inuasparwil.ru

Пакет програм forensic tools від nirsoft.




Утиліти розділу сайту NirSoft Forensic Tools можуть використовуватися фахівцями з комп`ютерної безпеки для розслідування різних інцидентів. Програми пакету є стерпним програмним забезпеченням і можуть використовуватися без установки в системі, а також, при деяких додаткових настройках, можуть застосовуватися для додатків і їх робочих даних, які не є частиною ПЗ, встановленого в поточній системі (що знаходяться на зовнішніх знімних дисках).

Розділ Computer Forensics Software for Windows на сайті розробника Nir Sofer

Наступна таблиця містить посилання на сторінки з найбільш поширеними програмами з пакету Forensic Tools і їх короткий опис:

IEHistoryView
IEHistoryView дозволяє витягти історію оглядача Internet Explorer з файлу index.dat.Інформація включає в себе відвідувані URL, назви веб-сайтів, кількість відвідувань сайту користувачем, дату і час останнього перегляду. Також, відображається інформація про локальні файлах, що відкривалися з використанням Internet Explorer.

При використанні IEHistoryView для вилучення історії браузера, який використовувався на зовнішньому диску:

  • Перейти в меню File - gt; Select History Folder (Ctrl + H), і вибрати каталог на зовнішньому диску, в якому розміщується файл index.dat.
  • У командному рядку задати каталог у вигляді параметра:
    iehv.exe / stab c: temp history.txt -folder "D: Documents and Settings User Local Settings History"

Примітка:Для отримання достовірних даних, бажано мати однакові настройки дати та часових поясів на комп`ютері з працюючою програмою IEHistoryView і в досліджуваній системі на зовнішньому диску.

IECacheView
IECacheView дозволяє витягти кешированниє дані на основі вмісту файлу index.dat браузера Internet Explorer. Інформація відображається у вигляді, подібному отображаемомупрограммой IEHistoryView, але набагато більше за обсягом - для кожної відвідуваною сторінки відображається множинні записи, включаючи зображення і компоненти для завантаження.

Для перегляду кеш браузера на зовнішньому диску:

  • Перейти в меню File - gt; Select Cache Folder (F9), і вибрати папку " Temporary Internet Files" з профілю користувача на зовнішньому диску.
  • У командному рядку задати параметр, що визначає розміщення папки з тимчасовими файлами браузера:
    IECacheView.exe -folder "C: Documents and Settings Admin Local Settings Temporary Internet Files" / stab c: temp cache.txt
IECookiesView
IECookiesView дозволяє витягти всі файли кукі (cookie), після успішної реєстрації оглядачем Internet Explorer.

Для вилучення файлів на зовнішньому диску:

  • Перейти в меню File - gt; Select Cookies Folder (Ctrl + O) і вказати розташування каталогу Cookies
  • У командному рядку вказати шлях до папки Cookies з використанням параметра / dir:
    IECookiesView / dir "C: Documents and Settings Admin Cookies"
IE PassView
IE PassView дозволяє отримати паролі до сайтів, після успішної реєстрації в браузері Internet Explorer.

IE PassView може відображати паролі для браузера на зовнішньому диску, але з обмеженнями:

  • підтримуються тільки версії Internet Explorer - 7.x and 8.x.
  • Поки не підтримуються версії Windows 7 і старше.
  • Повинен бути відомий пароль користувача Windows на зовнішньому диску, оскільки він використовується при розшифровці зашифрованих паролів зовнішньої системи.



Для використання програми по відношенню до зовнішнього диску:

  • Перейти в меню Options - gt; Advanced Options (F8), вибрати `Load passwords from the following user profile`, і вибрати папку з профілем користувача.
  • У командному рядку використовується параметр / external задає шлях до профілю користувача:
    iepv.exe / external "C: Documents and Settings admin"
MozillaCacheView
MozillaCacheView відображає кеш, запомненний в браузері Mozilla Firefox.

Для отримання кеш браузера на зовнішньому диску:

  • Перейти в меню File - gt; Select Cache Folder (F9) і вибрати папку з кеш в профілі користувача.
  • У командному рядку задати параметр -folder визначає шлях до папки з кеш на зовнішньому диску:
    MozillaCacheView.exe -folder "C: Documents and Settings user Local Settings Application Data Mozilla Firefox Profiles acf2c3u2.default Cache" / stab c: temp cache.txt
MozillaHistoryView
MozillaHistoryView відображає історію відвідуваних сторінок в браузері Mozilla Firefox. Починаючи сFirefox 3, програма вимагає наявності встановленого браузера на комп`ютері, оскільки використовується бібліотека sqlite3.dll для читання історії (SQLite history database) Firefox.

Для отримання історії браузера, встановленого на зовнішньому диску:

  • Перейти в меню File - gt; Select History File (Ctrl + H) і вибрати файл history.dat в профілі користувача.
  • У командному рядку використовується параметр -file:
    MozillaHistoryView.exe -file "C: Documents and Settings Admin Application Data Mozilla Profiles test p34kcd3y.slt history.dat" / stab c: temp mz-history.txt
MozillaCookiesView



При використанні профілю користувача на зовнішньому диску:

  • Перейти в меню File - gt; Select Cookies File / Profiles Folder, і вибрати файл з куки на зовнішньому диску.
  • У командному рядку використовується параметр -cookiesfile вказує файл куки:
    mzcv.exe -cookiesfile "J: Documents and Settings Admin Application Data Mozilla Firefox Profiles 1a2jjx2u.default cookies.sqlite"
PasswordFox
PasswordFox дозволяє отримати паролі до сайтів, після успішної реєстрації в браузері Mozilla Firefox.Для розшифровки паролів потрібно, щоб браузер був встановлений на комп`ютер, де запускається PasswordFox.

