AChoir er et gratis program til Windows-operativsystemet, der indsamler oplysninger fra retsmedicinsk et live-system ved hjælp af populære værktøjer, der er skabt af Nirsoft, Sysinternals og andre.
Hvis du ønsker at hente oplysninger fra en PC, for eksempel om brugere, browserhistorik eller installeret hardware, så kan du køre en masse gratis programmer til dette.
Et af de problemer, der opstår, er, at de fleste programmer, der er fokuseret på en enkelt opgave alene. Hvis du tager Nirsoft applikationer, for eksempel, vil du bemærke, at de vender tilbage til et fælles sæt af informationer, og at du vil have til at køre flere programmer til at dumpe alle de oplysninger, du har brug for.
Scripts forbedre processen ved at lade dig køre alle de redskaber, den ene efter den anden i en automatiseret proces.
AChoir
Det er, hvor AChoir kommer i spil. Designet til brugere, der ikke har skabt deres egne scripts endnu, kan det være at køre med en standard sæt af parametre for at få en god gennemgang af en PC, det er udført på, eller tilpasset til at tilføje eller fjerne kommandoer og programmer fra analysen.
For at komme i gang, skal du hente filen AChoir-Inst.exe fra projektets GitHub repository. Du skal blot klikke på det, og vælg Raw-view-tilstand, når den er åbnet på sin egen side her på sitet.
Kør programmet bagefter på dit system. Installationsprogrammet ikke installere en fil på systemet, men lægger det ind i en mappe af din valg.
Det vil download de programmer, som det er beregnet til at bruge som standard i løbet af denne proces, så sørg for at det er tilladt at bruge Internettet.
Du kan gemme data til en lokal mappe eller på et flytbart drev, afhængigt af dine behov.
Bemærk: dump og log på, at AChoir skaber er normalt en ganske stor som vil programmet oprette en memory dump som standard.
Når data er hentet, køres AChoir.exe eller AChoir64.exe med forhøjede rettigheder (højre-klik og vælg kør som administrator), når du ønsker at dumpe data og generere en rapport.
AChoir kører alle kommandoer bagefter, normalt en af de downloadede programmer, med visse parametre, og skaber en undermappe i programmet ‘ rod-mappe, hvor den placerer alle data i.
Data er dumpet i mapper der, men du kan åbne den index.html filen i en webbrowser til at komme i gang.
Du vil også finde en log-fil i mappen, og en winaudit.htm fil, som du kan køre.
Undermapper indeholder værdifulde oplysninger, som du muligvis er nødt til at behandle yderligere. Reg mappe lister eksporteres Registreringsdatabasen-hubs, for eksempel, memdump mappe et billede af den hukommelse, der er i gang med at køre programmet.
Mens flere af de data lossepladser, som kræver yderligere analyse og programmer til at vise data i et læsbart format, andre kan få adgang med det samme. Den Brw-mappen for eksempel lister en csv-og htm-fil, der returnerer browserdata, når de åbnes i en browser valg.
Hvis du ønsker at vide, hvad programmet gør, før du kører det, skal du åbne AChoir64.acq (eller AChoir.acq for 32-bit) i en almindelig tekst-editor valg.
Her finder du alle de kommandoer, der skal udføres, når du kører det. Da kommandoerne er der alle sammen, det er let nok at tilføje, fjerne eller redigere scriptet.
Du kan finde oplysninger om scripting sprog i en tekst-fil, der leveres sammen med programmet. Dybest set, det er at bruge en kommando i begyndelsen af en linje, der bestemmer, hvad der er gjort. Sige for eksempel ekkoer tekst på skærmen, mens exe vil køre en eksekverbar fil.
Afsluttende Ord
AChoir ikke genopfinde hjulet, men det er ganske kraftig ramme, når det kommer til at køre kriminaltekniske værktøjer (og andre, da det ikke er begrænset til disse).
Den største fordel, at det giver over programmer som OS Forensics er, at du kan tilpasse det, så det passer til dine behov.