- 1. Informazioni di sistema - Informazioni di sistema
- 2. WinAudit - Controllo del computer
- 3. DriveManager - Gestisci i dispositivi di archiviazione
- 4. TestDisk - Recupero dati
- 5. FTK Imager - Strumenti di acquisizione dell'immagine del disco
- 6. PC ON / OFF - Registra accensione e spegnimento del computer
- 7. WHOIS - Informazioni sul dominio
- 8. LANSCAN - Strumento di scansione di rete
- 9. HexEdit - Editor esadecimale e cattura RAM
- 10. PhotoRec - Recupero dell'immagine del disco e dei dati del dispositivo
- 11. RAM Dump - Acquisizione della memoria RAM in Windwos
- 12. Recuva - Strumento di recupero dati
- 13. USB Write Protector - Proteggi i dispositivi di archiviazione USB
- 14. Dispositivi USB - Elenco dei dispositivi USB
- 15. Windows File Analyzer - Analisi e decodifica di file nascosti
Quando vogliamo eseguire un'analisi di un computer abbiamo bisogno di strumenti che possono essere eseguiti da qualsiasi dispositivo, uno di questi è Wintaylor, che fa parte della distribuzione CAINE (Ambiente investigativo assistito da computer).
Cos'è la CAINA?CAINE è una distribuzione Linux da eseguire analisi forense informatica.
Cos'è Wintaylor?Wintaylor è un insieme di strumenti portatili e i programmi che contiene sono software gratuiti. È molto utilizzato per estrarre informazioni dal software e dall'hardware di un computer che esegue il sistema operativo Windows.
Possiamo usare Wintaylor separatamente senza dover installare CAINE, per questo scarichiamo:
SCARICA WINTAYLOR
Una volta scaricato, lo decomprimiamo e possiamo eseguirlo dal disco rigido o da una memoria flash o da una pendrive.
Successivamente vedremo una serie di pulsanti, ognuno dei quali appartiene a uno strumento, in questo tutorial verrà descritto ogni strumento e come usarlo.
1. Informazioni di sistema - Informazioni di sistema
Questo strumento di informazioni di sistema X, ti consente di ispezionare la configurazione del computer, raccogliere informazioni sui componenti hardware e software e possiamo anche generare report.
Quando avviamo l'applicazione, vediamo due opzioni, la prima è che lo strumento cerchi i registri e le directory degli eventi e l'altra opzione è quella di cercare o leggere un file di registro che indicheremo. Per questo tutorial selezioneremo la prima opzione.
Una volta che l'apparecchiatura è stata analizzata a fondo, si ottiene un elenco completo di tutti i suoi componenti, insieme al modello, al produttore o ai dettagli pertinenti.
Ogni elemento possiamo esplorare i dati come:
- Il processore, il nome commerciale, l'architettura, il numero di core, la frequenza.
- Possiamo ottenere informazioni su RAM, scheda madre, monitor, scheda video, stampanti, scheda audio, dispositivi USB o adattatori di rete.
- Possiamo anche esportare un report in XML per un uso successivo. Opzione interna File > Relazione di sintesi, avremo la possibilità di vedere tutti i profili che abbiamo creato per diversi computer.
2. WinAudit - Controllo del computer
Questo strumento che abbiamo visto nel tutorial sull'Audit dei computer con WinAudit, è un'applicazione molto utile, cheMostra informazioni dettagliate sul sistema operativo, sulle periferiche e sui registri degli errori del BIOS. WinAudit è un piccolo strumento per conoscere a fondo il sistema sia hardware che software, registro ed eventi del sistema operativo, sicurezza, utenti.
Ad esempio, nella voce Privilegi utente, possiamo vedere quali permessi ha un utente, quando ha effettuato l'ultimo accesso e quante volte ha effettuato l'accesso in totale.
INGRANDIRE
3. DriveManager - Gestisci i dispositivi di archiviazione
Questo strumento consente di gestire l'amministrazione dei dispositivi di archiviazione. Drive Manager è uno strumento di gestione del disco portatile e gratuito che viene utilizzato per visualizzare informazioni su dischi rigidi, dispositivi rimovibili come CD/DVD, unità Flash e persino lettori di schede e unità disponibili in rete.
INGRANDIRE
Puoi mostrare e nascondere o bloccare e sbloccare unità, accedere a strumenti come il controllo del disco, creare lettere di unità sostitutive per file e cartelle, unità di ricerca, velocità del disco.
