Статья [1 часть] Универсальный сборщик данных (Triage) с работающей системы Windows

  • Автор темы Sunnych
  • Дата начала
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим автоматизированную утилиту ->
  • Gather Information on
    • System Information
    • Running Processes
    • Services Information
    • NTFS Information
    • Mounted Disks
    • Directory Structure
    • Scheduled Tasks
    • AutoRun
    • Account Settings
    • Logged in Users
    • IP Configuration
    • Routes
    • Active Connections
    • ARP
    • DNS
    • NETBIOS
    • Network Shares
    • Shared Files
    • Connected Sessions
    • Workgroup PCs
  • Capture Evidence
    • Prefetch
    • Recent Folder
    • Jump Lists (Windows 7)
    • SYSTEM hive
    • SECURITY hive
    • SAM hive
    • SOFTWARE hive
    • Current User NTUSER.DAT
    • All user's NTUSER.DAT
    • Random Access Memory
  • Preserve Data
    • MD5 Hashing
    • SHA1 Hashing
TriageIR v.85.jpg

На Выходе мы получим (в текущую папку программы (программа портабельна)):
список-1.jpg

Я хотел показать первый из инструментов, который Вы сами можете опробовать на своей ОС Windows и наглядно увидеть все что можно получить за очень короткий период времени.
P:S
Наверно это не тянет на статью, но мало кто знает вообще бесплатные инструменты. Скриншотить все что мы получаем нет смысла описание есть выше. Потратьте свои 10 мин - лучше один раз потратить 10 минут чем часы на поиски и тестирования.
P:S​
[2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows
[3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows
 
Последнее редактирование:
4

4ger

New member
03.11.2017
3
1
Я что то не вижу. Он собирает пароли из браузеров и от почтовых клиентов?
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Я что то не вижу. Он собирает пароли из браузеров и от почтовых клиентов?
Внимательно читайте тему, он собирает логи в которых есть артефакты, выдирает из системы файлы которые содержат Кусты реестра. На первом скрине все вкладки что он забирает из системы (и EventLog), а потом Вы это все анализируете и забираете нужную Вам из этого информацию.
 
  • Нравится
Реакции: Bidjo111
Мы в соцсетях: