- 1. Sistem Bilgisi - Sistem Bilgisi
- 2. WinAudit - Bilgisayar Denetimi
- 3. DriveManager - Depolama Cihazlarını Yönet
- 4. TestDisk - Veri Kurtarma
- 5. FTK Görüntüleyici - Disk Görüntüsü Yakalama Araçları
- 6. PC AÇIK / KAPALI - Bilgisayarın Açılıp Kapanmasını Kaydedin
- 7. WHOIS - Alan Bilgileri
- 8. LANSCAN - Ağ Tarama Aracı
- 9. HexEdit - Hex Düzenleyici ve RAM Yakalama
- 10. PhotoRec - Disk Görüntüsü ve Aygıt Verilerini Kurtarma
- 11. RAM Dökümü - Windwos'ta RAM bellek yakalama
- 12. Recuva - Veri Kurtarma Aracı
- 13. USB Yazma Koruyucusu - USB depolama cihazlarını koruyun
- 14. USB Aygıtları - USB aygıtlarının listesi
- 15. Windows File Analyzer - Gizli dosyaların analizi ve kodunun çözülmesi
Bir bilgisayarın analizini yapmak istediğimizde, herhangi bir cihazdan çalıştırılabilen araçlara ihtiyacımız var, bunlardan biri dağıtımın bir parçası olan Wintaylor. CAINE (Bilgisayar Destekli Araştırma Ortamı).
KAİN nedir?CAINE, gerçekleştirmek için bir Linux dağıtımıdır adli bilişim analizi.
Wintaylor nedir?Wintaylor bir dizi taşınabilir araçtır ve içerdiği programlar özgür yazılımlardır.. çok Windows işletim sistemini çalıştıran bir bilgisayarın yazılım ve donanımından bilgi çıkarmak için kullanılır.
Wintaylor'u CAINE'i kurmak zorunda kalmadan ayrıca kullanabiliriz, bunun için indiriyoruz:
WINTAYLOR'U İNDİR
İndirdikten sonra, sıkıştırılmış dosyayı açarız ve sabit sürücüden veya bir flash bellekten veya bir pendrive'dan çalıştırabiliriz.
Daha sonra, her biri bir araca ait olan bir dizi düğme göreceğiz, bu eğitimde her araç ve nasıl kullanılacağı açıklanacak.
1. Sistem Bilgisi - Sistem Bilgisi
Bu Sistem Bilgisi X aracı, bilgisayarın yapılandırmasını incelemenize, donanım ve yazılım bileşenleri hakkında bilgi toplamanıza olanak tanır ve ayrıca raporlar oluşturabiliriz.
Uygulamayı başlattığımızda iki seçenek görüyoruz, ilki araç için olay günlüklerini ve dizinleri aramak, diğer seçenek ise belirteceğimiz bir günlük dosyasını aramak veya okumaktır. Bu eğitim için ilk seçeneği seçeceğiz.
Ekipman kapsamlı bir şekilde analiz edildikten sonra, modeli, üreticisi veya ilgili ayrıntılarıyla birlikte tüm bileşenlerinin kapsamlı bir listesi elde edilir.
Her öğe aşağıdaki gibi verileri keşfedebiliriz:
- İşlemci, ticari isim, mimari, çekirdek sayısı, frekans.
- RAM, anakart, monitör, ekran kartı, yazıcılar, ses kartı, USB cihazları veya ağ adaptörleri hakkında bilgi alabiliriz.
- Ayrıca daha sonra kullanmak üzere bir raporu XML olarak dışa aktarabiliriz. İç seçeneği Dosya > Özet raporu, birkaç bilgisayar için oluşturduğumuz tüm profilleri görme seçeneğine sahip olacağız.
2. WinAudit - Bilgisayar Denetimi
WinAudit ile Bilgisayarları Denetleme konulu eğitimde gördüğümüz bu araç çok kullanışlı bir uygulamadır.İşletim sistemi, çevre birimleri ve BIOS hata günlükleri hakkında kapsamlı bilgiler gösterir. WinAudit, sistemi hem donanım hem de yazılım, kayıt defteri ve işletim sistemi olaylarını, güvenliği, kullanıcıları derinlemesine bilmek için küçük bir araçtır.
