Poniżej znajduje się starannie dobrana lista Digital Forensic Toolkits wraz z ich popularnymi funkcjami i linkami do witryn internetowych. Lista zawiera zarówno oprogramowanie open source (bezpłatne), jak i komercyjne (płatne).
Kolejność jest przypadkowa.
Co to jest Informatyka Śledcza / Digital Forensics?
Digital Forensics to proces zabezpieczania, identyfikacji, ekstrakcji i dokumentowania dowodów komputerowych, które mogą być wykorzystane przez sąd. Jest to nauka polegająca na znajdowaniu dowodów z mediów cyfrowych, takich jak komputer, telefon komórkowy, serwer lub sieć. Pomaga zespołowi medycyny sądowej analizować, sprawdzać, identyfikować i chronić dowody cyfrowe znajdujące się na różnych typach urządzeń elektronicznych.
Co to są cyfrowe narzędzia kryminalistyczne?
Cyfrowe narzędzia kryminalistyczne to aplikacje, które pomagają chronić, identyfikować, wyodrębniać i dokumentować dowody komputerowe na potrzeby procedur prawnych. Narzędzia te pomagają uprościć i uprościć proces kryminalistyki cyfrowej. Narzędzia te zapewniają również pełne raporty dotyczące procedur prawnych.
1. ProDiscover Forensic
ProDiscover Forensic to aplikacja zabezpieczająca komputer, która pozwala zlokalizować wszystkie dane na dysku komputera. Może chronić dowody i tworzyć raporty jakości na potrzeby procedur prawnych. To narzędzie umożliwia wyodrębnienie informacji EXIF (Exchangeable Image File Format) z plików JPEG.
Cechy :
- Ten produkt obsługuje systemy plików Windows, Mac i Linux.
- Możesz szybko przeglądać i wyszukiwać podejrzane pliki.
- To oprogramowanie do kryminalistyki cyfrowej tworzy kopię całego podejrzanego dysku, aby zabezpieczyć oryginalne dowody.
- To narzędzie pomaga przeglądać historię internetową.
- Możesz importować lub eksportować obrazy w formacie .dd.
- Umożliwia dodawanie komentarzy do dowodów zainteresowania.
- ProDiscover Forensic obsługuje VMware w celu uruchomienia przechwyconego obrazu.
Link : https://www.prodiscover.com
2. KAINE FORENSICS
CAINE to aplikacja oparta na Ubuntu, która oferuje kompletne środowisko kryminalistyczne z interfejsem graficznym. To narzędzie można zintegrować z istniejącymi narzędziami programowymi jako moduł. Automatycznie wyodrębnia oś czasu z pamięci RAM.
Cechy :
- Wspiera cyfrowego śledczego w czterech fazach cyfrowego dochodzenia.
- Oferuje przyjazny dla użytkownika interfejs.
- Możesz dostosować funkcje CAINE.
- To oprogramowanie oferuje wiele przyjaznych dla użytkownika narzędzi.
Link : https://www.caine-live.net
3. Sleuth Kit +Autopsy
Sleuth Kit (+ Autopsy) to narzędzie oparte na systemie Windows, które ułatwia analizę kryminalistyczną systemów komputerowych. To narzędzie umożliwia sprawdzenie dysku twardego i smartfona.
Cechy :
- Możesz skutecznie identyfikować aktywność za pomocą interfejsu graficznego.
- Ta aplikacja zapewnia analizę wiadomości e-mail.
- Możesz grupować pliki według ich typu, aby znaleźć wszystkie dokumenty lub obrazy.
- Wyświetla miniatury obrazów, aby szybko przeglądać obrazy.
- Możesz oznaczać pliki dowolnymi nazwami znaczników.
- Zestaw Sleuth umożliwia wyodrębnianie danych z dzienników połączeń, wiadomości SMS, kontaktów itp.
- Pomaga w oznaczaniu plików i folderów na podstawie ścieżki i nazwy.
Link : https://www.sleuthkit.org
4. PALADIN
PALADIN to narzędzie oparte na Ubuntu, które umożliwia uproszczenie szeregu zadań kryminalistycznych. To oprogramowanie do kryminalistyki cyfrowej zapewnia ponad 100 przydatnych narzędzi do badania wszelkich złośliwych materiałów. To narzędzie pomaga szybko i skutecznie uprościć zadanie kryminalistyczne.
Cechy :
- Udostępnia wersje 64-bitowe i 32-bitowe.
- To narzędzie jest dostępne na pendrive’ie USB.
