Узнать об изменениях, внесенных в конфигурацию системы

В предыдущей нашей статье (см. эту страницу) мы представили OSForensics, бесплатное программное обеспечение (по крайней мере, на данный момент: мы предлагаем вам поторопиться и загрузить его …), которое позволяет вам проводить целый ряд расследований. на содержимое жесткого диска, включая операции по восстановлению данных и паролей.

Программное обеспечение OSForensics также можно использовать для проверки того, какие изменения были внесены в систему, например, в процессе установки программы.

Предыдущие версии OSForensics ограничивали сравнение только файлами, хранящимися на указанных дисках. Это означает, что программа смогла обнаружить только файлы, добавленные, измененные или удаленные в два разных момента, но не установить никаких вмешательств, примененных к содержимому реестра Windows.

Начиная с версии 0.98 OSForensics, приложение расширяет свои контрольные возможности и на системный реестр, позволяя проверять изменения, внесенные в следующие ключи: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE и HKEY_USERS.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Первым шагом, конечно же, является загрузка и установка OSForensics. Возможна загрузка приложения нажав на эту ссылку.

В этот момент для создания своеобразного «снимка» содержимого жесткого диска необходимо в главном окне OSForensics нажать на пункт «Создать подпись» в разделе «Пуск».

Когда появится следующее окно, нажмите кнопку «Конфигурация», чтобы указать диски, папки или ключи реестра для проверки:

По умолчанию OSForensics записывает конфигурацию файлов и папок, хранящихся на диске C:. В раскрывающемся меню Каталог можно указать другие подразделения или одну или несколько ветвей реестра Windows:

Меню «Действие» должно быть оставлено на «Включить все файлы в этом каталоге».

Вернувшись к предыдущему экрану, нажав на кнопку «Пуск», OSForensics попросит вас определить, в какой файл вы хотите записать текущую конфигурацию диска и реестра Windows:

В нашем случае мы указали в качестве имени файла 1st.OSFsig.

OSForensics начнет сканирование содержимого диска и реестра Windows, сохранив информацию о состоянии различных элементов, найденных в файле 1st.OSFsig. Процедура системного анализа довольно быстрая и обычно заканчивается через несколько минут ожидания.

После завершения первоначального сканирования системы, включая реестр, вы можете, например, установить нужное приложение. После его загрузки мы предлагаем вам запустить его хотя бы пару раз, чтобы быть уверенным, что он применяет все необходимые для его работы изменения.

Чтобы установить, какие изменения были внесены в файловую систему, а также в реестр Windows, необходимо сначала повторить предыдущие четыре шага, позаботившись указать в качестве имени файла, например, 2nd.OSFsig:

В меню «Пуск» OSForensics, щелкнув значок «Сравнить подпись», вы можете попросить сравнить «моментальный снимок» 1st.OSFsig с содержимым 2nd.OSFsig.

Поля Старая подпись и Новая подпись следующего экрана необходимо заполнить, указав соответственно первый и второй «снимок» содержимого диска:

Щелчком по кнопке «Сравнить» OSForensics начнет сравнивать содержимое двух файлов, экстраполируя любые различия. Затем более широкая область окна будет заполнена информацией, касающейся изменений, записанных OSForensics по сравнению с первым «снимком».

Для каждого элемента в столбце «Разница» OSForensics показывает, был ли объект изменен, добавлен или удален. Итоговый отчет можно экспортировать в текстовом формате.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *