Программное обеспечение для компьютерной криминалистики на Windows

WinDefThreatsView

WinDefThreatsView — это инструмент для Windows 10, который отображает список всех угроз, обнаруженных антивирусом Защитника Windows, и позволяет легко установить действие по умолчанию (Разрешить, Карантин, Очистить, Удалить, Блокировать или Нет действий) для нескольких угроз одновременно. Вы можете использовать этот инструмент на своём локальном компьютере, а также на удалённом компьютере, если у вас есть разрешение на доступ к WMI на удалённом компьютере.

Для каждой угрозы отображается следующая информация: имя файла, имя угрозы, серьёзность, имя процесса, время первоначального обнаружения, время изменения статуса, время исправления, идентификатор угрозы, статус угрозы, действие по умолчанию для угрозы и многое другое…

InstalledPackagesView

InstalledPackagesView — это инструмент для Windows, который отображает список всех пакетов программного обеспечения, установленных в вашей системе с помощью установщика Windows, и перечисляет связанные с ними файлы, ключи реестра и сборки .NET. Для каждого установленного программного обеспечения отображается следующая информация: отображаемое имя, отображаемая версия, дата установки, время реестра, расчётный размер, место установки, источник установки, имя файла MSI (в C:\Windows\Installer) и многое другое…

Вы можете просматривать информацию об установленных пакетах программного обеспечения из вашей локальной системы или из другой системы на внешнем жёстком диске.

Информация об установленном программном обеспечении загружается из следующих ключей реестра:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\Products
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\Components

Имейте в виду, что этот инструмент перечисляет только программное обеспечение, установленное установщиком Windows (MSI), он не перечисляет какое-либо программное обеспечение, установленное другими установщиками.

InstalledAppView

InstalledAppView — это инструмент для Windows 10, который отображает подробную информацию о приложениях Windows 10, установленных в вашей системе. Для каждого приложения Windows отображается следующая информация: имя приложения, версия приложения, имя реестра, время изменения реестра, папка установки, владелец папки установки, команда удаления и многое другое…

InstalledAppView позволяет загружать список приложений Windows 10 из вашей локальной системы, удалённого компьютера в вашей сети и с внешнего диска, подключённого к вашему компьютеру.

InstalledAppView также позволяет просматривать XML-файлы приложения Windows (AppxManifest.xml и AppxBlockMap.xml), удалять приложения, незаметно удалять приложения, открывать установочную папку приложения и многое другое…

WinUpdatesView

WinUpdatesView — это простой инструмент, который отображает историю обновлений Windows в вашей системе. WinUpdatesView может загружать историю обновлений Windows из вашей локальной системы, используя API, а также может читать и анализировать файл базы данных обновлений Windows (DataStore.edb) с внешнего диска или с удалённого компьютера в вашей сети.

Для каждой записи истории обновлений Windows WinUpdatesView отображает следующие поля: заголовок, описание, дата установки, операция обновления (установка, удаление, не начато, выполняется), результат операции (успешно, успешно с ошибками, сбой, прервано), категория, информационный URL-адрес, URL-адрес поддержки, примечания к удалению, идентификатор клиентского приложения, идентификатор службы, идентификатор обновления, номер версии, несопоставленный код результата, выбор сервера, hResult.

ExifDataView

ExifDataView — это небольшая утилита, которая считывает и отображает данные Exif, хранящиеся в файлах изображений .jpg, созданных цифровыми камерами. Данные EXIF включают название компании, создавшей камеру, модель камеры, дату и время, когда была сделана фотография, время экспозиции, скорость ISO, информацию GPS (для цифровых камер с GPS) и многое другое.

PropertySystemView

PropertySystemView — это инструмент, который позволяет просматривать и изменять свойства файла из графического интерфейса пользователя и из командной строки, используя систему свойств операционной системы Windows. Например, вы можете изменить метку времени «Media Created», хранящуюся в файлах .mp4 (System.Media.DateEncoded), а также другие метаданные, хранящиеся в файлах мультимедиа и офисных документах, такие как Название, Комментарии, Авторы, Теги, Дата получения, Последняя дата сохранения, Дата создания контента, Дата импорта, дата съёмки (EXIF файлов .jpg) и многое другое…

PropertySystemView также позволяет вам устанавливать свойства Windows. Например, вы можете установить свойство System.AppUserModel.ID окна, чтобы отключить группировку панели задач указанного окна.

