Цифровая криминалистика - это процесс сохранения, идентификации, извлечения и документирования компьютерных доказательств, который может использоваться судом. Есть много инструментов, которые помогут сделать этот процесс простым и легким. Эти приложения предоставляют полные отчеты, которые можно использовать для юридических процедур.
Ниже приводится тщательно подобранный список наборов инструментов для цифровой криминалистики с их популярными функциями и ссылками на веб-сайты. Список содержит как программное обеспечение с открытым исходным кодом (бесплатное), так и коммерческое (платное).
1) ProDiscover Forensic
ProDiscover Forensic - это приложение для обеспечения компьютерной безопасности, которое позволяет вам находить все данные на диске компьютера. Он может защищать доказательства и создавать качественные отчеты для использования юридических процедур. Этот инструмент позволяет извлекать информацию EXIF (Exchangeable Image File Format) из файлов JPEG.webp.
Особенности :
- Этот продукт поддерживает файловые системы Windows, Mac и Linux.
- Вы можете быстро просмотреть и найти подозрительные файлы.
- Он создает копию всего подозреваемого диска, чтобы сохранить исходные улики в безопасности.
- Этот инструмент поможет вам увидеть историю интернета.
- Вы можете импортировать или экспортировать изображения в формате .dd.
- Это позволяет вам добавлять комментарии, свидетельствующие о вашем интересе.
- ProDiscover Forensic поддерживает VMware для запуска захваченного образа.
Ссылка : https://www.prodiscover.com
2) Комплект Сыщика (+ Вскрытие)
Sleuth Kit (+ Autopsy) - это служебный инструмент на базе Windows, который упрощает судебно-медицинский анализ компьютерных систем. Этот инструмент позволяет вам исследовать ваш жесткий диск и смартфон.
Особенности :
- Вы можете эффективно определять активность с помощью графического интерфейса.
- Это приложение обеспечивает анализ электронных писем.
- Вы можете сгруппировать файлы по их типу, чтобы найти все документы или изображения.
- Он отображает миниатюры изображений для быстрого просмотра изображений.
- Вы можете помечать файлы произвольными именами тегов.
- Sleuth Kit позволяет извлекать данные из журналов вызовов, SMS, контактов и т. Д.
- Это помогает вам помечать файлы и папки на основе пути и имени.
Ссылка : https://www.sleuthkit.org
3) CAINE
CAINE - это приложение на основе Ubuntu, которое предлагает полную среду судебной экспертизы с графическим интерфейсом. Этот инструмент может быть интегрирован в существующие программные инструменты как модуль. Он автоматически извлекает временную шкалу из ОЗУ.
Особенности :
- Он поддерживает цифрового следователя на четырех этапах электронного расследования.
- Он предлагает удобный интерфейс.
- Вы можете настроить функции CAINE.
- Это программное обеспечение предлагает множество удобных инструментов.
Ссылка : https://www.caine-live.net
4) ПАЛАДИН
PALADIN - это инструмент на основе Ubuntu, который позволяет упростить ряд криминалистических задач. Он предоставляет более 100 полезных инструментов для расследования любых вредоносных материалов. Этот инструмент поможет вам быстро и эффективно упростить вашу судебно-медицинскую задачу.
Особенности :
- Он предоставляет как 64-битные, так и 32-битные версии.
- Этот инструмент доступен на флэш-накопителе USB.
- В этом наборе инструментов есть инструменты с открытым исходным кодом, которые помогут вам легко искать необходимую информацию.
- Этот инструмент имеет более 33 категорий, которые помогут вам в выполнении задачи кибер-криминалистики.
Ссылка : https://sumuri.com/software/paladin/
5) EnCase
Encase - это приложение, которое помогает восстанавливать улики с жестких дисков. Это позволяет проводить углубленный анализ файлов для сбора доказательств, таких как документы, изображения и т. Д.
Особенности :
- Вы можете получать данные с множества устройств, включая мобильные телефоны, планшеты и т. Д.
- Это позволяет вам создавать полные отчеты для поддержания целостности доказательств.
- Вы можете быстро искать, идентифицировать доказательства, а также определять их приоритетность.
- Encase-forensic поможет вам разблокировать зашифрованные доказательства.
- Это автоматизирует подготовку доказательств.
- Вы можете выполнять глубокий анализ и анализ сортировки (серьезности и приоритета дефектов).
