Digitální forenzní je proces konzervace, identifikace, extrakce a dokumentace počítačových důkazů, které lze použít u soudu. Existuje mnoho nástrojů, které vám pomohou tento proces zjednodušit a usnadnit. Tyto aplikace poskytují úplné zprávy, které lze použít pro právní postupy.
Následuje ručně vybraný seznam nástrojů Digital Forensic Toolkits s jejich oblíbenými funkcemi a odkazy na webové stránky. Seznam obsahuje jak otevřený (bezplatný), tak komerční (placený) software.
1) ProDiscover forenzní
ProDiscover Forensic je aplikace pro zabezpečení počítače, která vám umožní vyhledat všechna data na disku počítače. Může chránit důkazy a vytvářet zprávy o kvalitě pro použití právních postupů. Tento nástroj umožňuje extrahovat informace EXIF (Exchangeable Image File Format) ze souborů JPEG.webp.
Vlastnosti :
- Tento produkt podporuje systémy souborů Windows, Mac a Linux.
- Můžete si rychle prohlédnout a vyhledat podezřelé soubory.
- Vytvoří kopii celého podezřelého disku, aby byly původní důkazy v bezpečí.
- Tento nástroj vám pomůže zobrazit historii internetu.
- Můžete importovat nebo exportovat obrázky ve formátu .dd.
- Umožňuje vám přidávat komentáře k důkazům o vašem zájmu.
- ProDiscover Forensic podporuje VMware při spouštění zachyceného obrazu.
Odkaz : https://www.prodiscover.com
2) Sleuth Kit (+ pitva)
Sleuth Kit (+ Autopsy) je nástroj pro Windows, který usnadňuje forenzní analýzu počítačových systémů. Tento nástroj umožňuje prozkoumat pevný disk a smartphone.
Vlastnosti :
- Aktivitu můžete identifikovat pomocí grafického rozhraní efektivně.
- Tato aplikace poskytuje analýzu e-mailů.
- Soubory můžete seskupit podle jejich typu, abyste našli všechny dokumenty nebo obrázky.
- Zobrazuje miniaturu obrázků pro rychlé prohlížení obrázků.
- Soubory můžete označit libovolnými názvy značek.
- Sleuth Kit umožňuje extrahovat data z protokolů hovorů, SMS, kontaktů atd.
- Pomůže vám označit soubory a složky na základě cesty a názvu.
Odkaz : https://www.sleuthkit.org
3) CAINE
CAINE je aplikace založená na Ubuntu, která nabízí kompletní forenzní prostředí, které poskytuje grafické rozhraní. Tento nástroj lze integrovat do stávajících softwarových nástrojů jako modul. Automaticky extrahuje časovou osu z RAM.
Vlastnosti :
- Podporuje digitálního vyšetřovatele během čtyř fází digitálního vyšetřování.
- Nabízí uživatelsky přívětivé rozhraní.
- Můžete přizpůsobit funkce CAINE.
- Tento software nabízí řadu uživatelsky přívětivých nástrojů.
Odkaz : https://www.caine-live.net
4) PALADIN
PALADIN je nástroj založený na Ubuntu, který vám umožní zjednodušit řadu forenzních úkolů. Poskytuje více než 100 užitečných nástrojů pro vyšetřování škodlivého materiálu. Tento nástroj vám pomůže rychle a efektivně zjednodušit váš forenzní úkol.
Vlastnosti :
- Poskytuje 64bitovou i 32bitovou verzi.
- Tento nástroj je k dispozici na USB flash disku.
- Tato sada nástrojů má nástroje open-source, které vám pomohou bez námahy vyhledat požadované informace.
- Tento nástroj má více než 33 kategorií, které vám pomohou dosáhnout kybernetického forenzního úkolu.
Odkaz : https://sumuri.com/software/paladin/
5) EnCase
Encase je aplikace, která vám pomůže obnovit důkazy z pevných disků. Umožňuje vám provádět hloubkovou analýzu souborů a shromažďovat důkazy, jako jsou dokumenty, obrázky atd.
