Automated evidence collector tool

[libris]

Ik heb m'n eigen tooltje geschreven om informatie uit de database van windows te halen, dat gewoon door een executable te runnnen. Automatisch wordt er een submap aangemaakt waar al je info in PDF formaat in komt te staan.

Ik deel dit programmatje gewoon, hoop dat mensen er wat aan hebben.

Als je dit programma getest hebt of vaak gebruikt, stel ik het zeer op prijs dat jullie een feedback geven. Met eventueel extra toevoegingen.


Het volgende wordt uit windows gehaald door dit forensic tooltje:

- Battery
- BIOS information
- Boot configuration
- CDrom drives
- Current system time
- Disk information
- Display controllers
- Display information
- IDE controllers
- Installed products
- IP route
- Keyboard
- Load order
- Logged on users
- Logical disk
- Motherboard
- Mouse
- Network adaptor configuration
- Network adaptors
- Network connections
- Network login profiles
- NT groups
- NT log event information
- Logical program groups
- User accounts
- On board devices
- Operating system information
- Operating system updates
- Partitions
- Physical memory
- Plug and play devices
- Port connectors
- Printers
- Processes
- Processor information
- Proxy information
- Serial ports
- Services
- Shares
- Sound device(s)
- Startup commands
- System details
- Timezone
- USB controllers
- Windows drivers

mvg

[sandor]

netjes jonge, kheb hem net gerunt en hij haalt echt alles uit de database. ik vind het fijn dat hij een submap aanmaakt en hierin aparte pdf bestanden plaatst met elk hun eigen onderwerp.

heel netjes programma lib

[themaster]

maakt hij die map op een zelf te kiezen locatie of op de bron schijf ??

[libris]

Op dezelfde locatie als waar de executable staat. try it zou ik zeggen

[themaster]

das best wel lomp eigenlijk je runt de tool op windows weg forensiche onderbouwing.
dus het zouw beter zijn als het niet op de schijf zelf draait maar vanaf een usb ofzo.
of gaat dat

[libris]

Op dezelfde locatie als waar de executable staat. try it zou ik zeggen

Ligt er maar net aan waar jij je executable plaatst, als je je executable van USB runt dan komen je files op USB. En natuurlijk is deze tool gemaakt om van USB te runnen, het liefst zelfs nog via autorun maar dat vereist een U3 usb stick, als ik die zou hebben zou alles volledig automatisch gaan.

[themaster]

o w okee ik dacht dat je het niet van usb kon runnen dus vandaar.
Maar als het zo werkt dan is het wel neat natuurlijk

[libris]

Ik heb er niet lang over gedaan kwa programmeren, maar het uitpluizen van dat windows databasje was wel een karweitje...

btw

getest op:
windows XP
windows 7

lijkt bijde te werken dus ik neem aan dat windows vista geen problemen moet geven.

[@ngel]

Respect
Eigenlijk heb je al een deel van de informatie wat Everest normaal ook kan ophalen
Waar haal je die info vandaan? Waar staat die database?

[libris]

Windows draait op een database. Deze database noemen ze ook wel WMI dit staat voor: Windows Management Instrumentation

Dit is vrijwel makkelijk te benaderen. Met select statements. (je kunt ook inserten etc) Dus gewoon SQL commando's. Microsoft beschrijft hun WMI database ook vrij goed.

Als je een beetje kan programmeren zoek maar eens in jou taal op het programmeren in WMI en je zult er wel uit komen denk ik. Dit is eigenlijk nog een klein gedeelte van het Windows database, ik heb voor mijn gevoel de belangrijkste onderdelen voor forensisch onderzoek eruitgehaald.

Uiteindelijk schrijf ik de ontvangen data in PDF

Zoals je waarschijnlijk al ziet, haalt dit zelfs meer informatie uit de computer dan de tools van sys internals, en persoonlijk vind ik vaak nog duidelijker en belangrijkere data ook.

Verder kun je nog informatie uit het register halen etc, maar dat was niet mijn doel van dit project, ik wou de database bereiken en kijken wat hierin zit en wat hier uit te halen was.

Sander is bezig met het onderzoeken van het register, om hier de belangrijke forensische informatieve data uit te halen.