Örneğin Kullanıcı Ayrıcalıkları öğesinde bir kullanıcının hangi izinlere sahip olduğunu, en son ne zaman giriş yaptığını ve toplamda kaç kez giriş yaptığını görebiliriz.
BÜYÜT
3. DriveManager - Depolama Cihazlarını Yönet
Bu araç depolama cihazlarının yönetimini yönetmenize olanak tanır. Drive Manager, sabit sürücüler, CD / DVD, Flash sürücüler gibi çıkarılabilir aygıtlar ve hatta ağ üzerinden kullanılabilen kart okuyucularınız ve sürücüleriniz hakkındaki bilgileri görüntülemek için kullanılan ücretsiz ve taşınabilir bir disk yönetim aracıdır.
BÜYÜT
Sürücüleri gösterebilir ve gizleyebilir veya kilitleyebilir ve kilidini açabilir, disk kontrolü gibi araçlara erişebilir, dosya ve klasörler için yedek sürücü harfleri oluşturabilir, sürücüleri arayabilir, disk hızı yapabilirsiniz.
Sürücü yöneticisi her 10 saniyede bir otomatik yenileme ile disk boyutunu, kullanılan alanı ve hem kullanılabilir alanı hem de boş alan yüzdesini, ayrıca seri birimi, ürün kimliğini gösterir.
4. TestDisk - Veri Kurtarma
Bu araç, TestDisk ve Rstudio araçlarıyla Sabit Disk Kurtarma eğitiminde gördüğümüz araçtır. TestDisk çapraz platformdur ve Bölümlenmiş diskler ve önyükleme diskleri, usb sabit disk veya flash bellek ve hafıza kartlarında kaybolan verileri kurtarmak için kullanılır.. TestDisk, ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS formatındaki bölümleri destekler.
5. FTK Görüntüleyici - Disk Görüntüsü Yakalama Araçları
Adli Araç Seti (FTK Görüntüleyici), bir sabit disk, harici depolama cihazları ve RAM belleğinin görüntülerini yönetmek ve yakalamak için araçlar seti Araştırma amaçlı.
BÜYÜT
FTK Imager, disk görüntülerinin dd dosya biçiminde depolanmasını destekler. Bu araç, FTK Imager ile disk görüntüsünü analiz et eğitiminde gördüğümüz araçtır.
6. PC AÇIK / KAPALI - Bilgisayarın Açılıp Kapanmasını Kaydedin
Bu araç bir bilgisayarın hangi günlerde açık olduğunu, ne zaman kapandığını ve kaç saat çalıştığını bilmemizi sağlar., bu, bilgisayarın ne zaman açık, kapalı veya bekleme modunda olduğunu belirlemek için kullanılır. Bu, bir şirket olması durumunda veya harici teknisyenlere veya yöneticilere erişim izni verildiğinde, bir bilgisayarın uygun olmayan saatlerde kullanılmadığını izlemek için bir sunucu olabilir.
BÜYÜT
Bu doğrulama ağdaki bir bilgisayar için de yapılabilir ve 3 hafta izlemenizi sağlayan ücretsiz bir sürümü vardır, ücretli sürümünde sınır yoktur.
7. WHOIS - Alan Bilgileri
WhoisThisDomain bir alan kaydı arama aracı kayıtlı bir alan adı hakkında bilgi edinmemizi sağlar.
WHOIS veritabanı sunucusuna otomatik olarak bağlanır ve alan adı aracılığıyla, alanın WHOIS kaydından verileri alır. Hem genel alan adlarını hem de ülke kodu alan adlarını destekler. Hepsini bir arada kontrol etmek ve güncel tutmak için bir alan listesi oluşturabiliriz.
