Пакет программ Forensic Tools от Nirsoft.



   

Утилиты раздела сайта NirSoft Forensic Tools могут использоваться специалистами по компьютерной безопасности для расследования различных инцидентов. Программы пакета являются переносимым программным обеспечением и могут использоваться без установки в системе, а также, при некоторых дополнительных настройках, могут применяться для приложений и их рабочих данных, не являющихся частью ПО, установленного в текущей системе (находящихся на внешних съемных дисках).

Раздел Computer Forensics Software for Windows на сайте разработчика Nir Sofer

Следующая таблица содержит ссылки на страницы с наиболее распространенными программами из пакета Forensic Tools и их краткое описание:

IEHistoryView
IEHistoryView позволяет извлечь историю обозревателя Internet Explorer из файла index.dat. Информация включает в себя посещаемые URL, названия веб-сайтов, количество посещений сайта пользователем, дату и время последнего посещения. Также, отображается информация о локальных файлах, открывавшихся с использованием Internet Explorer.

При использовании IEHistoryView для извлечения истории браузера, использовавшегося на внешнем диске:

  • Перейти в меню File - > Select History Folder (Ctrl+H), и выбрать каталог на внешнем диске, в котором размещается файл index.dat.
  • В командной строке задать каталог в виде параметра:
    iehv.exe /stab c:\temp\history.txt –folder ”D:\Documents and Settings\User\Local Settings\History”

Примечание:Для получения достоверных данных, желательно иметь одинаковые настройки даты и часовых поясов на компьютере с работающей программой IEHistoryView и в исследуемой системе на внешнем диске.

IECacheView
IECacheView позволяет извлечь кэшированные данные на основе содержимого файла index.dat браузера Internet Explorer. Информация отображается в виде, подобном отображаемому программой IEHistoryView, но гораздо больше по объему – для каждой посещаемой страницы отображается множественные записи, включая изображения и загружаемые файлы.

Для просмотра кэш браузера на внешнем диске:

  • Перейти в меню File - > Select Cache Folder (F9), и выбрать папку ”\Temporary Internet Files” из профиля пользователя на внешнем диске.
  • В командной строке задать параметр, определяющий размещение папки с временными файлами браузера:
    IECacheView.exe -folder ” C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files” /stab c:\temp\cache.txt

IECookiesView
IECookiesView позволяет извлечь все файлы куки (cookie), запомненные обозревателем Internet Explorer.

Для извлечения файлов на внешнем диске:

  • Перейти в меню File - > Select Cookies Folder (Ctrl+O) и указать расположение каталога Cookies
  • В командной строке указать путь к папке Cookies с использованием параметра /dir:
    IECookiesView /dir ” C:\Documents and Settings\Admin\Cookies”

IE PassView
IE PassView позволяет получить пароли к сайтам, запомненные в браузере Internet Explorer.

IE PassView может отображать пароли для браузера на внешнем диске, но с ограничениями :

  • поддерживаются только версии Internet Explorer - 7.x and 8.x .
  • Пока не поддерживаются версии Windows 7 и старше.
  • Должен быть известен пароль пользователя Windows на внешнем диске, поскольку он используется при расшифровке зашифрованных паролей внешней системы.

Для использования программы по отношению к внешнему диску:

  • Перейти в меню Options - > Advanced Options (F8), выбрать 'Load passwords from the following user profile', и выбрать папку с профилем пользователя.
  • В командной строке используется параметр /external задающий путь к профилю пользователя :
    iepv.exe /external "C:\Documents and Settings\admin"

MozillaCacheView
MozillaCacheView отображает кэш, запомненный в браузере Mozilla Firefox.

Для получения кэш браузера на внешнем диске:

  • Перейти в меню File - > Select Cache Folder (F9) и выбрать папку с кэш в профиле пользователя.
  • В командной строке задать параметр –folder определяющий путь к папке с кэш на внешнем диске:
    MozillaCacheView.exe -folder ”C:\Documents and Settings\user\Local Settings\Application Data\Mozilla\Firefox\ Profiles\acf2c3u2.default\ Cache” /stab c:\temp\cache.txt

MozillaHistoryView
MozillaHistoryView отображает историю посещаемых страниц в браузере Mozilla Firefox. Начиная с Firefox 3, программа требует наличия установленного браузера на компьютере, поскольку используется библиотека sqlite3.dll для чтения истории (SQLite history database) Firefox.