Gestore unità mostra la dimensione del disco, lo spazio utilizzato e sia lo spazio disponibile che la percentuale di spazio libero, con rinnovo automatico ogni 10 secondi, oltre al volume seriale, l'identificazione del prodotto.
4. TestDisk - Recupero dati
Questo strumento è quello che abbiamo visto nel tutorial sul ripristino del disco rigido con gli strumenti TestDisk e Rstudio. TestDisk è multipiattaforma e Viene utilizzato per recuperare i dati persi su dischi partizionati e dischi di avvio, hard disk USB o memoria flash e schede di memoria. TestDisk supporta partizioni in formato ext2/ext3/ext4, HFS+, HFSX, FAT16, FAT32, FAT, NTFS.
5. FTK Imager - Strumenti di acquisizione dell'immagine del disco
Il Forensic Toolkit (FTK Imager) è un set di strumenti per gestire e acquisire immagini di hard disk, dispositivi di archiviazione esterni e memoria RAM per scopi di ricerca.
INGRANDIRE
FTK Imager supporta la memorizzazione di immagini disco in formato file dd. Questo strumento è quello che abbiamo visto nel tutorial Analizza immagine disco con FTK Imager.
6. PC ON / OFF - Registra accensione e spegnimento del computer
Questo strumento ci permette di sapere in quali giorni un computer è stato acceso, quando è stato spento e per quante ore è stato in funzione, viene utilizzato per determinare quando il computer era acceso, spento o in modalità standby. Questo può essere un server per monitorare che un computer non viene utilizzato in orari inappropriati nel caso di un'azienda o quando viene concesso l'accesso a tecnici o amministratori esterni.
INGRANDIRE
Questa verifica può essere effettuata anche per un computer in rete e ha una versione gratuita che permette di guardare 3 settimane, la versione a pagamento non ha limiti.
7. WHOIS - Informazioni sul dominio
WhoisThisDomain è un strumento di ricerca per la registrazione del dominio ci consente di ottenere informazioni su un dominio registrato.
Si connette automaticamente al server del database WHOIS e, attraverso il nome di dominio, recupera i dati dal record WHOIS del dominio. Supporta sia domini generici che domini prefissati. Possiamo creare una lista di domini da controllare tutti insieme e tenerli aggiornati.
8. LANSCAN - Strumento di scansione di rete
L'applicazione si chiama PortScan e usato come scanner di rete Può controllare rapidamente un intervallo IP e le informazioni sui computer su quella rete. È molto utile se vogliamo controllare le informazioni dei computer in rete. È molto semplice, ma devi conoscere le reti per essere in grado di determinare quali informazioni stiamo vedendo.
La scansione della rete viene eseguita assegnando l'intervallo IP, ad esempio da 192.168.0.0 a 192.168.0.255 e l'applicazione cercherà tutti i computer in quella rete. PortScan scansiona tutte le porte disponibili e visualizza dettagli come indirizzo MAC, nome host, porte aperte e server HTTP per ogni macchina connessa.
Inoltre, è possibile eseguire il ping anche di un indirizzo IP o di un nome host. Anche nella versione più recente incorpora uno strumento di test della velocità di rete per determinare la velocità di download e upload della connessione di rete. Possiamo utilizzare PortScan per ottenere informazioni sui servizi HTTP, FTP, SMTP e SMB.
L'applicazione è portatile, quindi possiamo scaricarla in modo indipendente e più aggiornata con più opzioni.
9. HexEdit - Editor esadecimale e cattura RAM
Questo strumento è un editor esadecimale, che permette di vedere cosa succede nella memoria RAM e nel BIOS live, cioè con il computer acceso e funzionante, serve anche per catturare immagini di memoria e dischi.
INGRANDIRE
Quando avviamo il programma dal menu File, possiamo scegliere un dispositivo di archiviazione o un blocco di memoria RAM o BIOS.
Una volta selezionato da dove otterremo i dati, HEXEDIT, ci mostrerà il contenuto che possiamo esplorare. Se abbiamo abbastanza conoscenze, possiamo modificare le informazioni direttamente in memoria.
10. PhotoRec - Recupero dell'immagine del disco e dei dati del dispositivo
PhotoRec è un Strumento di recupero e archiviazione dati multipiattaforma per dischi rigidi, unità flash USB e fotocamere digitali.
Recupera vari formati di immagini e file audio, formati di documenti Ofiice e molti formati di file incluso ZIP.
PhotoRec non tenta di scrivere sul supporto danneggiato che l'utente sta per recuperare. I file recuperati vengono invece scritti in una directory selezionata dall'utente da cui viene eseguito PhotoRec. Può essere utilizzato per il recupero dei dati durante l'esecuzione di analisi forensi, comprese le immagini del disco o della RAM. PhotoRec è un complemento perfetto per TestDisk.
Nel tutorial Analizza immagine disco con FTK Imager, ho mostrato come usare PhotoREc con un'immagine dd dalla memoria flash. Puoi anche vedere un buon articolo che ci offre programmi gratuiti per recuperare file cancellati, dove viene menzionato PhotoRec.
11. RAM Dump - Acquisizione della memoria RAM in Windwos
Questa sezione contiene un set di strumenti per catturare la RAM. Gli strumenti sono Winen e mdd, sono software a riga di comando che ci permetteranno di catturare la RAM da una memoria USB senza avere privilegi di amministratore.
Il comando è molto semplice ad esempio per milioni indichiamo:
l'opzione -oE un nome file dove salvare l'immagine:
mdd -o dump.dd
In questo caso, in 53 secondi siamo riusciti a creare un'immagine di un Windows 7 con 2 GB di RAM.
12. Recuva - Strumento di recupero dati
Recuva è un strumento di recupero file, lo possiamo trovare anche nell'articolo Programmi gratuiti per recuperare file cancellati.
Questo strumento può recuperare file che sono stati eliminati da un computer, un disco rigido, un'unità USB, un lettore MP3 o persino una scheda di memoria da una fotocamera.
Recuva ha una procedura guidata di ripristino per specificare quale tipo di file cercare e quindi rendere più veloce il ripristino. Per fare ciò, avviamo la procedura guidata e quindi dobbiamo selezionare il tipo di file che desideri recuperare come documenti, foto, video, e-mail, tra le altre opzioni.
13. USB Write Protector - Proteggi i dispositivi di archiviazione USB
Consente il protezione per dispositivi USB Per controllare la scrittura di dati e trasferimenti, questo strumento eviterà, ad esempio, che si cancelli o si scriva accidentalmente una pendrive. USB WriteProtector consente di bloccare come sbloccare la protezione da scrittura. Inoltre, può essere eseguito dalla sua interfaccia o dalla riga di comando.
Dobbiamo tenere presente che quando abbiamo l'opzione USB Write ON o OFF attivata, quando colleghiamo una qualsiasi pendrive USB, adotterà automaticamente l'opzione selezionata.
14. Dispositivi USB - Elenco dei dispositivi USB
USBDeview è un strumento che mostra tutti i dispositivi USB attualmente collegati al computer, nonché tutti i dispositivi USB utilizzati in precedenza. Per ogni dispositivo USB, vengono visualizzate informazioni molto dettagliate sul nome del dispositivo, la descrizione, il tipo di dispositivo, il numero di serie, la data e l'ora in cui è stato aggiunto il dispositivo e altre informazioni su sistema, produttore e fornitore.
INGRANDIRE
Consente inoltre di gestire e disinstallare i dispositivi USB precedentemente utilizzati o di lasciarli come storici, inoltre supporta l'opzione di attivazione e disattivazione di qualsiasi dispositivo USB. Può anche essere utilizzato per gestire l'USB in rete su un computer remoto, purché si disponga delle autorizzazioni di sistema e di amministratore di rete.
15. Windows File Analyzer - Analisi e decodifica di file nascosti
Questo strumento analizza e decodifica alcuni file per l'analisi forense. Il file Thumbs.db è un file creato da Windows quando viene utilizzata la visualizzazione miniature. È un file nascosto non visto dagli utenti. Ciò consente di ottenere questi dati, anche se l'immagine è stata eliminata, questo file contiene i dati per l'anteprima dell'immagine.
Anche i collegamenti e le scorciatoie dei file manipolati sono una fonte di informazioni poiché creano un record storico.
Poi abbiamo un'altra sezione chiamata Altri strumenti o Altri strumenti che hanno più applicazioni da eseguire in modalità portatile, alcuni di questi sono:
- SkypeLogView- per visualizzare le conversazioni Skype salvate
- SniffPass: Per spiare la chiave su un determinato IP a cui abbiamo accesso
- La mia ultima ricerca: Per determinare quali sono state le ultime ricerche e da quale browser
- Ripristino del registro di Windows: Recupera e informazioni dal registro di Windows
Abbiamo anche gli strumenti di sistema di Windows da utilizzare dalla riga di comando come netstat, informazioni di sistema, ipconfig e tanti altri.
Per concludere, vi lasciamo un paio di link a tutorial relativi agli audit:
- Sistema di controllo in CentOS 7
- Audit Linux con Lynis
