Forensic Scanner это мини комбайн содержащий в себе 44 готовых инструмента.
Шаг 1. Смонтируйте файл образа. Первый шаг к использованию сканера Forensic - это монтирование файла образа как доступного тома.
Есть ряд инструментов и методов, доступных для этого;
Например, вы можете использовать FTK Imager, Arsenal или ImDisk, или изменить файл образа на файл VHD или VMDK и использовать соответствующий метод для монтирования образа.
Шаг 2. Настройка Forensic Scanner. Чтобы запустить сканер, обязательно войдите в систему анализа с использованием учетной записи администратора. Затем перейдите в каталог, в который вы скопировали архивные файлы Forensic Scanner, и дважды щелкните «scanner.exe». После запуска графического интерфейса введите путь к каталогу «system32» в вашем смонтированном образе в первом текстовом поле (Вы можете использовать селектор BrowseForFolder с помощью кнопки «Обзор» справа от текстового поля), а затем введите путь куда Вы хотите, чтобы файлы отчета были записаны во втором текстовом поле. После того, как вы это сделали, нажмите кнопку «Init», и на левой панели в середине GUI должны появиться доступные профили пользователей из вашего смонтированного образа.
Шаг 3. Запустите сканирование. Теперь вы готовы запустить сканирование. Для этого просто нажмите кнопку «Сканировать». Сканер автоматически найдет все плагины, относящиеся к версии Windows, найденной в смонтированном образе, и отсортирует эти плагины по классу сканирования (системе или пользователю), а также по категориям. Это сделано для того, чтобы все плагины из той же категории запускались последовательно, а их выходные данные группировались в файле отчета.
ПРИМЕЧАНИЕ. Для плагинов, принадлежащих нескольким категориям, сканер будет запускать плагин только для первой категории, к которой применяется плагин. Журнал сканирования будет содержать указания на плагины с несколькими категориями, пропускаемыми для последующих категорий.
Когда сканирование завершено, в текстовой области, а также в строке состояния в нижней части графического интерфейса будет отображаться «Сканирование завершено»
Наши результаты:
Forensic Scanner - Author H.Carvey =
- acmru.pl
- appcertdlls.pl
- appcompatcache.pl
- appinitdlls.pl
- arpcache.pl
- direct.pl
- emdmgmt.pl
- esent.pl
- evtrpt.pl
- filehistory.pl
- hosts.pl
- imagefile.pl
- imm32.pl
- mndmru.pl
- mp2.pl
- muicache.pl
- networklist.pl
- ntshrui.pl
- prefetch.pl
- runmru.pl
- samparse.pl
- shellbags.pl
- soft_run.pl
- spoolsv.pl
- spp_clients.pl
- ssid.pl
- sysinternals.pl
- tasks.pl
- tif.pl
- tsclient.pl
- typedpaths.pl
- typedurls.pl
- typedurlstime.pl
- user_run.pl
- userassist.pl
- usertemp.pl
- visal.pl
- win_dll.pl
- win_temp.pl
- winbackup.pl
- winlogon.pl
- wordwheelquery.pl
- ws2_32.pl
- zeus.pl
Есть ряд инструментов и методов, доступных для этого;
Например, вы можете использовать FTK Imager, Arsenal или ImDisk, или изменить файл образа на файл VHD или VMDK и использовать соответствующий метод для монтирования образа.
ПРИМЕЧАНИЕ. Для плагинов, принадлежащих нескольким категориям, сканер будет запускать плагин только для первой категории, к которой применяется плагин. Журнал сканирования будет содержать указания на плагины с несколькими категориями, пропускаемыми для последующих категорий.
Когда сканирование завершено, в текстовой области, а также в строке состояния в нижней части графического интерфейса будет отображаться «Сканирование завершено»
Ссылка скрыта от гостей
Последнее редактирование:
