Kryminalistyka cyfrowa to proces przechowywania, identyfikacji, ekstrakcji i dokumentowania dowodów komputerowych, które mogą być wykorzystane przez sąd. Istnieje wiele narzędzi, które pomogą Ci uczynić ten proces prostym i łatwym. Aplikacje te zapewniają kompletne raporty, które można wykorzystać w procedurach prawnych.
Poniżej znajduje się starannie dobrana lista Digital Forensic Toolkits wraz z ich popularnymi funkcjami i linkami do witryn internetowych. Lista zawiera zarówno oprogramowanie open source (bezpłatne), jak i komercyjne (płatne).
1) ProDiscover Forensic
ProDiscover Forensic to aplikacja zabezpieczająca komputer, która pozwala zlokalizować wszystkie dane na dysku komputera. Może chronić dowody i tworzyć raporty jakości na potrzeby procedur prawnych. To narzędzie umożliwia wyodrębnienie informacji EXIF (Exchangeable Image File Format) z plików JPEG.webp.
Cechy :
- Ten produkt obsługuje systemy plików Windows, Mac i Linux.
- Możesz szybko przeglądać i wyszukiwać podejrzane pliki.
- Tworzy kopię całego podejrzanego dysku, aby zabezpieczyć oryginalne dowody.
- To narzędzie pomaga przeglądać historię internetową.
- Możesz importować lub eksportować obrazy w formacie .dd.
- Umożliwia dodawanie komentarzy do dowodów zainteresowania.
- ProDiscover Forensic obsługuje VMware w celu uruchomienia przechwyconego obrazu.
Link : https://www.prodiscover.com
2) Zestaw detektywa (+ autopsja)
Sleuth Kit (+ Autopsy) to narzędzie oparte na systemie Windows, które ułatwia analizę kryminalistyczną systemów komputerowych. To narzędzie umożliwia sprawdzenie dysku twardego i smartfona.
Cechy :
- Możesz skutecznie identyfikować aktywność za pomocą interfejsu graficznego.
- Ta aplikacja zapewnia analizę wiadomości e-mail.
- Możesz grupować pliki według ich typu, aby znaleźć wszystkie dokumenty lub obrazy.
- Wyświetla miniatury obrazów, aby szybko przeglądać obrazy.
- Możesz oznaczać pliki dowolnymi nazwami znaczników.
- Zestaw Sleuth umożliwia wyodrębnianie danych z dzienników połączeń, wiadomości SMS, kontaktów itp.
- Pomaga w oznaczaniu plików i folderów na podstawie ścieżki i nazwy.
Link : https://www.sleuthkit.org
3) KAINE
CAINE to aplikacja oparta na Ubuntu, która oferuje kompletne środowisko kryminalistyczne z interfejsem graficznym. To narzędzie można zintegrować z istniejącymi narzędziami programowymi jako moduł. Automatycznie wyodrębnia oś czasu z pamięci RAM.
Cechy :
- Wspiera cyfrowego śledczego w czterech fazach cyfrowego dochodzenia.
- Oferuje przyjazny dla użytkownika interfejs.
- Możesz dostosować funkcje CAINE.
- To oprogramowanie oferuje wiele przyjaznych dla użytkownika narzędzi.
Link : https://www.caine-live.net
4) PALADIN
PALADIN to narzędzie oparte na Ubuntu, które umożliwia uproszczenie szeregu zadań kryminalistycznych. Zawiera ponad 100 przydatnych narzędzi do badania wszelkich złośliwych materiałów. To narzędzie pomaga szybko i skutecznie uprościć zadanie kryminalistyczne.
Cechy :
- Udostępnia wersje 64-bitowe i 32-bitowe.
- To narzędzie jest dostępne na pendrive'ie USB.
- Ten zestaw narzędzi zawiera narzędzia typu open source, które pomagają w bezproblemowym wyszukiwaniu wymaganych informacji.
- To narzędzie składa się z ponad 33 kategorii, które pomagają w wykonaniu zadania z zakresu kryminalistyki cybernetycznej.
Link : https://sumuri.com/software/paladin/
5) EnCase
Encase to aplikacja, która pomaga odzyskać dowody z dysków twardych. Pozwala na dogłębną analizę plików w celu zebrania dowodów, takich jak dokumenty, zdjęcia itp.