Для отримання паролів до сайтів користувача, профіль якого знаходиться на зовнішньому диску:

  • Перейти в меню File - gt; Select Folders, і вибрати шлях профілю користувача.
  • У командному рядку використовувати параметр / profile визначає шлях до профілю
    PasswordFox.exe / profile "I: Documents and Settings User Application Data Mozilla Firefox Profiles 1z7ccd2u.default"
OperaCacheView
OperaCacheView дозволяє отримати кеш сторінок, що запам`ятали в браузері Opera.

Для отримання кеш, збережених в браузері на зовнішньому диску:

  • Перейти в меню File - gt; Select Cache Folder (F9) і вказати шлях до папки для кеш.
  • У командному рядку використовувати параметр -folder:
    OperaCacheView.exe -folder "J: Documents and Settings Admin Local Settings Application Data Opera Opera cache"
OperaPassView
OperaPassView дозволяє переглядати паролі до сайтів, після успішної реєстрації в браузері Opera.Программа не дозволяє розкривати паролі, захищені майстер-паролем (master password).

Для отримання паролів до сайтів, що запам`ятали браузером, встановленим на зовнішньому диску:

  • Перейти в меню Options-gt; Advanced Options (F8) і вибрати файл wand.dat на зовнішньому диску.
ChromeCacheView
ChromeCacheView дозволяє отримати кеш сторінок, які відкривалися в браузері Google Chrome.

Для отримання кеш на зовнішньому диску:

  • Перейти в меню File - gt; Select Cache Folder (F9) і вибрати папку з кеш на зовнішньому диску.
  • У командному рядку використовується параметр -folder:
    ChromeCacheView.exe -folder "P: Documents and Settings Admin Local Settings Application Data Google Chrome User Data Default Cache"
MyLastSearch
MyLastSearch сканує файли кеш і історії чотирьох веб-браузерів (IE, Firefox, Opera, Chrome), і розпізнає пошукові запити, які виконуються в найбільш популярних пошукових системах (Google, Yahoo і Bing) і найбільш популярних соціальних мережах (Twitter, Facebook, MySpace) , а також загальнодоступних сервісах (Youtube, Ask.com).

Для вилучення пошукових запитів на зовнішньому диску, використовується параметр / loadfrom:
MyLastSearch.exe / loadfrom "K: Documents and Settings Admin Local Settings History" "K: Documents and Settings Admin Local Settings Temporary Internet Files" ": Documents and Settings Admin Application Data Mozilla Firefox Profiles dy18v2u5.default history.dat "" K: Documents and Settings Admin Local Settings Application Data Mozilla Firefox Profiles dy18v2u5.default Cache "

Відео: WSCC - Windows System Control Center for Sysinternals and Nirsoft Tools by Britec

LiveContactsView
Дозволяє переглядати контакти, після успішної реєстрації в Windows Live Messenger (в файлі contacts.edb).

Є такі обмеження:

  • На комп`ютері повинна бути встановлена ​​нова версія бібліотеки esent.dll (Server Database Storage Engine).
  • Утиліта не дозволяє витягувати контакти з пошкоджених файлів і файлів резервних копій.

Відео: 15 Windows System Tools You Must Have

Для отримання контактів Windows Live Messenger на зовнішньому диску:

  • Перейти в меню Options - Advanced Options (F9) і вибрати папку в профілі користувача з файлом contacts.edb.
  • У командному рядку використовувати параметр / contactsfile:
    LiveContactsView.exe / contactsfile "J: Documents and Settings Admin Local Settings Application Data Microsoft Windows Live Contacts {12356999-1122-2227-c99d-13e02105a776} DBStore contacts.edb"



Якщо ви бажаєте поділитися посиланням на цю сторінку в своїй соціальній мережі, користуйтеся кнопкою "Поділитися"



Поділися в соціальних мережах:

Схожі
Programming / debugging tools package (c ++ / c #) від nirsoft.Programming / debugging tools package (c ++ / c #) від nirsoft.
Тонка настройка internet explorer 8Тонка настройка internet explorer 8
Рекламний спам в браузерах і як з ним боротисяРекламний спам в браузерах і як з ним боротися
Системне адміністрування персонального комп`ютера.Системне адміністрування персонального комп`ютера.
Виявлена ​​нова уразливість в internet explorerВиявлена ​​нова уразливість в internet explorer
Браузери. ІнтернетБраузери. Інтернет
Як відкрити iso файл в windows?Як відкрити iso файл в windows?
Microsoft дозволила видаляти internet explorer з windows 7Microsoft дозволила видаляти internet explorer з windows 7
Network toolsNetwork tools
Фінальна версія браузера internet explorer 9 від microsoftФінальна версія браузера internet explorer 9 від microsoft
» » Пакет програм forensic tools від nirsoft.