======================================================================
FORENSIC_FULL.EXE – LOKÁLNÍ SBĚR FORENZNÍCH INFORMACÍ (WINDOWS)
======================================================================

Autor: (doplň si svoje jméno / útvar)
Verze nástroje: 1.0
Prostředí: Windows 10 / 11 (64bit)
Datum: (doplň)


1. STRUČNÝ POPIS
----------------
forensic_full.exe je přenosný nástroj pro jednorázový sběr vybraných
forenzně relevantních informací z běžícího systému Windows.

Nástroj:
- NEinstaluje se, běží přímo z .exe,
- zapisuje pouze do aktuálního adresáře (report + složka evidence),
- provádí pouze čtení systémových struktur + kopírování vybraných souborů,
- na závěr vypočítá SHA256 hashe reportu a archivu zajištěných souborů.

Pozor: Skript běží na živém systému, takže z principu dochází k omezeným změnám
(např. vznik nových souborů – report, evidence atd.). Používej s vědomím těchto
limitů a v souladu s interní metodikou.


2. OBSAH BALÍČKU (DOPORUČENÁ STRUKTURA NA FLEŠCE)
-------------------------------------------------
Forensics\
  forensic_full.exe
  README.txt
  Cases\                (volitelné – struktura pro jednotlivé případy)


3. POŽADAVKY
------------
- Windows 10 / 11 (64bit).
- Nástroj je vhodné spouštět z:
  - forenzní flešky / externího disku,
  - s dostatečnou kapacitou (evidence může mít stovky MB).
- Doporučená práva: účet s oprávněním číst registry a systémové složky
  (ideálně administrátor).


4. POSTUP POUŽITÍ (KROK ZA KROKEM)
----------------------------------
1) Připoj forenzní médium (flešku / disk) k vyšetřovanému PC.

2) Na médiu si vytvoř složku pro konkrétní případ, např.:
   Forensics\Cases\2025-12-09_case-1234_PC01\

3) Do této složky ZKOPÍRUJ soubor:
   forensic_full.exe

4) Otevři příkazovou řádku / PowerShell:
   - Win + R → "cmd" / "powershell"
   - přepni se do adresáře s nástrojem, např.:
     cd X:\Forensics\Cases\2025-12-09_case-1234_PC01

5) Spusť nástroj:
   forensic_full.exe
   (nebo)
   .\forensic_full.exe

6) Na začátku nástroj vyžádá:
   - Jméno vyšetřovatele
   - Číslo technického osvědčení
   - Číslo jednací případu
   - Volitelně datumový rozsah pro historii prohlížečů (RRRR-MM-DD)

   Tyto údaje se zapíší do hlavičky reportu.

7) Nástroj proběhne automaticky. Během běhu:
   - čte systémové informace, registry, historii prohlížečů atd.,
   - kopíruje vybrané soubory (logy, configy) vzdálených nástrojů
     do složky forensic_evidence.

8) Na konci:
   - vytvoří ZIP archiv zajištěných souborů: forensic_evidence.zip
   - spočítá SHA256 hashe:
     - reportu (forenzni_report_full.txt)
     - archivu (forensic_evidence.zip)
   - vypíše je jak do reportu, tak do konzole.
   - čeká na stisk Enter před ukončením.


5. CO NÁSTROJ SBÍRÁ
-------------------
Nástroj typicky zahrnuje (orientační přehled):

1) Systémové informace:
   - platforma, verze OS, build, hostname, HW info,
   - plný výpis příkazu "systeminfo".

2) Instalovaný software (FULL seznam):
   - čteno z odinstalačních registrů (HKLM/HKCU...Uninstall),
   - název, verze, vydavatel, datum instalace (pokud je k dispozici).

3) Detekce nástrojů vzdálené správy:
   - hledání v seznamu nainstalovaného SW podle klíčových slov
     (TeamViewer, AnyDesk, RustDesk, VNC, Radmin, atd.),
   - volitelně detekce běžících procesů (pokud je dostupný modul psutil).

4) Relevantní složky nástrojů vzdálené správy:
   - pokus o nalezení typických cest (Program Files, AppData, ProgramData),
   - tree-style výpis struktury (omezená hloubka / počet položek),
   - stručný komentář k významu složek (logy, config, DB, atd.).

