AChoir kriminaltekniska skript för Windows

0
143

AChoir är ett gratis program för Windows-operativsystem som samlar kriminalteknisk information från en live-system med populära verktyg som skapats av Nirsoft, Sysinternals och andra.

Om du vill hämta information från en DATOR, till exempel om användare, historik eller installerad maskinvara, då kan du köra en massa gratis program för att.

En av de frågor som uppstår är att de flesta program är inriktade på en enda uppgift. Om du tar Nirsoft-program till exempel, du kommer att märka att de kommer tillbaka en enda uppsättning av information, och att du kommer att behöva köra flera program för att dumpa all den information du behöver.

Skript förbättra processen genom att låta dig köra alla verktyg, den ena efter den andra i en automatiserad process.

AChoir

achoir forensic results

Det är där AChoir kommer in i bilden. Utformad för användare som inte har skapat sina egna manus ännu, det kan vara att köra med en standard uppsättning av parametrar för att få en bra genomgång av DATORN som det körs på, eller anpassas för att lägga till eller ta bort kommandon och program från analysen.

Börja med att ladda ner filen AChoir-Inst.exe från projektets GitHub repository. Bara att klicka på det och välj Raw-view-läge när det öppnas på en egen sida på webbplatsen.

Kör programmet i efterhand på ditt system. Installationsprogrammet inte installera filer på systemet men placerar den i en katalog som du väljer.

Det kommer att ladda ner det program som den är avsedd att användas som standard under denna process, så se till att det är tillåtet att använda Internet.

Du kan spara data till en lokal katalog eller en flyttbar enhet beroende på dina behov.

Obs: dump och log som AChoir skapar är vanligtvis ganska stor så kommer programmet att skapa en minnesdump som standard.

När data har hämtats, kör AChoir.exe eller AChoir64.exe med förhöjda privilegier (högerklicka och välj kör som administratör) när du vill att dumpa data och generera en rapport.

AChoir kör alla kommandon efteråt, oftast en av de nedladdade program med vissa parametrar, och skapar en underkatalog i programmet, är root-mapp där du placerar alla data i.

Data är dumpad i mappar det, men du kan öppna index.html filen i en webbläsare för att komma igång.

Du kommer också att hitta en loggfil i mappen, och en winaudit.htm fil som du kan köra.

De undermappar som innehåller värdefull information som du kan behöva för att bearbeta ytterligare. Reg-mappen listor exporteras Registret nav till exempel memdump mapp en bild av minnet för att köra programmet.

Medan flera av de uppgifter som tippar kräver ytterligare analys och program för att visa data i ett läsbart format, andra kan nås direkt. Den Brw-mappen till exempel listor en csv-och htm-filen som returnerar historik när det öppnas i en webbläsare val.

Om du vill veta vad programmet gör innan du kör det, öppna AChoir64.acq (eller AChoir.acq för 32-bitar) i en vanlig text-editor val.

Där hittar du alla kommandon som exekveras när du kör det. Eftersom de kommandon som finns, det är lätt att lägga till, ta bort eller ändra skriptet.

script

Du hittar information om skript-språket i en text-fil som levereras med programmet. I grund och botten, det är med hjälp av ett kommando i början av en rad för att avgöra vad som är gjort. Säg till exempel ekon text på skärmen medan exe kommer att köra en körbar fil.

Avslutande Ord

AChoir inte uppfinna hjulet på nytt, men det är ganska kraftfullt ramverk när det gäller att köra kriminaltekniska verktyg (och andra som det är inte begränsade till dessa).

Den största fördelen att den erbjuder över program som OS-Forensics är att du kan anpassa den för att passa dina behov.