Wintaylor, outil d'analyse médico-légale portable sous Windows

Wintaylor, outil d'analyse médico-légale portable sous Windows
Table des matières

Lorsque nous voulons effectuer une analyse d'un ordinateur, nous avons besoin d'outils pouvant être exécutés à partir de n'importe quel appareil, l'un d'eux est Wintaylor, qui fait partie de la distribution CAINE (Environnement d'enquête assistée par ordinateur).

Qu'est-ce que CAINE ?CAINE est une distribution Linux pour effectuer analyse médico-légale informatique.

Qu'est-ce que Wintaylor ?Wintaylor est un ensemble d'outils portables et les programmes qu'il contient sont des logiciels libres. C'est très utilisé pour extraire des informations du logiciel et du matériel d'un ordinateur exécutant le système d'exploitation Windows.

Nous pouvons utiliser Wintaylor séparément sans avoir à installer CAINE, pour cela nous téléchargeons :

TÉLÉCHARGER WINTAYLOR

Une fois que nous l'avons téléchargé, nous le décompressons et nous pouvons l'exécuter à partir du disque dur ou d'une mémoire flash ou d'une clé USB.

Ensuite, nous verrons un ensemble de boutons, chacun d'eux appartient à un outil, dans ce tutoriel, chaque outil sera décrit et comment l'utiliser.

1. Informations système - Informations système


Cet outil System Information X, vous permet d'inspecter la configuration de l'ordinateur, de collecter des informations sur les composants matériels et logiciels, et nous pouvons également générer des rapports.

Lorsque nous démarrons l'application, nous voyons deux options, la première est pour l'outil de rechercher les journaux d'événements et les répertoires et l'autre option est de rechercher ou de lire un fichier journal que nous indiquerons. Pour ce tutoriel, nous sélectionnerons la première option.

Une fois que l'équipement a été soigneusement analysé, une liste complète de tous ses composants est obtenue, ainsi que leur modèle, leur fabricant ou les détails pertinents.

Chaque élément, nous pouvons explorer les données telles que:

  • Le processeur, le nom commercial, l'architecture, le nombre de cœurs, la fréquence.
  • Nous pouvons obtenir des informations sur la RAM, la carte mère, le moniteur, la carte vidéo, les imprimantes, la carte son, les périphériques USB ou les adaptateurs réseau.
  • Nous pouvons également exporter un rapport en XML pour une utilisation ultérieure. Option à l'intérieur Fichier > Rapport sommaire, nous aurons la possibilité de voir tous les profils que nous avons créés pour plusieurs ordinateurs.

2. WinAudit - Audit informatique


Cet outil que nous avons vu dans le tutoriel sur l'Audit des ordinateurs avec WinAudit, est une application très utile, que j'aiAffiche des informations détaillées sur le système d'exploitation, les périphériques et les journaux d'erreurs du BIOS. WinAudit est un petit outil pour connaître en profondeur le système à la fois matériel et logiciel, registre et événements du système d'exploitation, sécurité, utilisateurs.

Par exemple, dans l'élément Privilèges de l'utilisateur, nous pouvons voir les autorisations dont dispose un utilisateur, quand il s'est connecté pour la dernière fois et combien de fois il s'est connecté au total.

AGRANDIR

3. DriveManager - Gérer les périphériques de stockage


Cet outil permet de gérer l'administration des périphériques de stockage. Drive Manager est un outil de gestion de disque gratuit et portable qui est utilisé pour afficher des informations sur les disques durs, les périphériques amovibles comme les CD / DVD, les lecteurs Flash et même vos lecteurs de cartes et lecteurs disponibles sur le réseau.

AGRANDIR

Vous pouvez afficher et masquer ou verrouiller et déverrouiller des lecteurs, accéder à des outils tels que la vérification de disque, créer des lettres de lecteur de remplacement pour les fichiers et dossiers, rechercher des lecteurs, la vitesse du disque.

Gestionnaire de lecteur indique la taille du disque, l'espace utilisé, et à la fois l'espace disponible et le pourcentage d'espace libre, avec renouvellement automatique toutes les 10 secondes, ainsi que le volume de série, l'identification du produit.

4. TestDisk - Récupération de données


Cet outil est celui que nous avons vu dans le didacticiel Hard Drive Recovery avec les outils TestDisk et Rstudio. TestDisk est multiplateforme et Il est utilisé pour récupérer des données perdues sur des disques partitionnés et des disques de démarrage, un disque dur USB ou une mémoire flash et des cartes mémoire. TestDisk prend en charge les partitions au format ext2/ext3/ext4, HFS+, HFSX, FAT16, FAT32, FAT, NTFS.

5. Imageur FTK - Outils de capture d'image disque


Le Forensic Toolkit (FTK Imager) est un ensemble d'outils pour gérer et capturer des images de disque dur, de périphériques de stockage externes et de mémoire RAM à des fins de recherche.

AGRANDIR

FTK Imager prend en charge le stockage des images disque au format de fichier dd. Cet outil est celui que nous avons vu dans le didacticiel Analyser l'image disque avec FTK Imager.

6. PC ON / OFF - Enregistrer la mise sous et hors tension de l'ordinateur


Cet outil nous permet de savoir quels jours un ordinateur a été allumé, quand il a été éteint et combien d'heures il a fonctionné, ceci est utilisé pour déterminer quand l'ordinateur était allumé, éteint ou en mode veille. Cela peut être un serveur pour surveiller qu'un ordinateur n'est pas utilisé à des heures inappropriées dans le cas d'une entreprise ou lorsque des techniciens ou administrateurs externes ont accès.

AGRANDIR

Cette vérification peut également être effectuée pour un ordinateur sur le réseau et il dispose d'une version gratuite qui vous permet de regarder 3 semaines, la version payante n'a pas de limites.

7. WHOIS - Informations sur le domaine


WhoisThisDomain est un outil de recherche d'enregistrement de domaine nous permet d'obtenir des informations sur un domaine enregistré.

Il se connecte automatiquement au serveur de base de données WHOIS et, via le nom de domaine, récupère les données de l'enregistrement WHOIS du domaine. Il prend en charge à la fois les domaines génériques et les domaines de code de pays. Nous pouvons créer une liste de domaines pour vérifier tous ensemble et les tenir à jour.

8. LANSCAN - Outil d'analyse de réseau


L'application s'appelle PortScan et utilisé comme scanner de réseau Il peut rapidement vérifier une plage IP et des informations sur les ordinateurs de ce réseau. C'est très utile si l'on veut vérifier les informations des ordinateurs sur le réseau. C'est très simple mais il faut connaître les réseaux pour pouvoir déterminer quelles informations nous voyons.

L'analyse du réseau est effectuée en attribuant la plage IP, par exemple 192.168.0.0 à 192.168.0.255 et l'application recherchera tous les ordinateurs de ce réseau. PortScan scanne tous les ports disponibles et affiche des détails tels que l'adresse MAC, le nom d'hôte, les ports ouverts et les serveurs HTTP pour chaque machine connectée.

De plus, une adresse IP ou un nom d'hôte peut également être ping. Également dans la version la plus récente, il intègre un outil de test de vitesse du réseau pour déterminer la vitesse de téléchargement et de téléchargement de la connexion réseau. Nous pouvons utiliser PortScan pour obtenir des informations sur les services HTTP, FTP, SMTP et SMB.

L'application est portable, nous pouvons donc la télécharger indépendamment et plus mise à jour avec plus d'options.

9. HexEdit - Éditeur hexadécimal et capture RAM


Cet outil est un éditeur hexadécimal, qui vous permet de voir ce qui se passe dans la mémoire RAM et dans le BIOS en direct, c'est-à-dire que l'ordinateur est allumé et fonctionne, il sert également à capturer des images mémoire et des disques.

AGRANDIR

Lorsque nous démarrons le programme à partir du menu Fichier, nous pouvons choisir un périphérique de stockage ou un bloc de mémoire RAM ou BIOS.

Une fois que nous avons sélectionné d'où nous obtiendrons les données, HEXEDIT, nous montrera le contenu que nous pouvons explorer. Si nous avons suffisamment de connaissances, nous pouvons modifier les informations directement en mémoire.

10. PhotoRec - Récupération d'image disque et de données de périphérique


PhotoRec est un Outil de récupération et d'archivage de données multiplateforme pour disques durs, clés USB et appareils photo numériques.

Il récupère divers formats d'images et de fichiers audio, les formats de documents Ofiice et de nombreux formats de fichiers, y compris ZIP.

PhotoRec n'essaie pas d'écrire sur le support endommagé que l'utilisateur est sur le point de récupérer. Les fichiers récupérés sont plutôt écrits dans un répertoire sélectionné par l'utilisateur à partir duquel PhotoRec est exécuté. Il peut être utilisé pour la récupération de données lors de l'exécution d'une analyse médico-légale, y compris des images de disque ou de RAM. PhotoRec est un complément parfait à TestDisk.

Dans le didacticiel Analyser l'image disque avec FTK Imager, j'ai montré comment utiliser PhotoREc avec une image dd à partir de la mémoire flash. Vous pouvez également voir un bon article qui nous propose des programmes gratuits pour récupérer les fichiers supprimés, où PhotoRec est mentionné.

11. RAM Dump - Capture de mémoire RAM dans Windwos


Cette section contient un ensemble d'outils pour capturer la RAM. Les outils sont Winen et mdd, ce sont des logiciels en ligne de commande qui vont nous permettre de capturer la RAM depuis une mémoire USB sans avoir les privilèges administrateur.

La commande est très simple par exemple pour million nous indiquons : 

 l option -o
Et un nom de fichier où enregistrer l'image : 
 mdd -o dump.dd

Dans ce cas, en 53 secondes, nous avons pu faire une image d'un Windows 7 avec 2 Go de RAM.

12. Recuva - Outil de récupération de données


Recuva est un outil de récupération de fichiers, nous pouvons également le trouver dans l'article Programmes gratuits pour récupérer des fichiers supprimés.

Cet outil peut récupérer des fichiers qui ont été supprimés d'un ordinateur, d'un disque dur, d'une clé USB, d'un lecteur MP3, ou même d'une carte mémoire d'un appareil photo.

Recuva dispose d'un assistant de récupération pour spécifier le type de fichier à rechercher et ainsi accélérer la récupération. Pour ce faire, nous démarrons l'assistant, puis nous devons sélectionner le type de fichier que vous souhaitez récupérer, tels que des documents, des photos, des vidéos, des e-mails, entre autres options.

13. Protecteur d'écriture USB - Protégez les périphériques de stockage USB


Permet au protection des périphériques USB Pour contrôler l'écriture des données et les transferts, cet outil évitera, par exemple, que l'on efface ou écrive une clé USB par accident. USB WriteProtector vous permet de bloquer le déverrouillage de la protection en écriture. De plus, il peut être exécuté depuis son interface ou depuis la ligne de commande.

Nous devons garder à l'esprit que lorsque l'option USB Write ON ou OFF est activée, lorsque nous connectons une clé USB, elle adoptera automatiquement l'option sélectionnée.

14. Périphériques USB - Liste des périphériques USB


USBDeview est un outil qui affiche tous les périphériques USB actuellement connectés à l'ordinateur, ainsi que tous les périphériques USB que vous avez précédemment utilisés. Pour chaque périphérique USB, des informations très détaillées sur le nom du périphérique, la description, le type de périphérique, le numéro de série, la date et l'heure auxquelles ce périphérique a été ajouté et d'autres informations sur le système, le fabricant et le fournisseur sont affichées.

AGRANDIR

Il vous permet également de gérer et de désinstaller les périphériques USB qui ont été précédemment utilisés ou de les laisser comme historiques, il prend également en charge la possibilité d'activer et de désactiver l'un des périphériques USB. Il peut également être utilisé pour gérer l'USB en réseau sur un ordinateur distant, tant que vous disposez des autorisations d'administrateur système et réseau.

15. Windows File Analyzer - Analyse et décodage des fichiers cachés


Cet outil analyse et décode certains fichiers pour l'analyse médico-légale. Le fichier Thumbs.db est un fichier créé par Windows lorsque la vue miniature est utilisée. Il s'agit d'un fichier caché que les utilisateurs ne voient pas. Cela vous permet d'obtenir ces données, même si l'image a été supprimée, ce fichier contient des données pour la prévisualisation de l'image.

De plus, les liens et les raccourcis des fichiers manipulés sont une source d'informations puisqu'ils créent un enregistrement historique.

Ensuite, nous avons une autre section appelée Plus d'outils o Plus d'outils qui ont plusieurs applications à exécuter en mode portable, certains d'entre eux sont :

  • SkypeLogView- pour afficher les conversations Skype enregistrées
  • SniffPass: Pour espionner la clé sur une certaine IP à laquelle nous avons accès
  • Ma dernière recherche: Pour déterminer quelles étaient les dernières recherches et à partir de quel navigateur
  • Récupération du Registre Windows: Récupère et des informations du registre Windows

Nous avons également les outils système Windows à utiliser à partir de la ligne de commande tels que netstat, information système, ipconfig et beaucoup plus.

Pour conclure, nous vous laissons quelques liens vers des tutoriels liés aux audits :

  • Système d'audit dans CentOS 7
  • Audit Linux avec Lynis

Vous contribuerez au développement du site, partager la page avec vos amis

wave wave wave wave wave

Articles Populaires

wave
1
post-title
▷ Qu'est-ce qu'un compte Pro sur TikTok - Comment l'activer et à quoi cela sert-il
2
post-title
Microsoft met à jour sa suite Office avec des correctifs de sécurité
3
post-title
Espionner et potins sur Instagram, Facebook et WhatsApp ✔️
4
post-title
Accélérer et optimiser macOS Catalina
5
post-title
Votre mot de passe principal Firefox est compromis depuis 9 ans

Recommandé

wave
- Sponsored Ad -

Choix De L'Éditeur

wave
- Sponsored Ad -