AChoir ist ein kostenloses Programm für den Windows-Betriebssystem, sammelt forensische Informationen aus einem live-system mit den gängigen tools erstellt, die von Nirsoft, Sysinternals und andere.
Wenn Sie möchten, abrufen von Informationen von einem PC, zum Beispiel über die Nutzer, den Browserverlauf oder installiert die hardware, dann Sie können ausführen eine Reihe von kostenlosen Programmen.
Eine der Fragen, die sich stellt, ist, dass die meisten Programme konzentrieren sich auf nur eine Aufgabe. Wenn Sie Nirsoft-Anwendungen zum Beispiel, werden Sie feststellen, dass Sie wieder einen einzelnen Satz an Informationen, und dass Sie haben, um mehrere Programme ausführen, sichern Sie alle Informationen, die Sie benötigen.
Skripte verbessern Sie den Prozess, indem Sie die Ausführung aller Werkzeuge eines nach dem anderen in einem automatisierten Prozess.
AChoir
Das ist, wo AChoir ins Spiel kommt. Entworfen für Benutzer, die noch nicht erstellt haben Ihre eigenen Skripte noch, es kann ausgeführt werden mit einer Reihe von Standard-Parameter, um einen guten überblick von einem PC ausgeführt werden, oder individuell auf Befehle hinzufügen oder entfernen und die Programme aus der Analyse.
Um loszulegen, laden Sie die Datei herunter AChoir-Inst.exe aus dem Projekt GitHub-repository. Klicken Sie einfach auf es, und wählen Sie Raw-view-Modus, wenn es geöffnet wird, auf seiner eigenen Seite auf der Website.
Führen Sie danach das Programm auf Ihrem system. Installiert der installer nicht die Datei auf dem system, aber stellen Sie es in ein Verzeichnis Ihrer Wahl.
Es lädt die Programme, die es ist entworfen, um zu verwenden, die standardmäßig während dieses Prozesses, so stellen Sie sicher, es ist erlaubt, das Internet zu nutzen.
Sie können zum speichern der Daten in einem lokalen Verzeichnis oder einem austauschbaren Laufwerk, je nach Ihren Bedürfnissen.
Hinweis: Der dump-und log, dass AChoir erzeugt wird, ist in der Regel sehr groß, wie das Programm erstellt ein Speicherabbild wird standardmäßig.
Sobald die Daten heruntergeladen wurden, führen Sie AChoir.exe oder AChoir64.exe mit erhöhten Privilegien (mit der rechten Maustaste und wählen Sie als administrator ausführen), wenn Sie wollen, sichern von Daten und erstellen einen Bericht.
AChoir führt alle Befehle danach werden in der Regel eine der heruntergeladenen Programme mit bestimmten Parametern und erstellt ein Unterverzeichnis in das Programm root-Ordner, in dem die stellen alle Daten in.
Daten gedumpt werden in Ordnern gibt, aber Sie können öffnen Sie die index.html Datei in einem web-browser, um loszulegen.
Dort finden Sie auch eine log-Datei in den Ordner, und eine winaudit.htm die Datei, die Sie ausführen können.
Die Unterordner enthalten wertvolle Informationen, die Sie weiter verarbeiten. Die Reg-Ordner-Listen exportiert Registry-hubs für die Instanz, die memdump Ordner ein Bild der Erinnerung an die Zeit der Ausführung des Programms.
Während mehrere der Daten-dumps erfordern weitere Analysen und Programme zum anzeigen der Daten in einem lesbaren format, andere zugegriffen werden kann sofort. Die Brw-Ordner zum Beispiel Listen, csv-und HTML-Datei liefert, dass der Browserverlauf beim öffnen in einem browser der Wahl.
Wenn Sie wissen wollen, was das Programm macht, bevor Sie Sie ausführen, öffnen AChoir64.acq (oder AChoir.acq für 32-bit) in eine plain-text-editor der Wahl.
Dort finden Sie alle Befehle, die es ausführt, wenn Sie es ausführen. Da die Befehle sind alle da, es ist leicht genug, um hinzufügen, entfernen oder ändern Sie das Skript.
Hier finden Sie Informationen über die scripting-Sprache in eine text-Datei, die im Lieferumfang der Anwendung. Grundsätzlich ist es mit einem Befehl am Anfang einer Zeile, die bestimmen, was getan wird. Sagen zum Beispiel Echos text auf dem Bildschirm, während die exe-Datei ausführen einer ausführbaren Datei.
Schlusswort
AChoir nicht das Rad neu erfinden, aber es ist ganz mächtiges framework, wenn es darum geht, Windows-forensische Werkzeuge (und andere, wie es ist nicht auf diese begrenzt).
Der wichtigste Vorteil, den es bietet über Programme wie OS-Forensik ist, können Sie es anpassen, um die suite Ihre Bedürfnisse.