8. LANSCAN - Ağ Tarama Aracı
Uygulamanın adı PortScan ve ağ tarayıcısı olarak kullanılır Bir IP aralığını ve o ağdaki bilgisayarlar hakkındaki bilgileri hızlı bir şekilde kontrol edebilir. Ağdaki bilgisayarların bilgilerini kontrol etmek istiyorsak çok kullanışlıdır. Çok basit ama hangi bilgileri gördüğümüzü belirleyebilmek için ağlar hakkında bilgi sahibi olmalısınız.
Ağ taraması, örneğin 192.168.0.0 ila 192.168.0.255 gibi IP aralığı atanarak gerçekleştirilir ve uygulama bu ağdaki tüm bilgisayarları arar. PortScan mevcut tüm bağlantı noktalarını tarar ve bağlı her makine için MAC adresi, ana bilgisayar adı, açık bağlantı noktaları ve HTTP sunucuları gibi ayrıntıları görüntüler.
Ek olarak, bir IP adresi veya ana bilgisayar adı da ping işlemine tabi tutulabilir. Ayrıca en son sürümde, ağ bağlantısının indirme ve yükleme hızını belirlemek için bir ağ hızı test aracı içerir. PortScan'ı HTTP, FTP, SMTP ve SMB hizmetleri hakkında bilgi almak için kullanabiliriz..
Uygulama taşınabilirdir, böylece bağımsız olarak indirebiliriz ve daha fazla seçenekle daha güncellenir.
9. HexEdit - Hex Düzenleyici ve RAM Yakalama
Bu araç bir altıgen düzenleyici, RAM belleğinde ve BIOS'ta canlı olarak neler olduğunu görmenizi sağlayan, yani bilgisayar açık ve çalışır durumdayken, aynı zamanda bellek görüntüleri ve diskleri yakalamaya da hizmet eder.
BÜYÜT
Programı File menüsünden başlattığımızda, bir depolama aygıtı veya bir RAM veya BIOS bellek bloğu seçebiliriz.
Verileri nereden alacağımızı seçtiğimizde, HEXEDIT bize keşfedebileceğimiz içeriği gösterecek. Yeterli bilgiye sahipsek, bilgileri doğrudan bellekte düzenleyebiliriz.
10. PhotoRec - Disk Görüntüsü ve Aygıt Verilerini Kurtarma
PhotoRec bir Sabit sürücüler, USB flash sürücüler ve dijital kameralar için çok platformlu veri kurtarma ve arşivleme aracı.
Çeşitli görüntü formatlarını ve ses dosyalarını, Ofiice belge formatlarını ve ZIP dahil birçok dosya formatını kurtarır.
PhotoRec, kullanıcının kurtarmak üzere olduğu hasarlı ortama yazmaya çalışmaz. Kurtarılan dosyalar bunun yerine PhotoRec'in çalıştırıldığı, kullanıcı tarafından seçilen bir dizine yazılır. Disk veya RAM görüntüleri de dahil olmak üzere adli analiz yaparken veri kurtarma için kullanılabilir. PhotoRec, TestDisk için mükemmel bir tamamlayıcıdır.
Disk görüntüsünü FTK Imager ile analiz etme eğitiminde, PhotoREc'in flash bellekten bir dd görüntüsü ile nasıl kullanılacağını gösterdim. Ayrıca, PhotoRec'in bahsedildiği, silinen dosyaları kurtarmak için bize ücretsiz programlar sunan iyi bir makale de görebilirsiniz.
11. RAM Dökümü - Windwos'ta RAM bellek yakalama
Bu bölümde bir RAM yakalamak için araçlar seti. Araçlar Winen ve mdd, yönetici ayrıcalıklarına sahip olmadan bir USB bellekten RAM yakalamamızı sağlayacak komut satırı yazılımıdır.
Komut çok basittir, örneğin milyon belirtiyoruz:
l seçeneği -oVe görüntünün kaydedileceği bir dosya adı:
mdd -o dökümü.dd
Bu durumda 53 saniyede 2 GB RAM'e sahip bir Windows 7'nin görüntüsünü yapabildik.
12. Recuva - Veri Kurtarma Aracı
Recuva bir dosya kurtarma aracı, Silinen dosyaları kurtarmak için ücretsiz programlar makalesinde de bulabiliriz.
