Утилиты NirSoft для извлечения информации из Windows

На веб-сайте NirSoft можно найти уникальную коллекцию маленьких и полезных программ, все их разработал Nir Sofer.

У этих программ специфическое предназначение – они извлекают информацию (с постоянных носителей, из сетевых потоков, реестра и т.д.) из компьютеров на Windows. С их помощью вы можете восстановить потерянные пароли, мониторить вашу сеть для просмотра и извлечения кукиз, кэша и другой информации, хранимой веб-браузерами, искать по файлам в вашей системе, мониторить изменения в файловой системе и в системном Реестре и многое другое.

Программы являются бесплатными, не требуют установки, не содержат каких-либо вредоносных или рекламных компонентов. У программ присутствует графический интерфейс, многие программы также поддерживают работу в командной строке. У всех программ имеется поддержка многих языков и практически для всех сделан перевод на русский язык. Во время своей работы программы ничего не записывают в реестр Windows, т.е. при использовании с USB носителя не оставляют следов своего присутствия.

Познакомившись с программами NirSoft вы сможете извлекать забытые пароли и другую информацию, а также сможете оценить, что хранится на вашем компьютере и что из него могут получить злоумышленники.

Программы регулярно обновляются, также постоянно добавляются новые инструменты.

В полном списке программы разделены на следующие разделы:

  • восстановление паролей
  • мониторинг сети
  • извлечение информации из веб-браузеров
  • работа с видео/аудио
  • работа с Интернет
  • утилиты командной строки
  • настольные
  • работа с Outlook/Office
  • программерские инструменты
  • дисковые утилиты
  • системные утилиты
  • прочие утилиты

Отдельные программы автор выделяет в разделы «Программное обеспечение для компьютерной криминалистики на Windows» и «Инструменты для работы с паролями», начнём знакомство с них.

Программное обеспечение для компьютерной криминалистики на Windows

BrowsingHistoryView

BrowsingHistoryView считывает и показывает информацию о посещённых сайтах для всех популярных браузеров. Кроме адреса посещённых страниц, показывается её имя, время посещения, счётчик визитов и прочее. Можно извлечь информацию из всех профилей пользователей системы, а также из внешнего диска. Присутствует возможность сохранения результатов.

Настройки:

MyLastSearch 

MyLastSearch сканирует кэш и файлы историй вашего веб-браузера и определяет все пользовательские запросы, которые вы сделали в самых популярных поисковых системах (Google, Yahoo и MSN), на самых популярных сайтах социальных сетей (Twitter, Facebook, MySpace), а также на других популярных сайтах (YouTube, Wikipedia, Friendster, hi5).

К сожалению, программа не знает про google.ru (с google.com всё в порядке) и не знает про yandex.ru – т.е. поиски по этим сайтам она не видит. Печалька, но я уже отписал автору об этой проблеме – возможно, поправят в одном из будущих релизов.

UPD: Начиная с версии 1.65 добавлена поддержка для поисков в Yandex, DuckDuckGo и google.ru.

Программы для просмотра кэша браузеров (IECacheView, MozillaCacheView, ChromeCacheView)

Работа программ IECacheView, MozillaCacheView и ChromeCacheView напоминает работу BrowsingHistoryView, но просмотр кэша позволяет видеть каждый индивидуальный файл (скаченные ссылки, изображения и т.д.), а не только адреса посещённых страниц.

Программы для просмотра кукиз (ChromeCookiesView, IECookiesView, MZCookiesView)

Как вы уже поняли, ChromeCookiesView, IECookiesView, MZCookiesView используются для просмотра кукиз в различных веб-браузерах.

На самом деле, выделение раздела программ для IT криминалистики, на мой взгляд, довольно условно – там все программы в той или иной мере предназначены для цифрового форенсиса. Особенно это касается программ для извлечения сохранённых на компьютер паролей – кстати, перейдём теперь к ним.

Программы по восстановлению паролей

WebBrowserPassView

Программа WebBrowserPassView восстанавливает сохранённые пароли из браузеров. Поддерживаются следующие веб-браузеры: Internet Explorer (версии 4.0 - 11.0), Mozilla Firefox (все версии), Google Chrome, Safari и Opera.

Этот инструмент может использоваться для восстановления потерянных/забытых паролей от любого веб-сайта, включая такие популярные веб-сайты как Facebook, Yahoo, Google и GMail.

