):
Juice
Hent
programmet Fport, men også f.eks. BinText og flere
andre programmer på siden kan være interessante. Bemærk at Fport ikke er stabil
på XP og 2003.
Fport
Fport viser åbnelCP og UDP porte sammen med programmet der
åbnede
porten. F Berry port kan derfor bruges til at
identificere ukendte åbne porte og tilhørende programmer.
Der er dogx kendte problemer med f Acai port under Windows XP og senere, og
et
cnbefales derfor at bruge
Openports fra Diamondcs nedenfor i
stedet.
resources/proddesc/fport.htm
undersøgelse af en Windows maskine for eksempler på brug af programmet.
OpenPorts
OpenPorts er et kommandolinie program der gør det muligt at
se alle åbne TCP og UDP porte på systemet der undersøges.
OpenPorts har en række forskellige måder output kan vises
på, bl.a. som Foundstones 'Fport' program.
consoletools/openports.php
CmdLine
CmdLine viser alle processer på systemet sammen med den
kommandolinie der startede processen.
consoletools/cmdline.php
WinHex
WinHex er en hex-editor
og meget mere. Den
gratis download
har en lang række meget nyttige funktioner.
AXE hex-editor
Gratis hex editor.
Disk Investigator
Disk Investigator er et stærkt lille program der kan læse
data på harddisken udenom operativsystemet (forsigtig ved
forensic undersøgelser).
Netcat
NetCat er også kendt som "netværks schweizer kniven" fordi programmet kan bruges på mange forskellige
måder, og til en lang, lang række forskellige ting.
Til forensics kan Netcat bl.a. bruges til at sende data fra en
maskine til en anden over netværket.
netcat/nc111nt.zip
ListModules
ListModules lister de .exe og .dll'er der loades ind i en
process. Kan f.eks. bruges sammen med Handles fra
Sysinternals for at sammenligne output.
toolbox/listmodules
PMDump
PMDump kan dumpe indholdet af en proces' hukommelse uden at
standse processen, data fra hukommelsen kan derefter undersøges med
andre programmer.
toolbox/pmdump
Sleuth Kit og Autopsy
Brian Carriers Sleuth Kit kører fint under
Windows vha.
skridt-for-skridt beskrivelse af opsætningen under
Windows. Sleuth Kit v.1.72 løste make problemet der er
beskrevet i teksten og installationen under Cygwin er nu
endnu lettere.
Forensic Acquisition Utilities
Forensics Acquisition Utilities er en samling Windows
programmer, f.eks. dd, md5sum og Netcat, der er
specielt designet til at foretage forensics kopiering af filer og
harddiske. I modsætning til standard programmet kan dd.exe i
Forensics Acquisition Utilities kan også kopiere data i RAM.
gmgarner/forensics
ActivePerl
ActivePerl gør det muligt at køre Perl programmer på Windows og andre systemer.
Products/ActivePerl
Perl2exe, PAR og AutoIt
Perl2exe konverterer Perl scripts til exe filer der kan køres på systemer uden perl.
PAR kan også bruges til at lave eksekverbare filer. Under Activestate for Windows åbnes "Perl Package Manager" og skrives "install PAR" for at installere.
AutoIt kan lette scripts og lave GUI frontends til brugere der ikke er vant til kommandolinen.
perl2exe.htm
dist/PAR
a>
md5summer.org
md5summer er et GUI-program der genererer og verificerer MD-5 checksums. In- og output filer er kompatible med
MD-5 filer lavet under Linux.
a>
ExifTool
ExifTool er et meget stærkt program til at udtrække metadata fra billeder, lyd og videofiler. Programmet kan også skrive til filen, derfor skal man naturligvis, som altid, undersøge en kopi af filen, aldrig originalen.
~phil/exiftool
PhotoRec
PhotoRec (Windows og Linux) er et eksempel på et program
der kan genskabe slettede billeder fra hukommelsen på digitalkameraer
(CompactFlash, Memory Stick,
SecureDigital, SmartMedia, Microdrive, MMC, USB Memory
Drives, harddiske).
photorec.html
TestDisk
TestDisk (Windows, Linux, BSD og Solaris) kan bl.a. finde og
genskabe en lang række forskellige typer partitioner.
testdisk.html
Unixutils:
Unix utilities til Windows fra
a>
er en række
programmer fra Unix verden. Uundværlige hvis man er
vant til at bruge et *nix styresystem, men inkludere også
et par specialiserede programmer som pclip.exe, der kan indsamle indholdet fra
clipboard'et. Læg mærke til der er en opdateret
samling programmer på siden! Opdateringen indeholder bl.a.
en ny version af dd, der bruges til at
tage data-backup - der er en fejl i den første version der
kan have betydning når filer eller harddiske kopieres vha.
programmet!
Man kan naturligvis også vælge at bruge
WinDiff, RunWinDiff og ExamDiff
Eksempler på et par programmer til at sammenligne filer for
hurtigt at opdage eventuelle forskelle i filerne.
Silent Runners
Silent Runners er et VBS script der kan identificere evt.
indhold en lang række af de steder programmer automatisk
startes op i Windows.
Windows Registry Analyzer
Kan bruges til at læse og analysere
registreringsdatabasen under Windows. Har en række
interessante features.
Se
Parse-Win32Registry
En række perl scripts til at dumpe, søge og diffe registreringsdatabasen.
sBerry Powder Www Pornocomix Computer Forensics.DKp m Acai Acai aBerry Powder Www Pornocomix Computer Forensics.DKp v Acai Acai