PlainSight – это универсальная среда компьютерной криминалистики, которая позволяет неопытным специалистам по форензике выполнять общие задачи с использованием мощных инструментов с открытым исходным кодом.
Есть много функций, включенных в эту платформу, таких как Internet History, использующих Pasco для восстановления историй Internet Explorer, Mork для восстановления историй FireFox / Netscape и RegRipper для просмотра напечатанных URL-адресов.
С помощью этой структуры вы можете выполнять такие операции, как:
- Получить информацию о жестком диске и разделе
- Извлечение информации о пользователе и группе
- Просмотр интернет-историй
- Изучить конфигурацию брандмауэра Windows
- Открыть последние документы
- Восстановить / вырезать более 15 различных типов файлов
- Открыть информацию USB-накопителя
- Изучите дампы физической памяти
- Изучите информацию UserAssist
- Извлечь хэши паролей LanMan
- Предварительный просмотр системы перед ее приобретением
Пользователь может запускать Volatility Framework для извлечения информации из физической памяти, такой как дата и время изображения, запущенные процессы, открытые сетевые сокеты, открытые сетевые подключения, библиотеки DLL, загруженные для каждого процесса, открытые файлы для каждого процесса, открытые маркеры реестра для каждого процесса, ОС модули ядра, отображение физических смещений на виртуальные адреса, информация о дескрипторе виртуального адреса.
Это помимо получения специальных данных форензики операционной системы из реестра Windows, информации о сети и извлечения конфигурации брандмауэра Windows из реестра, восстановления файлов и аудита конфиденциальных данных.