После получения потерянных паролей, их можно сохранить в текстовый/html/csv/xml файл, для этого выберите соответствующий пункт меню или нажмите (Ctrl+S).

Кроме универсальной программы под все браузеры, имеется четыре отдельных программы под каждый конкретный браузер. Если вас интересует восстановление паролей только, например, из Mozilla Firefox, то скачайте PasswordFox.

WirelessKeyView

WirelessKeyView восстанавливает все пароли беспроводных сетей (WEP/WPA), хранимые на вашем компьютере. Работает на всех версиях Windows. Позволяет вам с лёгкостью сохранить все парольные фразы в текстовый/html/xml файл или скопировать выбранный ключ в буфер обмена. Также для просмотра на другом компьютере, вы можете использовать в программе функции экспорта и импорта.

Mail PassView

Mail PassView – это небольшой инструмент по восстановлению паролей, который раскрывает пароли и другую информацию об учётных записях для следующих клиентов электронной почты:

  • Outlook Express
  • Microsoft Outlook 2000 (только аккаунты POP3 и SMTP)
  • Microsoft Outlook 2002/2003/2007/2010/2013/2016 (POP3, IMAP, HTTP и SMTP аккаунты)
  • Windows Mail
  • Windows Live Mail
  • IncrediMail
  • Eudora
  • Netscape 6.x/7.x (если пароль не зашифрован мастер-паролем)
  • Mozilla Thunderbird (если пароль не зашифрован мастер-паролем)
  • Group Mail Free
  • Yahoo! Mail – если пароль сохранён в программе Yahoo! Messenger.
  • Hotmail/MSN mail – если пароль сохранён в программе MSN/Windows/Live Messenger.
  • Gmail – если пароль сохранён в программе Gmail Notifier, Google Desktop или в Google Talk.

VNCPassView

VNCPassView небольшая утилита для восстановления паролей, сохранённых инструментами VNC.

Кроме перечисленных, на сайте присутствуют и другие программы для просмотра сохранённых на компьютер паролей.

Программы для мониторинга сети

Это очень обширная группа программ, включает как инструменты для контроля за беспроводными сетями Wi-Fi, так и за проводными. Рассмотреть каждую программу не представляется возможным, взглянем только на некоторые из них.

SmartSniff

SmartSniff – это утилита сетевого мониторинга, которая позволяет захватывать TCP/IP пакеты, которые проходят через ваш сетевой адаптер и просматривать захваченные данные как последовательность разговоров между клиентами и серверами. Вы можете просматривать TCP/IP беседы в режиме Ascii (для протоколов на основе текста, таких HTTP, SMTP, POP3 и FTP.) или как шестнадцатеричный дамп (для нетекстовых протоколов, таких как DNS).

CurrPorts

CurrPorts показывает все открытые TCP/IP и UDP порты вашего локального компьютера. Для каждого порта выводится информация о процессе, который его открыл, информация о версии, время, когда он был создан и создавшего его пользователя.

Дополнительно CurrPorts позволяет вам закрывать нежелательные TCP соединения, убивать процесс, который открыл порты и сохранять информацию о TCP/UDP портах в файлы различных форматов.

CurrPorts также автоматически помечает розовым цветом TCP/UDP порты, владельцем которых является неидентифицируемое приложение (приложения без информации о версии и иконки).

NetworkConnectLog

NetworkConnectLog непрерывно сканирует вашу локальную сеть (используя протоколы ARP и Netbios) и добавляет новые записи в журнал каждый раз, когда новый компьютер или устройство подключилось к вашей сети или отключилось от неё.

Wireless Network Watcher

Wireless Network Watcher – это небольшая программа, которая сканирует вашу беспроводную сеть и отображает список всех компьютеров и устройств, которые в данный момент подключены к ней.

Для каждого компьютера или устройства, подключённого к вашей сети, отображается следующая информация: IP адрес, MAC адрес, компания-производитель сетевой карты и, опционально, имя компьютера.

WifiHistoryView

WifiHistoryView программа для Windows 10/8/7/Vista, которая отображает подключения к беспроводным сетям на вашем компьютере. Для каждого события, когда компьютер подключился или отключился к/от беспроводной сети, отображается следующая информация: дата/время когда произошло событие, имя сети (SSID), имя профиля, имя сетевого адаптера, BSSID роутера/точки доступа и другая.