Cechy :
- Możesz pozyskiwać dane z wielu urządzeń, w tym telefonów komórkowych, tabletów itp.
- Umożliwia tworzenie pełnych raportów w celu zachowania integralności dowodów.
- Możesz szybko przeszukiwać, identyfikować, a także ustalać priorytety dowodów.
- Encase-forensic pomaga odblokować zaszyfrowane dowody.
- Automatyzuje przygotowywanie dowodów.
- Możesz przeprowadzić analizę dogłębną i triage (wagi i priorytetu defektów).
Link : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT to dystrybucja informatyki śledczej oparta na Ubuntu. Zapewnia cyfrowe narzędzie do badania kryminalistyki i reagowania na incydenty.
Cechy :
- Może działać w 64-bitowym systemie operacyjnym.
- To narzędzie pomaga użytkownikom lepiej wykorzystywać pamięć.
- Automatycznie aktualizuje pakiet DFIR (Digital Forensics and Incident Response).
- Można go zainstalować za pomocą instalatora SIFT-CLI (interfejs wiersza poleceń).
- To narzędzie zawiera wiele najnowszych narzędzi i technik kryminalistycznych.
Link : https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
FTK Imager to zestaw narzędzi kryminalistycznych opracowany przez AccessData, który można wykorzystać do uzyskania dowodów. Może tworzyć kopie danych bez dokonywania zmian w oryginalnych dowodach. To narzędzie umożliwia określenie kryteriów, takich jak rozmiar pliku, rozmiar w pikselach i typ danych, w celu zmniejszenia ilości nieistotnych danych.
Cechy :
- Zapewnia oparte na kreatorach podejście do wykrywania cyberprzestępczości.
- Ten program oferuje lepszą wizualizację danych za pomocą wykresu.
- Możesz odzyskać hasła z ponad 100 aplikacji.
- Posiada zaawansowane i zautomatyzowane narzędzie do analizy danych.
- FTK Imager pomaga zarządzać profilami wielokrotnego użytku dla różnych wymagań badawczych.
- Obsługuje udoskonalanie przed i po przetwarzaniu.
Link : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Przechwytywanie magnetycznej pamięci RAM
Przechwytywanie Magnet RAM rejestruje pamięć podejrzanego komputera. Pozwala badaczom odzyskać i przeanalizować cenne przedmioty, które znajdują się w pamięci.
Cechy :
- Możesz uruchomić tę aplikację, minimalizując nadpisane dane w pamięci.
- Umożliwia eksportowanie przechwyconych danych z pamięci i przesyłanie ich do narzędzi analitycznych, takich jak magnes AXIOM i magnes IEF.
- Ta aplikacja obsługuje szeroką gamę systemów operacyjnych Windows.
- Przechwytywanie magnetycznej pamięci RAM obsługuje pozyskiwanie pamięci RAM.
Link : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways to oprogramowanie zapewniające środowisko pracy dla informatyków śledczych. Ten program obsługuje klonowanie i tworzenie obrazów dysków. Umożliwia współpracę z innymi osobami, które mają to narzędzie.
Cechy :
- Ma możliwość odczytywania partycji i struktur systemu plików w plikach obrazów .dd.
- Możesz uzyskać dostęp do dysków, macierzy RAID (nadmiarowa tablica niezależnych dysków) i nie tylko.
- Automatycznie identyfikuje utracone lub usunięte partycje.
- To narzędzie może łatwo wykryć NTFS (system plików nowej technologii) i ADS (alternatywne strumienie danych).
- X-Ways Forensics obsługuje zakładki lub adnotacje.
- Posiada możliwość analizy zdalnych komputerów.
- Możesz przeglądać i edytować dane binarne za pomocą szablonów.
- Zapewnia ochronę przed zapisem w celu zachowania autentyczności danych.
Link : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark to narzędzie analizujące pakiet sieciowy. Może być używany do testowania sieci i rozwiązywania problemów. To narzędzie pomaga sprawdzić różny ruch przechodzący przez system komputerowy.
Cechy :
- Zapewnia bogatą analizę VoIP (Voice over Internet Protocol).
- Pliki przechwytywania skompresowane za pomocą programu gzip można łatwo zdekompresować.
- Dane wyjściowe można wyeksportować do pliku XML (Extensible Markup Language), CSV (Comma Separated Values) lub zwykłego tekstu.
- Dane na żywo można odczytać z sieci, blue-tooth, bankomatu, USB itp.
- Obsługa odszyfrowywania wielu protokołów, w tym IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) i WEP (Wired Equivalent Privacy).
- Możesz zastosować intuicyjną analizę, zasady kolorowania do pakietu.
- Umożliwia odczyt lub zapis pliku w dowolnym formacie.
Link : https://www.wireshark.org
11) Registry Recon
Registry Recon to komputerowe narzędzie śledcze służące do wyodrębniania, odzyskiwania i analizowania danych rejestru z systemu operacyjnego Windows. Ten program może być używany do efektywnego określania urządzeń zewnętrznych, które zostały podłączone do dowolnego komputera.
Funkcje:
- Obsługuje Windows XP, Vista, 7, 8, 10 i inne systemy operacyjne.
- To narzędzie automatycznie odzyskuje cenne dane NTFS.
- Możesz go zintegrować z narzędziem narzędziowym Microsoft Disk Manager.
- Szybko montuj wszystkie VSC (kopie woluminów w tle) VSC na dysku.
- Ten program odbudowuje bazę danych aktywnego rejestru.
Link : https://arsenalrecon.com/products/
12) Ramy zmienności
Volatility Framework to oprogramowanie do analizy pamięci i kryminalistyki. Pomaga przetestować stan środowiska uruchomieniowego systemu przy użyciu danych znajdujących się w pamięci RAM. Ta aplikacja umożliwia współpracę z członkami zespołu.
Cechy :
- Posiada API, które pozwala na szybkie wyszukiwanie flag PTE (Page Table Entry).
- Volatility Framework obsługuje KASLR (Kernel Address Space Layout Randomization).
- To narzędzie udostępnia liczne wtyczki do sprawdzania działania plików Mac.
- Automatycznie uruchamia polecenie Failure, gdy usługa nie uruchamia się wiele razy.
Link : https://www.volatilityfoundation.org
13) Xplico
Xplico to aplikacja do analizy kryminalistycznej typu open source. Obsługuje protokoły HTTP (Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol) i nie tylko.
Cechy :
- Możesz pobrać dane wyjściowe w bazie danych SQLite lub bazie danych MySQL.
- To narzędzie umożliwia współpracę w czasie rzeczywistym.
- Brak limitu rozmiaru przy wprowadzaniu danych lub liczbie plików.
- Możesz łatwo utworzyć dowolnego dyspozytora, aby uporządkować wyodrębnione dane w użyteczny sposób.
- Obsługuje zarówno IPv4, jak i IPv6.
- Możesz wykonać rezerwowe wyszukiwanie DNS z pakietów DNS zawierających pliki wejściowe.
- Xplico zapewnia funkcję PIPI (Port Independent Protocol Identification) do obsługi kryminalistyki cyfrowej.
Link : https://www.xplico.org
14) e-fense
E-fense to narzędzie, które pomaga sprostać potrzebom informatyki śledczej i cyberbezpieczeństwa. Pozwala odkrywać pliki z dowolnego urządzenia w jednym prostym w obsłudze interfejsie.
Cechy :
- Zapewnia ochronę przed złośliwym zachowaniem, włamaniami i naruszeniami zasad.
- Możesz pobrać historię internetową, pamięć i zrzut ekranu z systemu na pamięć USB.
- To narzędzie ma prosty w obsłudze interfejs, który umożliwia osiągnięcie celu dochodzenia.
- E-fense obsługuje wielowątkowość, co oznacza, że możesz wykonywać więcej niż jeden wątek jednocześnie.
Link : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike to cyfrowe oprogramowanie kryminalistyczne, które zapewnia analizę zagrożeń, bezpieczeństwo punktów końcowych itp. Może szybko wykrywać i odzyskiwać dane po incydentach cyberbezpieczeństwa. Możesz użyć tego narzędzia do znajdowania i blokowania napastników w czasie rzeczywistym.
Cechy :
- To narzędzie pomaga zarządzać lukami w systemie.
- Może automatycznie analizować złośliwe oprogramowanie.
- Możesz zabezpieczyć swoje wirtualne, fizyczne i oparte na chmurze centrum danych.
Link : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/