FullEventLogView

FullEventLogView — это простой инструмент для Windows 10/8/7/Vista, который отображает в таблице сведения обо всех событиях из журналов событий Windows, включая описание события. Он позволяет вам просматривать события вашего локального компьютера, события удалённого компьютера в вашей сети, а также события, хранящиеся в файлах .evtx. Он также позволяет экспортировать список событий в файл форматы текст/csv/с TAB разделителями/html/xml из графического интерфейса пользователя и из командной строки.

BrowsingHistoryView

BrowsingHistoryView считывает и показывает информацию о посещённых сайтах для всех популярных браузеров. Кроме адреса посещённых страниц, показывается её имя, время посещения, счётчик визитов и прочее. Можно извлечь информацию из всех профилей пользователей системы, а также из внешнего диска. Присутствует возможность сохранения результатов.

Настройки:

MyLastSearch

MyLastSearch сканирует кэш и файлы историй вашего веб-браузера и определяет все пользовательские запросы, которые вы сделали в самых популярных поисковых системах (Google, Yahoo и MSN), на самых популярных сайтах социальных сетей (Twitter, Facebook, MySpace), а также на других популярных сайтах (YouTube, Wikipedia, Friendster, hi5).

К сожалению, программа не знает про google.ru (с google.com всё в порядке) и не знает про yandex.ru – т.е. поиски по этим сайтам она не видит. Печалька, но я уже отписал автору об этой проблеме – возможно, поправят в одном из будущих релизов.

UPD: Начиная с версии 1.65 добавлена поддержка для поисков в Yandex, DuckDuckGo и google.ru.

Программы для просмотра кэша браузеров (IECacheView, MozillaCacheView, ChromeCacheView, MZCacheView)

Работа программ IECacheView, MozillaCacheViewChromeCacheView, MZCacheView напоминает работу BrowsingHistoryView, но просмотр кэша позволяет видеть каждый индивидуальный файл (скаченные ссылки, изображения и т.д.), а не только адреса посещённых страниц.

Программы для просмотра кукиз (ChromeCookiesView, IECookiesView, MZCookiesView, EdgeCookiesView)

Как вы уже поняли, ChromeCookiesView, IECookiesView, MZCookiesViewEdgeCookiesView используются для просмотра кукиз в различных веб-браузерах.

На самом деле, выделение раздела программ для IT криминалистики, на мой взгляд, довольно условно – там все программы в той или иной мере предназначены для цифрового форенсиса. Особенно это касается программ для извлечения сохранённых на компьютер паролей – кстати, перейдём теперь к ним.

EdgeCookiesView — это инструмент для Windows, который отображает файлы cookie, хранящиеся в более новых версиях веб-браузера Microsoft Edge и IE11 (начиная с Fall Creators Update 1709 для Windows 10). Он также позволяет вам выбрать один или несколько файлов cookie, а затем экспортировать их в файл с разделителями табуляции, файл csv, файл html или файл в формате cookie.txt. Вы можете прочитать файлы cookie из текущей работающей системы или из базы данных WebCacheV01.dat на внешнем жёстком диске.

Примечание. Новая версия Edge теперь основана на Chromium, поэтому вы можете использовать инструмент ChromeCookiesView для просмотра файлов cookie этого нового веб-браузера Edge.

EdgeCookiesView и IECookiesView

IECookiesView — очень старый инструмент, изначально разработанный в 2002 году (!), И он до сих пор работает с более ранними версиями веб-браузера Edge, которые хранят файлы cookie в текстовых файлах, точно так же, как Internet Explorer. Но начиная с Fall Creators Update 1709 для Windows 10 файлы cookie веб-браузера Microsoft Edge хранятся в базе данных WebCacheV01.dat вместе с историей и информацией кеша, поэтому IECookiesView больше не может читать файлы cookie Edge.

EdgeCookiesView — это новый инструмент, предназначенный для чтения файлов cookie из базы данных WebCacheV01.dat.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

wp-puzzle.com logo