WifiHistoryView может считывать информацию об истории Wi-Fi с другой запущенной системы или из внешнего файла журнала другого компьютера.

WifiInfoView

WifiInfoView сканирует беспроводные сети в вашей области и отображает расширенную информацию о них, включая: имя сети (SSID), MAC адрес, тип PHY (802.11g или 802.11n), RSSI, качество сигнала, частоту, номер канала, максимальную скорость, имя компании, модель роутера и имя роутера (только для роутеров, которые предоставляют эту информацию) и другое.

При выделении элемента, внизу отображает информация об этом устройстве в шестнадцатеричном формате.

WirelessNetView

WirelessNetView работает в фоне и мониторит активность беспроводных сетей около вас. Для каждой обнаруженной сети отображается следующая информация: SSID, текущее качество сигнала, среднее качество сигнала, счётчик обнаружений, алгоритм аутентификации, алгоритм шифрования, MAC адрес, RSSI, частота канала, номер канала и другое.

NetRouteView

NetRouteView альтернатива с графическим пользовательским интерфейсом стандартной утилите маршрутизации (Route.exe) операционной системы Windows. Она отображает список всех маршрутов вашей текущей сети, включая назначение, маску, шлюз, IP адрес интерфейса, метрическую величину, тип, протокол, возраст (в секундах), имя интерфейса и MAC адрес.

NetRouteView также позволяет вам легко добавить новые маршруты, а также удалить или изменить существующие статичные маршруты.

Внимание: в настоящее время эту утилита не поддерживает IPv6.

CountryTraceRoute

CountryTraceRoute утилита построения маршрута (Traceroute), похожа на tracert для Windows, но с графическим пользовательским интерфейсом, а также намного быстрее tracert из Windows. CountryTraceRoute также отображает страну-владельца каждого IP адреса, найденного в маршруте.

DNSQuerySniffer

DNSQuerySniffer – программа для сетевого сниффинга в Windows запросов DNS, отправляемых на вашу систему. Для каждого DNS запроса отображается следующая информация: имя хоста, номер порта, ID запроса, тип запроса (A, AAAA, NS, MX и т.д.), время запроса, время ответа, длительность, код запроса, количество записей и содержимое возвращённых DNS записей.

Программы для извлечения информации из веб-браузеров

Часть этих инструментов была рассмотрена в разделе «Утилиты для IT криминалистики», далее несколько, не вошедших туда.

BrowserAddonsView

BrowserAddonsView отображает подробности о всех дополнениях/плагинах веб-браузера, установленных в вашу систему. BrowserAddonsView может сканировать и определять дополнения большинства популярных браузеров: Chrome, Firefox и Internet Explorer. Для Chrome и Firefox, BrowserAddonsView сканирует все профили веб-браузера, если их несколько.

WebCookiesSniffer

WebCookiesSniffer захватывает все кукиз веб-сайтов, отправляемые между веб-браузером и веб-сервером и отображает их в простой таблице кукиз. Верхняя панель WebCookiesSniffer показывает строку куки и имя сайта/хоста, который отправил или принял это куки. При выборе строки куки в верхней панели, WebCookiesSniffer разбирает строку куки и отображает кукиз в нижней панели в формате имя-значение.

Утилиты, связанные с Интернетом

DomainHostingView

DomainHostingView – это программа для Windows, которая собирает обширную информацию о домене, используя серию DNS и WHOIS запросов и генерирует HTML отчёт, который можно открыть в веб-браузере.

Информация включает в себя: хостинг-компанию или дата центр, который хостит веб-сервер, почтовый сервер и сервер доменных имён (DNS) указанного домена, даты создания/изменения/истечения домена, владельца домена, регистратора домена, список всех DNS записей и другое.

HostedNetworkStarter

HostedNetworkStarter – это простая программа для Windows 7 и более поздних, она позволяет вам с лёгкостью создать точку доступа Wi-Fi на вашем компьютере Windows.

IPNetInfo

IPNetInfo – это программка, которая позволяет вам с лёгкостью найти всю доступную информацию об IP адресе: владельца IP адреса, страну/штат, диапазон IP адресов, контактную информацию (адрес, телефон, факс и email) и другое.

IPNetInfo может извлекать все IP адреса из заголовков сообщения электронной почты – достаточно скопировать их в программу и она отобразит всю информацию об этих IP адресах.

