Wintaylor, ferramenta portátil de análise forense no Windows

Quando queremos fazer uma análise de um computador precisamos de ferramentas que possam ser executadas a partir de qualquer dispositivo, uma delas é o Wintaylor, que faz parte da distribuição CAINE (ambiente investigativo auxiliado por computador).

O que é CAINE?CAINE é uma distribuição Linux para executar análise forense por computador.

O que é Wintaylor?Wintaylor é um conjunto de ferramentas portáteis e os programas que contém são software livre. É muito usado para extrair informações do software e hardware de um computador executando o sistema operacional Windows.

Podemos usar o Wintaylor separadamente sem ter que instalar o CAINE, para isso baixamos:

BAIXAR WINTAYLOR

Depois de fazer o download, descompactamos e podemos executá-lo do disco rígido ou de uma memória flash ou pendrive.

A seguir veremos um conjunto de botões, cada um deles pertence a uma ferramenta, neste tutorial cada ferramenta será descrita e como usá-la.

1. Informações do sistema - Informações do sistema

Esta ferramenta System Information X, permite que você inspecione a configuração do computador, colete informações sobre componentes de hardware e software, e também podemos gerar relatórios.

Quando iniciamos a aplicação, vemos duas opções, a primeira é para a ferramenta de pesquisa de logs e diretórios de eventos e a outra opção é pesquisar ou ler um arquivo de log que iremos indicar. Para este tutorial, selecionaremos a primeira opção.

Depois de analisado exaustivamente o equipamento, obtém-se uma lista completa de todos os seus componentes, juntamente com o seu modelo, fabricante ou detalhes relevantes.

Cada item, podemos explorar os dados, como:

• O processador, nome comercial, arquitetura, número de núcleos, frequência.

• Podemos obter informações sobre RAM, placa-mãe, monitor, placa de vídeo, impressoras, placa de som, dispositivos USB ou adaptadores de rede.

• Também podemos exportar um relatório em XML para uso posterior. Opção interna Arquivo > Relatório de Resumo, teremos a opção de ver todos os perfis que criamos para vários computadores.

2. WinAudit - Auditoria Informática

Esta ferramenta que vimos no tutorial sobre Auditoria de computadores com WinAudit, é um aplicativo muito útil, que euMostra informações abrangentes sobre o sistema operacional, periféricos e logs de erro do BIOS. WinAudit é uma pequena ferramenta para conhecer em profundidade o sistema, hardware e software, registro e eventos do sistema operacional, segurança, usuários.

Por exemplo, no item Privilégios do usuário, podemos ver quais permissões um usuário possui, quando ele se conectou pela última vez e quantas vezes ele se conectou no total.

PROLONGAR

3. DriveManager - Gerenciar Dispositivos de Armazenamento

Esta ferramenta permite que você gerencie a administração de dispositivos de armazenamento. O Drive Manager é uma ferramenta de gerenciamento de disco portátil e gratuita que é usada para visualizar informações sobre discos rígidos, dispositivos removíveis como CD / DVD, drives Flash e até mesmo seus leitores de cartão e drives disponíveis na rede.

PROLONGAR

Você pode mostrar e ocultar ou bloquear e desbloquear unidades, acessar ferramentas como verificação de disco, criar letras de unidade de substituição para arquivos e pastas, pesquisar unidades e velocidade de disco.

Gerenciador de unidade mostra o tamanho do disco, o espaço utilizado, bem como o espaço disponível e a porcentagem de espaço livre, com renovação automática a cada 10 segundos, bem como o volume serial, identificação do produto.

4. TestDisk - Recuperação de Dados

Esta ferramenta é a que vimos no tutorial de Recuperação de disco rígido com ferramentas TestDisk e Rstudio. TestDisk é multiplataforma e É usado para recuperar dados perdidos em discos particionados e discos de inicialização, disco rígido USB ou memória flash e cartões de memória. TestDisk suporta partições nos formatos ext2 / ext3 / ext4, HFS +, HFSX, FAT16, FAT32, FAT, NTFS.