Для получения истории браузера, установленного на внешнем диске:

  • Перейти в меню File - > Select History File (Ctrl+H) и выбрать файл history.dat в профиле пользователя.
  • В командной строке используется параметр –file :
    MozillaHistoryView.exe –file ”C:\Documents and Settings\Admin\Application Data\Mozilla\ Profiles\test\p34kcd3y. slt\history.dat” /stab c:\temp\mz-history.txt

MozillaCookiesView

При использовании профиля пользователя на внешнем диске:

  • Перейти в меню File - > Select Cookies File /Profiles Folder, и выбрать файл с куки на внешнем диске.
  • В командной строке используется параметр –cookiesfile указывающий файл куки:
    mzcv.exe –cookiesfile ”J:\Documents and Settings\Admin\Application Data\Mozilla\ Firefox\Profiles\1a2jjx2u. default\cookies.sqlite”

PasswordFox
PasswordFox позволяет получить пароли к сайтам, запомненные в браузере Mozilla Firefox. Для расшифровки паролей требуется, чтобы браузер был установлен на компьютер, где запускается PasswordFox.

Для получения паролей к сайтам пользователя, профиль которого находится на внешнем диске:

  • Перейти в меню File - > Select Folders, и выбрать путь профиля пользователя.
  • В командной строке использовать параметр /profile определяющий путь к профилю
    PasswordFox.exe /profile ”I:\Documents and Settings\User\Application Data\Mozilla\ Firefox\Profiles\ 1z7ccd2u.default”

OperaCacheView
OperaCacheView позволяет получить кэш страниц, запомненных в браузере Opera.

Для получения кэш, сохраненных в браузере на внешнем диске:

  • Перейти в меню File - > Select Cache Folder (F9) и указать путь к папке для кэш.
  • В командной строке использовать параметр -folder:
    OperaCacheView.exe -folder ”J:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache”

OperaPassView
OperaPassView позволяет просматривать пароли к сайтам, запомненные в браузере Opera. Программа не позволяет вскрывать пароли, защищенные мастер-паролем (master password).

Для получения паролей к сайтам, запомненных браузером, установленным на внешнем диске:

  • Перейти в меню Options->Advanced Options (F8) и выбрать файл wand.dat на внешнем диске.

ChromeCacheView
ChromeCacheView позволяет получить кэш страниц, открывавшихся в браузере Google Chrome.

Для получения кэш на внешнем диске:

  • Перейти в меню File - > Select Cache Folder (F9) и выбрать папку с кэш на внешнем диске.
  • В командной строке используется параметр -folder:
    ChromeCacheView.exe -folder ”P:\Documents and Settings\Admin\Local Settings\Application Data\Google\ Chrome\User Data\Default\Cache”

MyLastSearch
MyLastSearch сканирует файлы кэш и истории четырех веб-браузеров (IE, Firefox, Opera, Chrome), и распознает поисковые запросы, выполняемые в наиболее популярных поисковых системах (Google, Yahoo и Bing) и наиболее популярных социальных сетях (Twitter, Facebook, MySpace), а также общедоступных сервисах (Youtube, Ask.com).

Для извлечения поисковых запросов на внешнем диске, используется параметр /loadfrom :
MyLastSearch.exe /loadfrom ”K:\Documents and Settings\Admin\Local Settings\History” ”K:\Documents and Settings\Admin\Local Settings\Temporary Internet Files” ”:\Documents and Settings\Admin\ Application Data\ Mozilla\Firefox\Profiles\ dy18v2u5.default\history.dat” ”K:\Documents and Settings\Admin\Local Settings\Application Data\Mozilla\ Firefox\Profiles\dy18v2u5. default\Cache”

LiveContactsView
Позволяет просматривать контакты, запомненные в Windows Live Messenger (в файле contacts.edb).

Имеются следующие ограничения:

  • На компьютере должна быть установлена свежая версия библиотеки esent.dll (Server Database Storage Engine).
  • Утилита не позволяет извлекать контакты из поврежденных файлов и файлов резервных копий.

Для получения контактов Windows Live Messenger на внешнем диске:

  • Перейти в меню Options - Advanced Options (F9) и выбрать папку в профиле пользователя с файлом contacts.edb.
  • В командной строке использовать параметр /contactsfile:
    LiveContactsView.exe /contactsfile ”J:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows Live Contacts\{12356999-1122-2227 -c99d-13e02105a776}\DBStore\contacts.edb”








В начало страницы     |     На главную страницу сайта



Рейтинг@Mail.ru