Bu araç bilgisayardan, sabit sürücüden, USB sürücüden, MP3 çalardan ve hatta bir kameradan hafıza kartından silinen dosyaları kurtarabilir.
Recuva, ne tür bir dosyanın aranacağını belirlemek ve böylece kurtarma işlemini hızlandırmak için bir kurtarma sihirbazına sahiptir. Bunu yapmak için sihirbazı başlatıyoruz ve ardından diğer seçeneklerin yanı sıra belgeler, fotoğraflar, videolar, e-postalar gibi kurtarmak istediğiniz dosya türünü seçmeliyiz.
13. USB Yazma Koruyucusu - USB depolama cihazlarını koruyun
izin verir USB cihazları için koruma Verilerin ve aktarımların yazılmasını kontrol etmek için bu araç, örneğin kazara bir pendrive'ı silmemizi veya yazmamızı engeller. USB WriteProtector, yazma korumasının nasıl açılacağını engellemenizi sağlar. Ayrıca kendi arayüzünden veya komut satırından çalıştırılabilir.
USB Yazma AÇIK veya KAPALI seçeneğini etkinleştirdiğimizde, herhangi bir USB pendrive'ı bağladığımızda, otomatik olarak seçilen seçeneği benimseyeceğini unutmamalıyız.
14. USB Aygıtları - USB aygıtlarının listesi
USBDeview bir Şu anda bilgisayara bağlı olan tüm USB aygıtlarını ve daha önce kullandığınız tüm USB aygıtlarını gösteren araç. Her USB aygıtı için aygıt adı, açıklaması, aygıt türü, seri numarası, aygıtın eklendiği tarih ve saat ve diğer sistem, üretici ve satıcı bilgileri hakkında çok ayrıntılı bilgiler görüntülenir.
BÜYÜT
Ayrıca daha önce kullanılmış olan USB cihazlarını yönetmenizi ve kaldırmanızı veya geçmiş olarak bırakmanızı sağlar, ayrıca herhangi bir USB cihazını etkinleştirme ve devre dışı bırakma seçeneğini de destekler. Sistem ve ağ yöneticisi izinlerine sahip olduğunuz sürece, uzak bir bilgisayarda ağa bağlı USB'yi yönetmek için de kullanılabilir.
15. Windows File Analyzer - Gizli dosyaların analizi ve kodunun çözülmesi
Bu araç adli analiz için bazı dosyaları analiz eder ve kodunu çözer. Thumbs.db dosyası, küçük resim görünümü kullanıldığında Windows tarafından oluşturulan bir dosyadır. Kullanıcılar tarafından görülmeyen gizli bir dosyadır. Bu, görüntü silinmiş olsa bile bu verileri elde etmenizi sağlar, bu dosya görüntünün önizlemesi için veriler içerir.
Ayrıca, manipüle edilmiş dosyaların bağlantıları ve kısayolları, tarihsel bir kayıt oluşturdukları için bir bilgi kaynağıdır.
Sonra adı verilen başka bir bölümümüz var. Diğer Araçlar o Taşınabilir modda çalıştırılacak birden fazla uygulamaya sahip daha fazla Araç, bunlardan bazıları şunlardır:
- SkypeLogView- kayıtlı Skype konuşmalarını görüntülemek için
- SniffPass: Erişimimiz olan belirli bir IP'deki anahtarı gözetlemek için
- MyLastSearch: Hangisinin son aramalar olduğunu ve hangi tarayıcıdan yapıldığını belirlemek için
- Windows Kayıt Defteri Kurtarma: Windows kayıt defterinden bilgi alır ve alır
Ayrıca komut satırından kullanmak için Windows sistem araçlarına da sahibiz. netstat, sistem bilgisi, ipconfig ve daha fazlası.
Sonuç olarak, size denetimlerle ilgili eğitimlere birkaç bağlantı bırakıyoruz:
- CentOS 7'de denetim sistemi
- Lynis ile Linux Denetimi