5) Kopie relevantních souborů ("forensic_evidence"):
   - z typických složek vzdálené správy kopíruje:
     - logy (.log, .txt),
     - konfigy (.ini, .json, .xml, .conf),
     - databáze (.db, .sqlite),
   - omezuje počet souborů a velikost (aby se to “neurvalo”).

6) Prefetch stopy:
   - prohledá C:\Windows\Prefetch
   - hledá stopy např. ANYDESK, TEAMVIEWER, RUSTDESK, VNC, RADMIN,
   - pokud je v Prefetch nástroj, ale není nainstalovaný ani složky,
     report to okomentuje jako možný pozůstatek po smazání.

7) Autorun (persistenční) položky:
   - klíče Run / RunOnce v HKLM a HKCU,
   - vypíše název a příkaz.

8) Běžící procesy:
   - pokud je dostupný modul psutil, vypíše seznam procesů:
     PID, název, cesta k .exe, cmdline,
   - jinak použije výstup "tasklist /v".

9) USBSTOR:
   - registry „HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR“
   - vypisuje historii připojených USB mass storage zařízení
     (friendly name, výrobce, popis).

10) RDP (Remote Desktop) – stav:
    - čte registr fDenyTSConnections (zapnuto/vypnuto),
    - zkouší netstat -an, jestli naslouchá port 3389.

11) Lokální uživatelé & síť:
    - výstup "net user",
    - výstup "ipconfig /all".

12) Historie prohlížečů (CSV pro Excel):
    - Chrome (Default), Edge (Default), Brave (všechny profily),
      Firefox (všechny profily v %APPDATA%\Mozilla\Firefox\Profiles),
    - volitelný datumový rozsah (od/do),
    - zapisuje tabulku ve formátu:
      Browser;Profil;Datum_čas;URL;Titulek
    - vhodné pro přímé vložení do Excelu (oddělovač ;).


6. VÝSTUPNÍ SOUBORY
-------------------
V adresáři, odkud je forensic_full.exe spuštěn, vzniknou zejména:

1) forenzni_report_full.txt
   - hlavní textový report (UTF-8),
   - obsahuje:
     - identifikaci vyšetřovatele a případu,
     - čas začátku a konce úkonu,
     - všechny výpisy (systeminfo, SW, historie, atd.),
     - SHA256 hash tohoto reportu,
     - SHA256 hash archivu evidence (pokud existuje).

2) forensic_evidence\  (složka)
   - obsahuje zkopírované logy / configy / DB soubory
     z nalezených nástrojů vzdálené správy.

3) forensic_evidence.zip
   - archiv (ZIP) složky forensic_evidence,
   - vhodný pro snadné předání / archivaci.
   - SHA256 hash je uveden v reportu.


7. FORENZNÍ POZNÁMKY A DOPORUČENÍ
---------------------------------
- Nástroj spouštěj, pokud možno, z forenzního média (fleška, externí disk),
  nikoliv z interního disku vyšetřovaného PC.
- Před spuštěním si zapiš:
  - datum a čas začátku,
  - identifikaci PC / místa zásahu (pokud ji ještě nemáš).
- Po doběhnutí nástroje:
  - zapiš čas ukončení,
  - ulož si hashe (SHA256) reportu a archivu evidence do vlastního
    logu případu (nebo do spisové dokumentace).
- Pokud děláš další úkony (disk image, offline analýza apod.),
  ber tento nástroj jako první rychlý sběr artefaktů, ne jako náhradu
  za kompletní forenzní postup.


8. KONTAKT / POZNÁMKY PRO DALŠÍ VÝVOJ
-------------------------------------
- Pokud se změní struktura složek nástrojů (AnyDesk, TeamViewer, RustDesk…),
  je potřeba skript aktualizovat (cesty, filtry).
- Stejně tak pokud Microsoft změní formát historie prohlížečů nebo přestane
  používat určité registry.
- Doporučuje se mít uložený:
  - zdrojový kód skriptu,
  - verzi forensic_full.exe,
  - postup, jak byl .exe vytvořen,
  jako součást interní dokumentace nástroje.