Vlastnosti :
- Data můžete získávat z mnoha zařízení, včetně mobilních telefonů, tabletů atd.
- Umožňuje vám vytvářet úplné zprávy pro zachování integrity důkazů.
- Můžete rychle hledat, identifikovat a upřednostňovat důkazy.
- Encase-forensic vám pomůže odemknout šifrované důkazy.
- Automatizuje přípravu důkazů.
- Můžete provést hloubkovou a třídění (závažnost a priorita vad) analýzy.
Odkaz : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT je počítačová forenzní distribuce založená na Ubuntu. Poskytuje digitální forenzní a vyšetřovací zařízení pro reakci na incidenty.
Vlastnosti :
- Může fungovat na 64bitovém operačním systému.
- Tento nástroj pomáhá uživatelům lépe využívat paměť.
- Automaticky aktualizuje balíček DFIR (Digital Forensics and Incident Response).
- Můžete jej nainstalovat pomocí instalačního programu SIFT-CLI (Command-Line Interface).
- Tento nástroj obsahuje řadu nejnovějších forenzních nástrojů a technik.
Odkaz : https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
FTK Imager je forenzní sada nástrojů vyvinutá společností AccessData, kterou lze použít k získání důkazů. Může vytvářet kopie dat bez provedení změn v původních důkazech. Tento nástroj umožňuje určit kritéria, jako je velikost souboru, velikost pixelu a datový typ, aby se snížilo množství irelevantních dat.
Vlastnosti :
- Poskytuje kouzelnický přístup k detekci počítačové kriminality.
- Tento program nabízí lepší vizualizaci dat pomocí grafu.
- Můžete obnovit hesla z více než 100 aplikací.
- Má pokročilé a automatizované zařízení pro analýzu dat.
- FTK Imager vám pomůže spravovat opakovaně použitelné profily pro různé požadavky na vyšetřování.
- Podporuje upřesnění před a po zpracování.
Odkaz : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Zachycení magnetické paměti RAM
Zachycení magnetické paměti RAM zaznamenává paměť podezřelého počítače. Umožňuje vyšetřovatelům obnovit a analyzovat cenné předměty, které se nacházejí v paměti.
Vlastnosti :
- Tuto aplikaci můžete spustit při minimalizaci přepsaných dat v paměti.
- Umožňuje exportovat zachycená data z paměti a nahrát je do analytických nástrojů, jako jsou magnet AXIOM a magnet IEF.
- Tato aplikace podporuje širokou škálu operačních systémů Windows.
- Snímání magnetické paměti RAM podporuje získávání paměti RAM.
Odkaz : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways je software, který poskytuje pracovní prostředí pro počítačové soudní zkoušející. Tento program podporuje klonování a zobrazování disků. Umožňuje vám spolupracovat s dalšími lidmi, kteří mají tento nástroj.
Vlastnosti :
- Má schopnost číst rozdělení a struktury souborového systému uvnitř obrazových souborů .dd.
- Můžete přistupovat k diskům, RAIDům (redundantní pole nezávislých disků) a dalším.
- Automaticky identifikuje ztracené nebo odstraněné oddíly.
- Tento nástroj dokáže snadno detekovat NTFS (New Technology File System) a ADS (Alternate Data Streams).
- X-Ways Forensics podporuje záložky nebo poznámky.
- Má schopnost analyzovat vzdálené počítače.
- Binární data můžete prohlížet a upravovat pomocí šablon.
- Poskytuje ochranu proti zápisu pro zachování autenticity dat.
Odkaz : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark je nástroj, který analyzuje síťový paket. Může být použit k testování sítě a řešení problémů. Tento nástroj vám pomůže zkontrolovat různé přenosy procházející vaším počítačovým systémem.
Vlastnosti :
- Poskytuje bohatou analýzu VoIP (Voice over Internet Protocol).
- Pořizování souborů komprimovaných pomocí gzip lze snadno dekomprimovat.
- Výstup lze exportovat do souboru XML (Extensible Markup Language), CSV (Comma Separated Values) nebo do prostého textu.
- Živá data lze číst ze sítě, Blue-tooth, ATM, USB atd.
- Podpora dešifrování mnoha protokolů, které zahrnují IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) a WEP (Wired Equivalent Privacy).
- Na paket můžete použít intuitivní analýzu a pravidla omalovávání.
- Umožňuje vám číst nebo zapisovat soubory v libovolném formátu.
Odkaz : https://www.wireshark.org
11) Registrace registru
Registry Recon je počítačový forenzní nástroj používaný k extrakci, obnově a analýze dat registru z OS Windows. Tento program lze použít k efektivnímu určení externích zařízení, která byla připojena k jakémukoli počítači.
Funkce:
- Podporuje Windows XP, Vista, 7, 8, 10 a další operační systémy.
- Tento nástroj automaticky obnovuje cenná data NTFS.
- Můžete jej integrovat s nástrojem Microsoft Disk Manager.
- Rychle připojte všechny VSC (Shadow Shadow Copies) VSC na disk.
- Tento program znovu sestavuje aktivní databázi registru.
Odkaz : https://arsenalrecon.com/products/
12) Rámec volatility
Volatility Framework je software pro analýzu paměti a forenzní analýzu. Pomůže vám otestovat běhový stav systému pomocí dat nalezených v paměti RAM. Tato aplikace vám umožňuje spolupracovat se svými spoluhráči.
Vlastnosti :
- Má API, které vám umožní rychle vyhledat příznaky PTE (Page Table Entry).
- Volatility Framework podporuje KASLR (randomizace rozložení prostoru adresního prostoru).
- Tento nástroj poskytuje četné doplňky pro kontrolu činnosti souborů Mac.
- Automaticky spustí příkaz Selhání, když se služba nespustí vícekrát.
Odkaz : https://www.volatilityfoundation.org
13) Xplico
Xplico je aplikace forenzní analýzy s otevřeným zdrojovým kódem. Podporuje HTTP (Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol) a další.
Vlastnosti :
- Výstupní data můžete získat v databázi SQLite nebo MySQL.
- Tento nástroj vám poskytuje spolupráci v reálném čase.
- Žádné omezení velikosti pro zadávání dat nebo počet souborů.
- Můžete snadno vytvořit jakýkoli druh dispečera, který by užitečným způsobem uspořádal extrahovaná data.
- Podporuje IPv4 i IPv6.
- Můžete provádět rezervní vyhledávání DNS z balíčků DNS, které mají vstupní soubory.
- Xplico poskytuje funkci PIPI (Port Independent Protocol Identification) na podporu digitální forenzní.
Odkaz : https://www.xplico.org
14) e-fense
E-fense je nástroj, který vám pomůže splnit vaše počítačové potřeby v oblasti forenzní a kybernetické bezpečnosti. Umožňuje vám vyhledávat soubory z libovolného zařízení v jednom snadno použitelném rozhraní.
Vlastnosti :
- Poskytuje ochranu před škodlivým chováním, hackerstvím a porušením zásad.
- Historii internetu, paměť a snímání obrazovky můžete získat ze systému na USB flash disk.
- Tento nástroj má snadno použitelné rozhraní, které vám umožní dosáhnout cíle vyšetřování.
- E-fense podporuje multithreading, to znamená, že můžete spustit více než jedno vlákno současně.
Odkaz : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike je digitální forenzní software, který poskytuje informace o hrozbách, zabezpečení koncových bodů atd. Může rychle detekovat a zotavit se z kybernetických bezpečnostních incidentů. Tento nástroj můžete použít k vyhledání a blokování útočníků v reálném čase.
Vlastnosti :
- Tento nástroj vám pomůže spravovat zranitelná místa systému.
- Může automaticky analyzovat malware.
- Můžete zabezpečit své virtuální, fyzické a cloudové datové centrum.
Odkaz : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/