WhoisThisDomain

WhoisThisDomain получает информацию о зарегистрированных доменах. Она автоматически подключается к правильному WHOIS серверу, в соответствии с доменом первого уровня, и получает WHOIS записи этого домена.

DNSDataView

Эта утилита является версией с графическим интерфейсом инструмента NSLookup, который поставляется с операционной системой Windows. Он позволяет вам легко получить DNS записи (MX, NS, A, SOA) указанного домена. Вы можете использовать DNS сервер по умолчанию для вашего Интернет-соединения или любой другой DNS сервер, который вы укажите. Полученные результаты можно сохранять в файлы разных форматов.

MACAddressView

MACAddressView делает поиск по базе данных MAC адресов для поиска информации о компании (имя компании, адрес, страна), которая произвела данное сетевое устройство.

MACAddressView не посылает каких-либо запросов на удалённый сервер, он использует вшитую в .exe файл базу MAC адресов. Ссылку на скачивание вы найдёте на официальной страницы с описанием программы www.nirsoft.net/utils/mac_address_lookup_find.html.

WebSiteSniffer

WebSiteSniffer захватывает все файлы, которые были подгружены браузером с веб-сайтов в то время, когда вы сёрфили по Интернету, и сохраняет их на ваш жёсткий диск в каталоге, который вы выбрали. WebSiteSniffer позволяет вам выбрать, файлы какого типа захватывать: HTML файлы, текстовые файлы, XML файлы, CSS файлы, видео/аудио файлы, изображения, скрипты и флэш (.swf).

Во время захвата, главное окно WebSiteSniffer отображает общую статистику о загруженных файлах для каждого веб-сайта / имени хоста, включая общий размер всех файлов и общее количество файлов каждого типа (HTML, текст, изображения и т.д.).

FastResolver

FastResolver переводит имена хостов в IP адреса и наоборот. Просто введите список IP адресов или имён хостов, которые вы хотите преобразовать. Также понимается ввод диапазонов IP, который вы хотите просканировать. Для локальной сети FastResolver также позволяет вам получить MAC адреса всех IP адресов, которые вы сканируете. FastResolver является многопоточным приложением, поэтому вы можете просканировать десятки адресов в считаные секунды.

Настольные утилиты

Clipboardic

Clipboardic следит за активностью буфера обмена, и каждый раз, когда вы что-то копируете в буфер обмена, она автоматически сохраняет скопирвоанные данные в файл буфера обмена Windows (.clp). Позже, когда вам снова нужны скопированные данные, вы можете просто выбрать верный файл буфера обмена и Clipboardic автоматически вставит его в буфер обмена.

Clipboardic также позволяет вам с лёгкостью иметь общий буфер обмена между несколькими компьютерами в вашей локальной сети.

InsideClipboard

Каждый раз, когда вы что-то копируете в буфер обмена для вставки этого в другое приложение, скопированные данные сохраняются во множестве форматов. Главное приложение буфера обмена Windows отображает только базовые форматы, такие как текст, изображения bitmap, но не отображает список всех форматов, которые хранятся в буфере обмена.

InsideClipboard – это небольшая программа, которая отображает бинарное содержимое всех форматов, которые в данный момент сохранены в буфере обмена, она позволяет вам сохранить содержимое специфичного формата в бинарный файл.

Дисковые утилиты

SearchMyFiles

SearchMyFiles – это альтернатива стандартному модулю поиска Windows. Эта программа позволяет вам с лёгкостью искать файлы в вашей системе с использованием подстановочных символов, по времени последней модификации/создания/последнего доступа, по атрибутам файла, по содержимому файла (текстовый или бинарный поиск) и по размеру файла. SearchMyFiles позволяет вам задать очень точный поиск, который не может быть выполнен с поиском Windows. Например, вы можете найти все файлы, созданные за последние 10 минут и с размером между 500 и 700 байт.

После нахождения файлов, вы можете выбрать один или несколько из них и сохранить список в текстовый/html/csv/xml файл или скопировать список в буфер обмена.

SearchMyFiles является портативной программой, вы можете использовать её с USB флэшки без оставления следов в реестре просканированного компьютера.

Системные утилиты

FolderChangesView

FolderChangesView мониторит папку или диск, которые вы указали, и выводит список каждого имени файла, который был изменён, создан или удалён во время мониторинга папки.