- Ten zestaw narzędzi zawiera narzędzia typu open source, które pomagają w bezproblemowym wyszukiwaniu wymaganych informacji.
- To narzędzie składa się z ponad 33 kategorii, które pomagają w wykonaniu zadania z zakresu kryminalistyki cybernetycznej.
Link : https://sumuri.com/software/paladin/
5. EnCase
Encase to aplikacja, która pomaga odzyskać dowody z dysków twardych. Pozwala na dogłębną analizę plików w celu zebrania dowodów, takich jak dokumenty, zdjęcia itp.
Cechy :
- Możesz pozyskiwać dane z wielu urządzeń, w tym telefonów komórkowych, tabletów itp.
- Jest to jedno z najlepszych mobilnych narzędzi kryminalistycznych, które umożliwia tworzenie kompletnych raportów w celu zachowania integralności dowodów.
- Możesz szybko przeszukiwać, identyfikować, a także ustalać priorytety dowodów.
- Encase-forensic pomaga odblokować zaszyfrowane dowody.
- Jest to jedno z najlepszych cyfrowych narzędzi kryminalistycznych, które automatyzuje przygotowywanie dowodów.
- Możesz przeprowadzić analizę dogłębną i triage (wagi i priorytetu defektów).
Link : https://www.guidancesoftware.com/encase-forensic
6. SANS SIFT
SANS SIFT to dystrybucja informatyki śledczej oparta na Ubuntu. Jest to jedno z najlepszych narzędzi informatyki śledczej, które zapewnia cyfrowe narzędzie do badania kryminalistyki i reagowania na incydenty.
Cechy :
- Może działać w 64-bitowym systemie operacyjnym.
- To narzędzie pomaga użytkownikom lepiej wykorzystywać pamięć.
- Automatycznie aktualizuje pakiet DFIR (Digital Forensics and Incident Response).
- Można go zainstalować za pomocą instalatora SIFT-CLI (interfejs wiersza poleceń).
- To narzędzie zawiera wiele najnowszych narzędzi i technik kryminalistycznych.
Link : https://digital-forensics.sans.org/community/downloads/
7. FTK Imager
FTK Imager to zestaw narzędzi kryminalistycznych opracowany przez AccessData, który można wykorzystać do uzyskania dowodów. Może tworzyć kopie danych bez dokonywania zmian w oryginalnych dowodach. To narzędzie umożliwia określenie kryteriów, takich jak rozmiar pliku, rozmiar w pikselach i typ danych, w celu zmniejszenia ilości nieistotnych danych.
Cechy :
- Zapewnia oparte na kreatorach podejście do wykrywania cyberprzestępczości.
- Ten program oferuje lepszą wizualizację danych za pomocą wykresu.
- Możesz odzyskać hasła z ponad 100 aplikacji.
- Posiada zaawansowane i zautomatyzowane narzędzie do analizy danych.
- FTK Imager pomaga zarządzać profilami wielokrotnego użytku dla różnych wymagań badawczych.
- Obsługuje udoskonalenie przed i po przetwarzaniu.
Link : https://accessdata.com/products-services/forensic-toolkit-ftk
8. Magnet RAM Capture
Przechwytywanie Magnet RAM rejestruje pamięć podejrzanego komputera. Pozwala badaczom odzyskać i przeanalizować cenne przedmioty, które znajdują się w pamięci.
Cechy :
- Możesz uruchomić tę aplikację, minimalizując nadpisane dane w pamięci.
- Umożliwia eksportowanie przechwyconych danych z pamięci i przesyłanie ich do narzędzi analitycznych, takich jak magnes AXIOM i magnes IEF.
- Ta aplikacja obsługuje szeroką gamę systemów operacyjnych Windows.
- Przechwytywanie magnetycznej pamięci RAM obsługuje pozyskiwanie pamięci RAM.
Link : https://www.magnetforensics.com/resources/magnet-ram-capture/
9. X-Ways Forensics
X-Ways to oprogramowanie zapewniające środowisko pracy dla informatyków śledczych. Ten program obsługuje klonowanie i tworzenie obrazów dysków. Umożliwia współpracę z innymi osobami, które mają to narzędzie.Cechy :
10. Wireshark
Wireshark to narzędzie analizujące pakiet sieciowy. Może być używany do testowania sieci i rozwiązywania problemów. To narzędzie pomaga sprawdzić różny ruch przechodzący przez system komputerowy.
Cechy :
- Zapewnia bogatą analizę VoIP (Voice over Internet Protocol).
- Pliki przechwytywania skompresowane za pomocą programu gzip można łatwo zdekompresować.
- Dane wyjściowe można wyeksportować do pliku XML (Extensible Markup Language), CSV (Comma Separated Values) lub zwykłego tekstu.
- Dane na żywo można odczytać z sieci, blue-tooth, bankomatu, USB itp.
- Obsługa odszyfrowywania wielu protokołów, w tym IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) i WEP (Wired Equivalent Privacy).
- Możesz zastosować intuicyjną analizę, zasady kolorowania do pakietu.
- Umożliwia odczyt lub zapis pliku w dowolnym formacie.
Link : https://www.wireshark.org
11. Registry Recon
Registry Recon to komputerowe narzędzie śledcze służące do wyodrębniania, odzyskiwania i analizowania danych rejestru z systemu operacyjnego Windows. Ten program może być używany do efektywnego określania urządzeń zewnętrznych, które zostały podłączone do dowolnego komputera.
Funkcje:
- Obsługuje Windows XP, Vista, 7, 8, 10 i inne systemy operacyjne.
- To narzędzie automatycznie odzyskuje cenne dane NTFS.
- Możesz go zintegrować z narzędziem narzędziowym Microsoft Disk Manager.
- Szybko montuj wszystkie VSC (kopie woluminów w tle) VSC na dysku.
- Ten program odbudowuje bazę danych aktywnego rejestru.
Link : https://arsenalrecon.com/products/
12. Xplico
Xplico to aplikacja do analizy kryminalistycznej typu open source. Obsługuje protokoły HTTP (Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol) i nie tylko.
Cechy :
- Możesz pobrać dane wyjściowe w bazie danych SQLite lub MySQL.
- To narzędzie umożliwia współpracę w czasie rzeczywistym.
- Brak limitu rozmiaru przy wprowadzaniu danych lub liczbie plików.
- Możesz łatwo utworzyć dowolnego dyspozytora, aby uporządkować wyodrębnione dane w użyteczny sposób.
- Jest to jedno z najlepszych narzędzi kryminalistycznych typu open source, które obsługuje zarówno IPv4, jak i IPv6.
- Możesz wykonać rezerwowe wyszukiwanie DNS z pakietów DNS zawierających pliki wejściowe.
- Xplico zapewnia funkcję PIPI (Port Independent Protocol Identification) do obsługi cyfrowej medycyny sądowej.
Link : https://www.xplico.org
13. Volatility Framework
Volatility Framework to oprogramowanie do analizy pamięci i kryminalistyki. Jest to jedno z najlepszych narzędzi do obrazowania kryminalistycznego, które pomaga przetestować stan środowiska uruchomieniowego systemu przy użyciu danych znajdujących się w pamięci RAM. Ta aplikacja umożliwia współpracę z członkami zespołu.
Cechy :
- Posiada API, które pozwala na szybkie wyszukiwanie flag PTE (Page Table Entry).
- Volatility Framework obsługuje KASLR (Kernel Address Space Layout Randomization).
- To narzędzie udostępnia liczne wtyczki do sprawdzania działania plików Mac.
- Automatycznie uruchamia polecenie Failure, gdy usługa nie uruchamia się wiele razy.
Link : https://www.volatilityfoundation.org
14. E-fense
E-fense to narzędzie, które pomaga sprostać potrzebom informatyki śledczej i cyberbezpieczeństwa. Pozwala odkrywać pliki z dowolnego urządzenia w jednym prostym w obsłudze interfejsie.
Cechy :
- Zapewnia ochronę przed złośliwym zachowaniem, włamaniami i naruszeniami zasad.
- Możesz pobrać historię internetową, pamięć i zrzut ekranu z systemu na pamięć USB.
- To narzędzie ma prosty w obsłudze interfejs, który umożliwia osiągnięcie celu dochodzenia.
- E-fense obsługuje wielowątkowość, co oznacza, że możesz wykonywać więcej niż jeden wątek jednocześnie.
Link : http://www.e-fense.com/products.php
15. Crowdstrike
Crowdstrike to cyfrowe oprogramowanie do kryminalistyki, które zapewnia analizę zagrożeń, bezpieczeństwo punktów końcowych itp. Może szybko wykrywać i odzyskiwać dane po incydentach cyberbezpieczeństwa. Możesz użyć tego narzędzia do znajdowania i blokowania napastników w czasie rzeczywistym.
Cechy :
- Jest to jedno z najlepszych narzędzi do kryminalistyki cybernetycznej, które pomaga zarządzać lukami w systemie.
- Może automatycznie analizować złośliwe oprogramowanie.
- Możesz zabezpieczyć swoje wirtualne, fizyczne i oparte na chmurze centrum danych.
Link : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/
16. Oxygen Forensic Detective
To kompleksowa platforma oprogramowania kryminalistycznego stworzona do wyodrębniania, dekodowania i analizowania danych z wielu źródeł cyfrowych: urządzeń mobilnych i IoT, kopii zapasowych urządzeń, kart UICC i multimedialnych, dronów i usług w chmurze. Oxygen Forensic® Detective może również znaleźć i wyodrębnić szeroką gamę artefaktów, plików systemowych, a także poświadczeń z komputerów z systemem Windows, macOS i Linux.
Najnowocześniejsze i innowacyjne technologie wdrożone w Oxygen Forensic® Detective obejmują między innymi omijanie blokad ekranu, lokalizowanie haseł do zaszyfrowanych kopii zapasowych, wyodrębnianie i analizowanie danych z bezpiecznych aplikacji oraz odkrywanie usuniętych danych.
Ponadto w jednym interfejsie można zbadać wiele ekstrakcji, aby uzyskać pełny obraz danych. Korzystając ze zintegrowanych, wiodących w branży narzędzi analitycznych do znajdowania powiązań społecznościowych, tworzenia harmonogramów i kategoryzowania obrazów, organy ścigania, śledczy korporacyjni i inny upoważniony personel mogą pomóc uczynić ten świat bezpieczniejszym miejscem.
Oxygen Forensic® Detective jest rozprowadzany w kluczu USB i jest ważny dla jednego użytkownika.
Link – https://www.oxygen-forensic.com/en/products/oxygen-forensic-detective
17. Cellebrite UFED
Cellebrite oferuje szereg komercyjnych narzędzi do kryminalistyki cyfrowej, ale Cellebrite UFED twierdzi, że jest branżowym standardem dostępu do danych cyfrowych. Główna oferta UFED koncentruje się na urządzeniach mobilnych, ale ogólna linia produktów UFED jest skierowana do szeregu urządzeń, w tym dronów, kart SIM i SD, GPS, chmury i innych. Platforma UFED twierdzi, że wykorzystuje ekskluzywne metody maksymalizacji ekstrakcji danych z urządzeń mobilnych.
Link – https://www.cellebrite.com/en/ufed/
18. XRY
XRY to zbiór różnych komercyjnych narzędzi do kryminalistyki urządzeń mobilnych. XRY Logical to zestaw narzędzi zaprojektowanych do współpracy z systemem operacyjnym urządzenia mobilnego i wyodrębniania żądanych danych. Z drugiej strony XRY Physical wykorzystuje techniki odzyskiwania fizycznego, aby ominąć system operacyjny, umożliwiając analizę zablokowanych urządzeń.
Cechy:
- Obsługiwanych jest ponad 29800 profili urządzeń i aplikacji, w tym dronów
- Silnik rozpoznawania obrazów, który klasyfikuje obrazy na kategorie, takie jak narkotyki, broń i ludzie
- Filtruj według lokalizacji, aby znaleźć dane w wybranym zakresie geograficznym
- Oprogramowanie iVe firmy Berla generuje natywne formaty plików XRY
- Wsparcie dla najnowszych wersji Androida i iOS
- Najlepsze dostępne na rynku wsparcie dla chińskich chipsetów, takich jak MTK, Spreadtrum, Coolsand i Infineon
- Automatycznie rozpoznaje większość modeli urządzeń mobilnych, dzięki czemu możesz od razu rozpocząć wyodrębnianie
- Bezpieczne sterowniki z certyfikatem Windows, które pomagają zapobiegać przenoszeniu złośliwego oprogramowania
- Usunięte dane z kopii zapasowych iCloud
- Dekodowanie miniatur wideo do prezentacji w XAMN
- Zawiera exploity dla Androida do omijania blokad bezpieczeństwa
- Ulepszona obsługa najnowszych smartfonów
- Dekoduje obrazy z automatycznym rozpoznawaniem obrazu do 20 razy szybciej dzięki procesorom graficznym z obsługą Nvidia CUDA
- Nowa i ulepszona konfiguracja wyodrębniania krok po kroku dla logicznych wyodrębnień dla systemów Android i iOS
- Obejmuje XRY Photon do pozyskiwania niezaszyfrowanych danych z zaszyfrowanych aplikacji, gdy inne metody nie działają
- Wyodrębnij tylko wybrane typy plików z określonych przedziałów czasowych, na przykład z urządzeń świadków