Tools

Strumenti #

Come descritto brevemente nella introduzione, per aiutarci nel controllo, vengono in aiuto diversi strumenti, automatici e manuali. Essendo i tools automatici, per definizione e design, semplici ed intuitivi da usare, in questo capitolo ci concentreremo solo ed esclusivamente su strumenti manuali.

Win Prefetch View #

WinPrefetchView è forse il uno dei tool più usati dagli staffer nei controlli. Permette di visualizzare tutti i file prefetch e le informazioni di essi con un interfaccia grafica abbastanza “user-friendly”. Fa parte della suite di programmi “NirSoft” e funziona praticamente su ogni pc (anche quelli 32bit). Le informazioni sono tante ma non sono del tutto complete, per avere una overview piena delle informazioni di un file prefetch, bisognerà usare altri tool. Una cosa fondamentale da tenere a mente quando si usa WinPrefetchView, è quella di ordinare i file per modifica più recente, così da avere una linea temporale accurata dei programmi eseguiti sul computer.

System Informer #

System Informer può essere considerata come una versione avanzata del Task Manager di Windows. La funzionalità più utilizzata è quella per esplorare della memoria del processo, dove si possono filtrare tutte le “stringhe” nell’area di memoria del processo sotto analisi. Vedere gli “Handles” di un processo è una funzionalità molto utile che indica ogni risorsa caricata dal processo analizzato. Si può ottenere una immagine, in tempo reale, della memoria del kernel. Si possono iniettare moduli all’interno dei processi. System Informer è un tool vasto e pieno di risorse.

Everything #

Il programma carica la “Master File Table” nella sua memoria e la interpreta, così permettendo a noi di cercare, in tempi quasi nulli, qualsiasi file all’interno del disco.

USB Deview #

USB Deview è un programma sviluppato da “NirSoft”, che permette di visualizzare tutti i dispositivi usb che sono stati collegati. Viene utilizzato spesso per controllare scollegamenti di mouse secondari e possibili espulsioni chiavette o dischi fissi sospetti.

fsutil #

Essendo un programma incluso con Windows, non c’è nessun bisogno di scaricarlo o altro. fsutil è uno strumento per riga di comando che ci permette di esplorare il $USNJrnl:$J, elencando tutti gli USN records.

Win10LiveInfo #

“Windows 10 Live Information Viewer”, o meglio conosciuto come WinLiveInfo, è uno strumento open source, che si occupa di interpretare una vasta gamma di artefatti. Questi artefatti vanno dalla lista completa di processi attuali, alle entry del registro BAM, alla MRU cache, etc…. É un tool di fondamentale importanza in quanto alle prove che egli fornisce, oltre a rendere più veloce il controllo.

PECmd #

Uno strumento per riga di comando, che permette di visualizzare ogni informazione di uno o più file prefetch.

FTK Imager #

FTK Imager, fornito da “Exterro”, è uno strumento che permette l’analisi di immagini di dischi fissi. Montando al suo interno il disco del player controllato, abbiamo accesso ad ogni file, compresi quelli di nascosti dal file system. Questo tool viene utilizzato per due scopi principali: L’estrazione di artefatti appartenenti al file system, quindi nascosti e non accessibili normalmente e ottenere un “dump” della memoria RAM.

NTFS Log Tracker #

Un tool che ci permette di convertire i file della “Master File Table”, del “Journal” e $LogFile in .csv leggibili da un umano.

Timeline Explorer #

Un programma molto potente ma semplice, che ci permette di visualizzare e interpretare i file .csv. Riesce ad aprire file di grandi dimensioni, molto importante per interpretare artefatti complessi come quelli del journal e della “Master File Table”.

JD-gui #

Un programma che permette di visualizzare il contenuto degli archivi .jar, e quindi permette di decompilare tutti questi file Java. Lascia dare un occhiata al codice sorgente, a meno che esso non sia offuscato. Comunque è fondamentale per capire se artefatti come le mod, librerie o versioni sono legit o meno.

MemProcFS #

Un programma che permette di trasformare un “dump” della memoria RAM, in un file system esplorabile, con tutte le informazioni che potrebbero servirci, anche con delle funzionalità già implementate per la conversione a .csv e così via. Fondamentale per avere ogni aspetto di cosa contiene la memoria RAM in quel preciso momento.

Regedit #

L’explorer default per le chiavi di registro di Windows, uno strumento fondamentale e incluso con Windows, che permette di visualizzare la gerarchia dei registri, insieme al valore delle loro chiavi

Menzioni onorevoli #

  • Hibernation recon;
  • Last Activity View;
  • User Assist View;
  • OpenSave File View;
  • Recent File View;
  • Registry Explorer;
  • OS Forensics
  • Kape;
  • EZ Viewer.