Вы можете использовать FolderChangesView с любым локальным диском или с удалённой общей сетевой папкой (достаточно иметь прав доступа на чтение).

RegistryChangesView

RegistryChangesView делает снимок Реестра Windows и позже сравнивает его с другим снимком Реестра, с текущемм Реестром или с файлами Реестра, хранимыми в теневой (shadow) копии, созданной Windows. Когда сравниваются 2 снимка Реестра, вы можете увидеть точные изменения, сделанные в Реестре между двумя снимками, и, опционально, экспортировать изменения Реестра в стандартный файл .reg программы RegEdit.

Password Security Scanner

Утилита сканирует пароли, хранимые популярными приложениями Windows (Microsoft Outlook, Internet Explorer, Mozilla Firefox и другое…) и показывает информацию о безопасности всех этих паролей. Информация о безопасности каждого хранимого пароля включает: общее количество символов, количество цифровых символов, количество букв в верхнем/нижнем регистре, количество повторяющихся символов и стойкость пароля. Вы можете использовать этот инструмент для определения, достаточно ли безопасны используемые пользователями пароли без просмотра самих паролей.

USBLogView

USBLogView работает в фоне и записывает подробности о любом USB устройстве, который подключён или отключён в вашей системе. Для каждой записи в журнале USBLogView сохраняет следующую информацию: тип события (подключение/отключение), время события, имя устройства, описание, тип устройства, буква диска (для устройств хранения), серийный номер (только для некоторых типов устройств), ID производителя, ID продукта, имя производителя, имя продукта и другое.

USBDeview

USBDeview выводит список всех USB устройств, в настоящее время подключенных к вашему компьютеру, а также ранее использованных USB устройств.

Для каждого USB устройства отображается обширная информация: имя/описание устройства, тип устройства, серийный номер (для запоминающих устройств), дата/время, когда устройство было добавлено, VendorID, ProductID и другое.

USBDeview также позволит вам удалить USB устройства, которые вы ранее использовали, отключить USB устройства, которые в данный момент подключены к вашему компьютеру, а также отключить или включить USB устройства.

Вы также можете использовать USBDeview на удалённом компьютере, пока вы залогинены на нём как администратор.

ShellExView

ShellExView – утилита для отображения подробностей об установленных расширениях оболочки на вашем компьютере. Позволяет с лёгкостью отключать и включать каждое расширение. Может использоваться для решения проблем в контекстном меню системного Проводника.

Где скачать и как русифицировать программы NirSoft

Ссылки для скачивания находятся на странице для каждой программы. Чтобы их найти, перейдите на страницу с описанием интересующей вас программы, пролистните вниз, почти до конца страницы, вы увидите строки со словами Download, например, для программы ShellExView:

Download ShellExView in Zip file
Download self-install executable for installing ShellExView with uninstall support
Download ShellExView for x64

Здесь Download ShellExView in Zip file и Download ShellExView for x64 – портативные версии, первая для 32-битных компьютеров, вторая для 64-битных систем. Это портативные версии, которые достаточно распаковать и запустить – установка не требуется.

Ссылка Download self-install executable for installing ShellExView with uninstall support ведёт на установщик – при желании, вы можете инсталлировать программу в систему. Установщик присутствует не для всех программ, также не для всех программ имеется 64-битная версия.

Как вы могли заметить, на моих скриншотах англоязычный интерфейс. Чтобы русифицировать программу, пролистните страницу, на которой вы её скачали, до самого конца, найдите таблицу с переводами, выберите язык Russian, скачайте файл и поместите распакованный из архива файл в каталог, куда вы разархивировали саму программу. После запуска язык интерфейса должен поменяться на русский.

Заключение

Сайт NirSoft предлагает сотни полезных программ, написанных за более чем полтора десятилетия одним программистом. Программы поддерживаются в актуальном (рабочем) состоянии, постоянно выпускаются новые версии и добавляются новые программы. Здесь были рассмотрены далеко не все из них. С полным списком вы можете ознакомиться на сайте разработчика. Даже если вы не владеете английским языком, то для того, чтобы понять, что делает программа, её достаточно скачать и запустить – большинство программ не требуют никаких настроек и выполняют свою функцию после запуска.

Рекомендуемые статьи:

Добавить комментарий

Ваш e-mail не будет опубликован.