|
Пакет программ Forensic Tools от Nirsoft.
Утилиты раздела сайта NirSoft Forensic Tools могут использоваться специалистами по компьютерной безопасности для расследования различных инцидентов. Программы пакета являются переносимым программным обеспечением и могут использоваться без установки в системе, а также, при некоторых дополнительных настройках, могут применяться для приложений и их рабочих данных, не являющихся частью ПО, установленного в текущей системе (находящихся на внешних съемных дисках).
Раздел Computer Forensics Software for Windows на сайте разработчика Nir Sofer
Следующая таблица содержит ссылки на страницы с наиболее распространенными программами из пакета Forensic Tools и их краткое описание:
IEHistoryView
|
IEHistoryView позволяет извлечь историю обозревателя Internet Explorer из файла index.dat.
Информация включает в себя посещаемые URL, названия веб-сайтов, количество посещений сайта пользователем, дату и время последнего посещения. Также, отображается информация о локальных файлах, открывавшихся с использованием Internet Explorer.
При использовании IEHistoryView для извлечения истории браузера, использовавшегося на внешнем диске:
- Перейти в меню File - > Select History Folder (Ctrl+H), и выбрать каталог на внешнем диске, в котором размещается файл index.dat.
- В командной строке задать каталог в виде параметра:
iehv.exe /stab c:\temp\history.txt –folder ”D:\Documents and Settings\User\Local Settings\History”
Примечание:Для получения достоверных данных, желательно иметь одинаковые настройки даты и часовых поясов на компьютере с работающей программой IEHistoryView и в исследуемой системе на внешнем диске.
|
IECacheView
|
IECacheView позволяет извлечь кэшированные данные на основе содержимого файла index.dat браузера Internet Explorer. Информация отображается в виде, подобном отображаемому
программой IEHistoryView, но гораздо больше по объему – для каждой посещаемой страницы отображается множественные записи, включая изображения и загружаемые файлы.
Для просмотра кэш браузера на внешнем диске:
- Перейти в меню File - > Select Cache Folder (F9), и выбрать папку ”\Temporary Internet Files” из профиля пользователя на внешнем диске.
- В командной строке задать параметр, определяющий размещение папки с временными файлами браузера:
IECacheView.exe -folder ” C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files” /stab c:\temp\cache.txt
|
IECookiesView
|
IECookiesView позволяет извлечь все файлы куки (cookie), запомненные обозревателем Internet Explorer.
Для извлечения файлов на внешнем диске:
- Перейти в меню File - > Select Cookies Folder (Ctrl+O) и указать расположение каталога Cookies
- В командной строке указать путь к папке Cookies с использованием параметра
/dir:
IECookiesView /dir ” C:\Documents and Settings\Admin\Cookies”
|
IE PassView
|
IE PassView позволяет получить пароли к сайтам, запомненные в браузере Internet Explorer.
IE PassView может отображать пароли для браузера на внешнем диске, но с ограничениями
:
- поддерживаются только версии Internet Explorer - 7.x and 8.x .
- Пока не поддерживаются версии Windows 7 и старше.
- Должен быть известен пароль пользователя Windows на внешнем диске, поскольку он используется при расшифровке зашифрованных паролей внешней системы.
Для использования программы по отношению к внешнему диску:
- Перейти в меню Options - > Advanced Options (F8), выбрать 'Load passwords from the following user profile', и выбрать папку с профилем пользователя.
- В командной строке используется параметр
/external задающий путь к профилю пользователя :
iepv.exe /external "C:\Documents and Settings\admin"
|
MozillaCacheView
|
MozillaCacheView отображает кэш, запомненный в браузере Mozilla Firefox.
Для получения кэш браузера на внешнем диске:
- Перейти в меню File - > Select Cache Folder (F9) и выбрать папку с кэш в профиле пользователя.
- В командной строке задать параметр –folder определяющий путь к папке с кэш на внешнем диске:
MozillaCacheView.exe -folder ”C:\Documents and Settings\user\Local Settings\Application Data\Mozilla\Firefox\ Profiles\acf2c3u2.default\ Cache” /stab c:\temp\cache.txt
|
MozillaHistoryView
|
MozillaHistoryView отображает историю посещаемых страниц в браузере Mozilla Firefox. Начиная с
Firefox 3, программа требует наличия установленного браузера на компьютере, поскольку используется библиотека sqlite3.dll для чтения истории (SQLite history database) Firefox.
