamen, in dem das Bild gespeichert werden soll: 

 mdd -o dump.dd

audia_wintaylor_13.jpg

In diesem Fall könnten wir in 53 Sekunden ein Image von Windows 7 mit 2 GB RAM erstellen.

12. Recuva – Tool zur Datenwiederherstellung

Recuva ist ein Tool zum Wiederherstellen von Dateien . Es finden Sie auch im Artikel Kostenlose Programme zum Wiederherstellen gelöschter Dateien .

audia_wintaylor_14.jpg

Dieses Tool kann Dateien wiederherstellen, die vom Computer, einer Festplatte, einem USB-Laufwerk, einem MP3-Player oder sogar einer Speicherkarte von einer Kamera gelöscht wurden.

See also  Die besten Tipps und Tricks von Google Drive

audia_wintaylor_15.jpg

Recuva verfügt über einen Wiederherstellungsassistenten, der angibt, welcher Dateityp durchsucht werden soll, um die Wiederherstellung zu beschleunigen. Dazu starten wir den Assistenten und müssen unter anderem auswählen, welche Art von Datei Sie als Dokumente, Fotos, Videos oder E-Mails abrufen möchten.

13. USB Write Protector – Schützt USB-Speichergeräte

Es ermöglicht dem Schutz der USB-Geräte , das Schreiben von Daten und Übertragungen zu steuern. Dieses Tool verhindert beispielsweise, dass wir versehentlich ein Pendrive löschen oder schreiben. Mit USB WriteProtector können Sie sperren, wie der Schreibschutz aufgehoben wird. Darüber hinaus kann es über die Benutzeroberfläche oder die Befehlszeile ausgeführt werden.

Wir müssen berücksichtigen, dass wenn wir die Option USB Write ON oder OFF aktiviert haben und ein USB-Stick angeschlossen wird, wird die ausgewählte Option automatisch übernommen.

audia_wintaylor_16.jpg

14. USB-Geräte – Liste der USB-Geräte

USBDeview ist ein Tool, mit dem alle derzeit an den Computer angeschlossenen USB-Geräte sowie alle zuvor verwendeten USB-Geräte angezeigt werden. Für jedes USB-Gerät werden sehr detaillierte Informationen zum Gerätenamen, zur Beschreibung, zum Gerätetyp, zur Seriennummer, zum Datum und zur Uhrzeit des Hinzufügens des Geräts sowie zu anderen System-, Hersteller- und Lieferanteninformationen angezeigt. audia_wintaylor_17.jpg

Außerdem können Sie USB-Geräte verwalten und deinstallieren, die zuvor verwendet wurden, oder sie als historisch belassen. Außerdem wird die Option unterstützt, USB-Geräte zu aktivieren und zu deaktivieren. Es kann auch zum Verwalten von USB in einem Netzwerk auf einem Remote-Computer verwendet werden, sofern Sie über Systemadministrator- und Netzwerkberechtigungen verfügen.

15. Windows File Analyzer – Analyse und Dekodierung versteckter Dateien

Dieses Tool analysiert und decodiert einige Dateien für die forensische Analyse . Die Datei Thumbs.db wird von Windows erstellt, wenn die Miniaturansicht verwendet wird. Es ist eine versteckte Datei, die von Benutzern nicht gesehen wird. Auf diese Weise können Sie diese Daten auch dann abrufen, wenn das Bild gelöscht wurde. In dieser Datei sind Vorschaubilddaten gespeichert.

Auch die Verknüpfungen und Verknüpfungen manipulierter Dateien sind eine Informationsquelle, da sie einen historischen Datensatz erstellen.

audia_wintaylor_18.jpg

Dann haben wir einen weiteren Abschnitt namens More Tools oder More Tools, in dem mehrere Anwendungen im portablen Modus ausgeführt werden können. Einige davon sind:

  • SkypeLogView : Zum Anzeigen gespeicherter Skype-Konversationen
  • SniffPass : Um eine bestimmte IP auszuspionieren, auf die wir Zugriff haben
  • MyLastSearch : Um festzustellen, was die letzten Suchanfragen waren und von welchem ​​Browser
  • Wiederherstellung der Windows-Registrierung: Stellt die Windows-Registrierung wieder her und informiert Sie darüber

Wir haben auch die Windows-Systemtools, die über die Befehlszeile verwendet werden können, z. B. netstat , systeminfo , ipconfig und viele mehr.

Abschließend erhalten Sie einige Links zu Tutorials zu Audits:

  • Audit-System in CentOS 7
  • Linux Audit mit Lynis

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *