Wenn wir eine Analyse eines Computers durchführen möchten, benötigen wir Tools, die von jedem Gerät ausgeführt werden können. Eines davon ist Wintaylor, das Teil der CAINE-Distribution (Computer Aided Investigative Environment) ist .
Wir können Wintaylor separat verwenden, ohne CAINE installieren zu müssen. Dazu laden wir herunter:
Sobald wir es heruntergeladen haben, entpacken wir es und können es von der Festplatte, einem Flash-Speicher oder einem Pendrive ausführen.
Als nächstes werden wir eine Reihe von Schaltflächen sehen, von denen jede zu einem Werkzeug gehört. In diesem Tutorial werden wir jedes Werkzeug und seine Verwendung beschreiben.
1. Systeminfo – Systeminformationen
Mit diesem System Information X-Tool können Sie die Computerkonfiguration überprüfen, Informationen zu Hardware- und Softwarekomponenten erfassen und Berichte erstellen .
Wenn wir die Anwendung starten, sehen wir zwei Optionen: Die erste besteht darin, dass das Tool in Ereignisprotokollen und Verzeichnissen sucht und die andere Option darin, eine von uns angegebene Protokolldatei zu suchen oder zu lesen. In diesem Tutorial wählen wir die erste Option aus.
Nach einer gründlichen Analyse des Geräts erhalten Sie eine umfassende Liste mit allen Komponenten, Modell, Hersteller oder relevanten Details.
Jeder Gegenstand kann die Daten untersuchen, wie zum Beispiel:
- Der Prozessor, Handelsname, Architektur, Anzahl der Kerne, Frequenz.
- Wir können Informationen über RAM, Motherboard, Monitor, Grafikkarte, Drucker, Soundkarte, USB-Geräte oder Netzwerkadapter erhalten.
- Wir können einen Bericht auch zur späteren Verwendung in XML exportieren. Unter der Option Datei > Zusammenfassungsbericht haben wir die Option, alle Profile anzuzeigen, die wir für mehrere Computer erstellt haben.
2. WinAudit – Computerprüfung
Dieses Tool, das wir im Tutorial Audit von Computern mit WinAudit gesehen haben , ist eine sehr nützliche Anwendung, die umfangreiche Informationen zu Betriebssystem, Peripheriegeräten und BIOS-Fehlerprotokollen enthält . WinAudit ist ein kleines Tool, mit dem Sie Hardware und Software, Registrierung und Ereignisse des Betriebssystems, Sicherheit und Benutzer detailliert kennenlernen können.
Unter dem Punkt Berechtigungen von Benutzern können wir beispielsweise sehen, über welche Berechtigungen ein Benutzer verfügt, wann er das letzte Mal angemeldet wurde und wie oft er insgesamt angemeldet ist.
3. DriveManager – Verwalten Sie Speichergeräte
Mit diesem Tool können Sie die Verwaltung von Speichergeräten verwalten . Drive Manager ist ein kostenloses und portables Tool zur Datenträgerverwaltung, mit dem Sie Informationen zu Festplatten, Wechselmedien wie CD / DVD, Flash-Laufwerken und sogar Ihren Kartenlesern und Laufwerken anzeigen können, die über das Netzwerk verfügbar sind.
Sie können Laufwerke ein- und ausblenden oder sperren und entsperren, auf Tools wie Festplattenüberprüfung zugreifen, Ersatzlaufwerksbuchstaben für Dateien und Ordner erstellen, Laufwerke durchsuchen und die Geschwindigkeit der Festplatte festlegen.
Drive Manager zeigt die Größe des Datenträgers, den verwendeten Speicherplatz sowie den verfügbaren Speicherplatz und den Prozentsatz des freien Speicherplatzes an. Die automatische Erneuerung erfolgt alle 10 Sekunden. Außerdem werden das serielle Volume und die Produktidentifikation angezeigt.
4. TestDisk – Datenwiederherstellung
Dieses Tool haben wir im Lernprogramm zur Wiederherstellung von Festplatten mit den Tools TestDisk und Rstudio gesehen . TestDisk ist plattformübergreifend und wird zur Wiederherstellung verlorener Daten auf Festplatten in Partitionen und Bootdisketten, USB-Festplatten oder Flash-Speichern und Speicherkarten verwendet . TestDisk unterstützt Partitionen im Format ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS.
5. FTK Imager – Tools zur Erfassung von Festplattenabbildern
Das Tool Forensic Toolkit (FTK Imager) ist eine Reihe von Tools, mit denen Sie Festplattenabbilder, externe Speichergeräte und RAM-Speicher für Forschungszwecke verwalten und erfassen können .
FTK Imager unterstützt die Speicherung von Disk-Images im Dateiformat im dd-Format. Dieses Tool haben wir im Tutorial Disk-Image mit FTK Imager analysieren gesehen .
6. PC EIN / AUS – An- und Abmelden des Computers
Mit diesem Tool können wir feststellen , an welchen Tagen ein Computer eingeschaltet war, wann er ausgeschaltet wurde und wie viele Stunden er in Betrieb war. Auf diese Weise können wir feststellen, wann der Computer ein-, ausgeschaltet oder im Standby-Modus war. Auf diese Weise kann überwacht werden, dass ein Computer in einem Unternehmen zu unangemessenen Zeiten nicht verwendet wird oder dass externen Technikern oder Administratoren Zugriff gewährt wird.
Sie können diese Überprüfung auch für einen Computer im Netzwerk durchführen und haben eine kostenlose Version, mit der Sie 3 Wochen lang sehen können, dass die kostenpflichtige Version keine Beschränkungen hat.
7. WHOIS – Domain-Informationen
WhoisThisDomain ist ein Suchwerkzeug für die Domainregistrierung , mit dem wir Informationen zu einer registrierten Domain erhalten können.
Es stellt automatisch eine Verbindung zum WHOIS-Datenbankserver her und ruft über den Domainnamen die WHOIS-Registrierungsdaten der Domain ab. Es werden sowohl generische Domains als auch Ländercode-Domains unterstützt. Wir können eine Liste von Domains erstellen, um alle zu überprüfen und aktualisieren zu lassen.
8. LANSCAN – Netzwerk-Scan-Tool
Die Anwendung heißt PortScan und wird als Netzwerkscanner verwendet , mit dem eine Reihe von IP-Adressen und Informationen zu Computern in diesem Netzwerk schnell überprüft werden können. Es ist sehr nützlich, wenn wir die Informationen der Computer im Netzwerk überprüfen möchten. Es ist sehr einfach, aber Sie müssen sich mit Netzwerken auskennen, um festzustellen, welche Informationen wir sehen.
Wenn der Scan des Netzwerks abgeschlossen ist, wird der IP-Bereich zugewiesen, z. B. 192.168.0.0 bis 192.168.0.255, und die Anwendung durchsucht alle Computer in diesem Netzwerk. PortScan durchsucht alle verfügbaren Ports und zeigt Details wie MAC-Adresse, Hostname, offene Ports und HTTP-Server für jeden verbundenen Computer an.
Darüber hinaus können Sie auch eine IP-Adresse oder einen Hostnamen anpingen. In der neuesten Version ist außerdem ein Tool zum Testen der Netzwerkgeschwindigkeit enthalten, mit dem die Download- und Upload-Geschwindigkeit der Netzwerkverbindung ermittelt werden kann. Mit PortScan können Informationen zu HTTP-, FTP-, SMTP- und SMB-Diensten abgerufen werden .
Die Anwendung ist portabel, sodass wir sie unabhängig herunterladen und mit mehr Optionen aktualisieren können.
9. HexEdit – Hexadezimaler Editor und RAM-Speichererfassung
Dieses Tool ist ein hexadezimaler Editor , mit dem Sie sehen können, was im RAM und im BIOS live passiert. Das heißt, wenn der Computer eingeschaltet ist und funktioniert, können Sie auch Speicherabbilder und Festplatten erfassen.
Wenn wir das Programm über das Menü Datei starten, können wir ein Speichergerät oder einen RAM- oder BIOS-Block auswählen.
Sobald wir ausgewählt haben, von wo wir die Daten erhalten, zeigt uns HEXEDIT den Inhalt, den wir untersuchen können. Wenn wir genug Wissen haben, können wir Informationen direkt im Speicher bearbeiten.
10. PhotoRec – Wiederherstellung von Daten von Plattengeräten und Bildern
PhotoRec ist ein plattformübergreifendes Tool zur Datenwiederherstellung und Archivierung von Festplatten, USB-Sticks und Digitalkameras .
Stellt verschiedene Bildformate und Audiodateien, Office-Dokumentformate und viele Dateiformate einschließlich ZIP wieder her.
PhotoRec versucht nicht, auf das beschädigte Medium zu schreiben, das der Benutzer wiederherstellen möchte. Die stattdessen wiederhergestellten Dateien werden in ein Verzeichnis geschrieben, das vom Benutzer ausgewählt wurde, von dem aus PhotoRec ausgeführt wird. Es kann zur Datenwiederherstellung verwendet werden, wenn die forensische Analyse auch in Images von Festplatten oder RAM-Speichern durchgeführt wird. PhotoRec ist eine perfekte Ergänzung zu TestDisk.
Im Tutorial Disk-Image mit FTK Imager analysieren habe ich gezeigt, wie man PhotoREc mit einem dd-Image eines Flash-Speichers verwendet. Sie können auch einen guten Artikel sehen, der kostenlose Programme zur Wiederherstellung gelöschter Dateien anbietet, in denen PhotoRec erwähnt wird.
11. RAM Dump – Erfassen Sie RAM in Windwos
Dieser Abschnitt enthält eine Reihe von Tools zum Erfassen des Arbeitsspeichers . Die Tools sind Winen und mdd. Es handelt sich um eine Befehlszeilen-Software, mit der wir von einem USB-Speicher den RAM erfassen können, ohne über Administratorrechte zu verfügen.
Der Befehl ist sehr einfach, zum Beispiel für mdd, das wir angeben:
loption -o
Und einen Dateinamen, in dem das Bild gespeichert werden soll:
mdd -o dump.dd
In diesem Fall könnten wir in 53 Sekunden ein Image von Windows 7 mit 2 GB RAM erstellen.
12. Recuva – Tool zur Datenwiederherstellung
Recuva ist ein Tool zum Wiederherstellen von Dateien . Es finden Sie auch im Artikel Kostenlose Programme zum Wiederherstellen gelöschter Dateien .
Dieses Tool kann Dateien wiederherstellen, die vom Computer, einer Festplatte, einem USB-Laufwerk, einem MP3-Player oder sogar einer Speicherkarte von einer Kamera gelöscht wurden.
Recuva verfügt über einen Wiederherstellungsassistenten, der angibt, welcher Dateityp durchsucht werden soll, um die Wiederherstellung zu beschleunigen. Dazu starten wir den Assistenten und müssen unter anderem auswählen, welche Art von Datei Sie als Dokumente, Fotos, Videos oder E-Mails abrufen möchten.
13. USB Write Protector – Schützt USB-Speichergeräte
Es ermöglicht dem Schutz der USB-Geräte , das Schreiben von Daten und Übertragungen zu steuern. Dieses Tool verhindert beispielsweise, dass wir versehentlich ein Pendrive löschen oder schreiben. Mit USB WriteProtector können Sie sperren, wie der Schreibschutz aufgehoben wird. Darüber hinaus kann es über die Benutzeroberfläche oder die Befehlszeile ausgeführt werden.
Wir müssen berücksichtigen, dass wenn wir die Option USB Write ON oder OFF aktiviert haben und ein USB-Stick angeschlossen wird, wird die ausgewählte Option automatisch übernommen.
14. USB-Geräte – Liste der USB-Geräte
USBDeview ist ein Tool, mit dem alle derzeit an den Computer angeschlossenen USB-Geräte sowie alle zuvor verwendeten USB-Geräte angezeigt werden. Für jedes USB-Gerät werden sehr detaillierte Informationen zum Gerätenamen, zur Beschreibung, zum Gerätetyp, zur Seriennummer, zum Datum und zur Uhrzeit des Hinzufügens des Geräts sowie zu anderen System-, Hersteller- und Lieferanteninformationen angezeigt.
Außerdem können Sie USB-Geräte verwalten und deinstallieren, die zuvor verwendet wurden, oder sie als historisch belassen. Außerdem wird die Option unterstützt, USB-Geräte zu aktivieren und zu deaktivieren. Es kann auch zum Verwalten von USB in einem Netzwerk auf einem Remote-Computer verwendet werden, sofern Sie über Systemadministrator- und Netzwerkberechtigungen verfügen.
15. Windows File Analyzer – Analyse und Dekodierung versteckter Dateien
Dieses Tool analysiert und decodiert einige Dateien für die forensische Analyse . Die Datei Thumbs.db wird von Windows erstellt, wenn die Miniaturansicht verwendet wird. Es ist eine versteckte Datei, die von Benutzern nicht gesehen wird. Auf diese Weise können Sie diese Daten auch dann abrufen, wenn das Bild gelöscht wurde. In dieser Datei sind Vorschaubilddaten gespeichert.
Auch die Verknüpfungen und Verknüpfungen manipulierter Dateien sind eine Informationsquelle, da sie einen historischen Datensatz erstellen.
Dann haben wir einen weiteren Abschnitt namens More Tools oder More Tools, in dem mehrere Anwendungen im portablen Modus ausgeführt werden können. Einige davon sind:
- SkypeLogView : Zum Anzeigen gespeicherter Skype-Konversationen
- SniffPass : Um eine bestimmte IP auszuspionieren, auf die wir Zugriff haben
- MyLastSearch : Um festzustellen, was die letzten Suchanfragen waren und von welchem Browser
- Wiederherstellung der Windows-Registrierung: Stellt die Windows-Registrierung wieder her und informiert Sie darüber
Wir haben auch die Windows-Systemtools, die über die Befehlszeile verwendet werden können, z. B. netstat , systeminfo , ipconfig und viele mehr.
Abschließend erhalten Sie einige Links zu Tutorials zu Audits:
- Audit-System in CentOS 7
- Linux Audit mit Lynis