5. FTK Imager - Ferramentas de captura de imagem de disco

O Forensic Toolkit (FTK Imager) é um conjunto de ferramentas para gerenciar e capturar imagens de disco rígido, dispositivos de armazenamento externos e memória RAM para fins de pesquisa.

PROLONGAR

O FTK Imager suporta o armazenamento de imagens de disco no formato de arquivo dd. Esta ferramenta é a que vimos no tutorial Analisar imagem de disco com FTK Imager.

6. PC LIGADO / DESLIGADO - Grava como liga e desliga o computador

Esta ferramenta nos permite saber em quais dias um computador esteve ligado, quando foi desligado e por quantas horas esteve em operação, isso é usado para determinar quando o computador estava ligado, desligado ou no modo de espera. Pode ser um servidor para monitorar se um computador não é utilizado em horários inadequados no caso de uma empresa ou quando técnicos ou administradores externos têm acesso.

PROLONGAR

Esta verificação também pode ser realizada para um computador da rede e possui uma versão gratuita que permite assistir por 3 semanas, a versão paga não tem limites.

7. WHOIS - Informação de Domínio

WhoisThisDomain é um ferramenta de pesquisa de registro de domínio nos permite obter informações sobre um domínio registrado.

Ele se conecta automaticamente ao servidor de banco de dados WHOIS e, por meio do nome de domínio, recupera os dados do registro WHOIS do domínio. Suporta domínios genéricos e domínios de código de país. Podemos criar uma lista de domínios para verificar todos juntos e mantê-los atualizados.

8. LANSCAN - Ferramenta de digitalização de rede

O aplicativo é chamado de PortScan e usado como um scanner de rede Ele pode verificar rapidamente um intervalo de IP e informações sobre os computadores dessa rede. É muito útil se quisermos verificar as informações dos computadores da rede. É muito simples, mas você precisa saber sobre redes para poder determinar quais informações estamos vendo.

A varredura de rede é realizada atribuindo o intervalo de IP, por exemplo 192.168.0.0 a 192.168.0.255 e o aplicativo pesquisará todos os computadores nessa rede. PortScan verifica todas as portas disponíveis e exibe detalhes como endereço MAC, nome de host, portas abertas e servidores HTTP para cada máquina conectada.

Além disso, um endereço IP ou nome de host também pode ser pingado. Também na versão mais recente, ele incorpora uma ferramenta de teste de velocidade de rede para determinar a velocidade de download e upload da conexão de rede. Podemos usar o PortScan para obter informações sobre os serviços HTTP, FTP, SMTP e SMB.

O aplicativo é portátil para que possamos baixá-lo de forma independente e mais atualizado com mais opções.

9. HexEdit - Editor Hex e captura de RAM

Esta ferramenta é um editor hexadecimal, que permite ver o que acontece na memória RAM e na BIOS ao vivo, ou seja, com o computador ligado e funcionando, serve também para capturar imagens da memória e discos.

PROLONGAR

Quando iniciamos o programa a partir do menu Arquivo, podemos escolher um dispositivo de armazenamento ou um bloco de memória RAM ou BIOS.

Assim que tivermos selecionado de onde obteremos os dados, HEXEDIT nos mostrará o conteúdo que podemos explorar. Se tivermos conhecimento suficiente, podemos editar as informações diretamente na memória.

10. PhotoRec - Recuperação de imagem de disco e dados de dispositivo

PhotoRec é um Ferramenta de recuperação e arquivamento de dados multiplataforma para discos rígidos, unidades flash USB e câmeras digitais.

Ele recupera vários formatos de imagens e arquivos de áudio, formatos de documentos Ofiice e muitos formatos de arquivo, incluindo ZIP.

O PhotoRec não tenta gravar na mídia danificada que o usuário está prestes a recuperar. Em vez disso, os arquivos recuperados são gravados em um diretório selecionado pelo usuário a partir do qual o PhotoRec é executado. Ele pode ser usado para recuperação de dados ao executar análises forenses, incluindo imagens de disco ou RAM. PhotoRec é um complemento perfeito para TestDisk.