Для получения истории браузера, установленного на внешнем диске:
- Перейти в меню File - > Select History File (Ctrl+H) и выбрать файл history.dat в профиле пользователя.
- В командной строке используется параметр –file :
MozillaHistoryView.exe –file ”C:\Documents and Settings\Admin\Application Data\Mozilla\ Profiles\test\p34kcd3y. slt\history.dat” /stab c:\temp\mz-history.txt
|
MozillaCookiesView
|
При использовании профиля пользователя на внешнем диске:
- Перейти в меню File - > Select Cookies File /Profiles Folder, и выбрать файл с куки на внешнем диске.
- В командной строке используется параметр –cookiesfile указывающий файл куки:
mzcv.exe –cookiesfile ”J:\Documents and Settings\Admin\Application Data\Mozilla\ Firefox\Profiles\1a2jjx2u. default\cookies.sqlite”
|
PasswordFox
|
PasswordFox позволяет получить пароли к сайтам, запомненные в браузере Mozilla Firefox.
Для расшифровки паролей требуется, чтобы браузер был установлен на компьютер, где запускается PasswordFox.
Для получения паролей к сайтам пользователя, профиль которого находится на внешнем диске:
- Перейти в меню File - > Select Folders, и выбрать путь профиля пользователя.
- В командной строке использовать параметр /profile определяющий путь к профилю
PasswordFox.exe /profile ”I:\Documents and Settings\User\Application Data\Mozilla\ Firefox\Profiles\ 1z7ccd2u.default”
|
OperaCacheView
|
OperaCacheView позволяет получить кэш страниц, запомненных в браузере Opera.
Для получения кэш, сохраненных в браузере на внешнем диске:
- Перейти в меню File - > Select Cache Folder (F9) и указать путь к папке для кэш.
- В командной строке использовать параметр -folder:
OperaCacheView.exe -folder ”J:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache”
|
OperaPassView
|
OperaPassView позволяет просматривать пароли к сайтам, запомненные в браузере Opera.
Программа не позволяет вскрывать пароли, защищенные мастер-паролем (master password).
Для получения паролей к сайтам, запомненных браузером, установленным на внешнем диске:
- Перейти в меню Options->Advanced Options (F8) и выбрать файл wand.dat на внешнем диске.
|
ChromeCacheView
|
ChromeCacheView позволяет получить кэш страниц, открывавшихся в браузере Google Chrome.
Для получения кэш на внешнем диске:
- Перейти в меню File - > Select Cache Folder (F9) и выбрать папку с кэш на внешнем диске.
- В командной строке используется параметр -folder:
ChromeCacheView.exe -folder ”P:\Documents and Settings\Admin\Local Settings\Application Data\Google\ Chrome\User Data\Default\Cache”
|
MyLastSearch
|
MyLastSearch сканирует файлы кэш и истории четырех веб-браузеров (IE, Firefox, Opera, Chrome), и распознает поисковые запросы, выполняемые в наиболее популярных поисковых системах (Google, Yahoo и Bing) и наиболее популярных социальных сетях (Twitter, Facebook, MySpace), а также общедоступных сервисах (Youtube, Ask.com).
Для извлечения поисковых запросов на внешнем диске, используется параметр /loadfrom
:
MyLastSearch.exe /loadfrom ”K:\Documents and Settings\Admin\Local Settings\History” ”K:\Documents and Settings\Admin\Local Settings\Temporary Internet Files” ”:\Documents and Settings\Admin\
Application Data\ Mozilla\Firefox\Profiles\ dy18v2u5.default\history.dat” ”K:\Documents and Settings\Admin\Local Settings\Application Data\Mozilla\ Firefox\Profiles\dy18v2u5. default\Cache”
|
LiveContactsView
|
Позволяет просматривать контакты, запомненные в Windows Live Messenger (в файле contacts.edb).
Имеются следующие ограничения:
- На компьютере должна быть установлена свежая версия библиотеки esent.dll (Server Database Storage Engine).
- Утилита не позволяет извлекать контакты из поврежденных файлов и файлов резервных копий.
Для получения контактов Windows Live Messenger на внешнем диске:
- Перейти в меню Options - Advanced Options (F9) и выбрать папку в профиле пользователя с файлом contacts.edb.
- В командной строке использовать параметр /contactsfile:
LiveContactsView.exe /contactsfile ”J:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows Live Contacts\{12356999-1122-2227 -c99d-13e02105a776}\DBStore\contacts.edb”
|
|
|