No tutorial Analisar imagem de disco com FTK Imager, mostrei como usar o PhotoREc com uma imagem dd da memória flash. Você também pode ver um bom artigo que nos oferece programas gratuitos para recuperar arquivos excluídos, onde o PhotoRec é mencionado.

11. Despejo de RAM - captura de memória RAM em Windwos

Esta seção contém um conjunto de ferramentas para capturar RAM. As ferramentas são Winen e mdd, são softwares de linha de comando que nos permitem capturar a RAM de uma memória USB sem ter privilégios de administrador.

O comando é muito simples, por exemplo, para milhão nós indicamos:

 l aoption -o

E um nome de arquivo onde salvar a imagem:

 mdd -o dump.dd

Nesse caso, em 53 segundos conseguimos fazer a imagem de um Windows 7 com 2 GB de RAM.

12. Recuva - ferramenta de recuperação de dados

Recuva é um ferramenta de recuperação de arquivo, também podemos encontrá-lo no artigo Programas gratuitos para recuperar arquivos excluídos.

Essa ferramenta pode recuperar arquivos que foram excluídos de um computador, disco rígido, unidade USB, reprodutor de MP3 ou até mesmo um cartão de memória de uma câmera.

O Recuva possui um assistente de recuperação para especificar o tipo de arquivo a ser pesquisado e, assim, tornar a recuperação mais rápida. Para isso, iniciamos o assistente e a seguir devemos selecionar o tipo de arquivo que deseja recuperar como documentos, fotos, vídeos, emails, entre outras opções.

13. Protetor de gravação USB - protege os dispositivos de armazenamento USB

Permite o proteção para dispositivos USB Para controlar a gravação de dados e transferências, esta ferramenta evitará, por exemplo, que apagemos ou gravemos um pendrive acidentalmente. USB WriteProtector permite bloquear como desbloquear a proteção contra gravação. Além disso, ele pode ser executado a partir de sua interface ou da linha de comando.

Devemos ter em mente que quando tivermos a opção USB Write ON ou OFF ativada, ao conectarmos qualquer pendrive USB, ele automaticamente adotará a opção selecionada.

14. Dispositivos USB - Lista de dispositivos usb

USBDeview é um ferramenta que mostra todos os dispositivos USB atualmente conectados ao computador, bem como todos os dispositivos USB que você usou anteriormente. Para cada dispositivo USB, são exibidas informações muito detalhadas sobre o nome do dispositivo, descrição, tipo de dispositivo, número de série, data e hora em que o dispositivo foi adicionado e outras informações do sistema, fabricante e fornecedor.

PROLONGAR

Também permite gerenciar e desinstalar os dispositivos USB que foram usados ​​anteriormente ou deixá-los como históricos, também oferece a opção de ativar e desativar qualquer um dos dispositivos USB. Ele também pode ser usado para gerenciar o USB em rede em um computador remoto, desde que você tenha as permissões de administrador do sistema e da rede.

15. Windows File Analyzer - Análise e decodificação de arquivos ocultos

Esta ferramenta analisa e decodifica alguns arquivos para análise forense. O arquivo Thumbs.db é um arquivo criado pelo Windows quando a visualização de miniaturas é usada. É um arquivo oculto não visto pelos usuários. Isso permite que você obtenha esses dados, mesmo que a imagem tenha sido excluída, este arquivo contém dados para a visualização da imagem.

Além disso, os links e atalhos de arquivos manipulados são uma fonte de informação, pois criam um registro histórico.

Então temos outra seção chamada Mais ferramentas o Mais ferramentas que possuem vários aplicativos para rodar em modo portátil, alguns deles são:

• SkypeLogView- para ver conversas do Skype salvas

• SniffPass: Para espionar a chave em um determinado IP ao qual temos acesso

• MyLastSearch: Para determinar quais foram as últimas pesquisas e de qual navegador

• Recuperação de registro do Windows: Recupera e informações do registro do Windows

Também temos as ferramentas do sistema Windows para usar a partir da linha de comando, como netstat, Informação do sistema, ipconfig e muito mais.

Para concluir, deixamos alguns links para tutoriais relacionados a auditorias:

• Sistema de auditoria no CentOS 7
• Auditoria Linux com Lynis