Ссылка : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT - это дистрибутив для компьютерной криминалистики, основанный на Ubuntu. Это средство цифровой криминалистической экспертизы и реагирования на инциденты.
Особенности :
- Может работать в 64-битной операционной системе.
- Этот инструмент помогает пользователям лучше использовать память.
- Он автоматически обновляет пакет DFIR (Digital Forensics and Incident Response).
- Вы можете установить его через установщик SIFT-CLI (интерфейс командной строки).
- Этот инструмент содержит множество новейших инструментов и методов судебной экспертизы.
Ссылка : https://digital-forensics.sans.org/community/downloads/
7) Тепловизор FTK
FTK Imager - это набор инструментов для криминалистической экспертизы, разработанный AccessData, который можно использовать для получения доказательств. Он может создавать копии данных, не внося изменений в исходные доказательства. Этот инструмент позволяет вам указать критерии, такие как размер файла, размер пикселя и тип данных, чтобы уменьшить количество нерелевантных данных.
Особенности :
- Он обеспечивает управляемый мастером подход к обнаружению киберпреступности.
- Эта программа предлагает лучшую визуализацию данных с помощью диаграммы.
- Вы можете восстановить пароли из более чем 100 приложений.
- Он имеет передовые и автоматизированные средства анализа данных.
- FTK Imager помогает управлять многократно используемыми профилями для различных требований расследования.
- Он поддерживает уточнение до и после обработки.
Ссылка : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Магнитный захват RAM
Магнитный захват RAM записывает память подозреваемого компьютера. Это позволяет исследователям восстанавливать и анализировать ценные предметы, которые находятся в памяти.
Особенности :
- Вы можете запустить это приложение, уменьшив количество перезаписываемых данных в памяти.
- Он позволяет экспортировать захваченные данные памяти и загружать их в инструменты анализа, такие как магнит AXIOM и магнит IEF.
- Это приложение поддерживает широкий спектр операционных систем Windows.
- Магнитный захват RAM поддерживает получение RAM.
Ссылка : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways - это программное обеспечение, которое обеспечивает рабочую среду для компьютерных судебных экспертов. Эта программа поддерживает клонирование дисков и создание образов. Это позволяет вам сотрудничать с другими людьми, у которых есть этот инструмент.
Особенности :
- Он имеет возможность читать структуры разделов и файловой системы внутри файлов изображений .dd.
- Вы можете получить доступ к дискам, RAID (избыточный массив независимых дисков) и многому другому.
- Он автоматически определяет потерянные или удаленные разделы.
- Этот инструмент может легко обнаружить NTFS (файловая система новой технологии) и ADS (альтернативные потоки данных).
- X-Ways Forensics поддерживает закладки и аннотации.
- Он имеет возможность анализировать удаленные компьютеры.
- Вы можете просматривать и редактировать двоичные данные с помощью шаблонов.
- Он обеспечивает защиту от записи для сохранения подлинности данных.
Ссылка : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark - это инструмент, который анализирует сетевой пакет. Его можно использовать для тестирования сети и устранения неполадок. Этот инструмент помогает вам проверять различный трафик, проходящий через вашу компьютерную систему.
Особенности :
- Он обеспечивает обширный анализ VoIP (передача голоса по Интернет-протоколу).
- Файлы захвата, сжатые с помощью gzip, можно легко распаковать.
- Вывод можно экспортировать в файл XML (расширяемый язык разметки), CSV (значения, разделенные запятыми) или в обычный текст.
- Данные в реальном времени можно читать из сети, синего зуба, банкомата, USB и т. Д.
- Поддержка дешифрования для множества протоколов, включая IPsec (безопасность интернет-протокола), SSL (уровень защищенных сокетов) и WEP (конфиденциальность, эквивалентная проводной сети).
- К пакету можно применить интуитивный анализ, правила раскраски.
- Позволяет читать или записывать файл в любом формате.
Ссылка : https://www.wireshark.org
11) Реконструкция реестра
Registry Recon - это инструмент компьютерной криминалистики, используемый для извлечения, восстановления и анализа данных реестра из ОС Windows. Эту программу можно использовать для эффективного определения внешних устройств, подключенных к любому ПК.
Функции:
- Он поддерживает Windows XP, Vista, 7, 8, 10 и другие операционные системы.
- Этот инструмент автоматически восстанавливает ценные данные NTFS.
- Вы можете интегрировать его с утилитой Microsoft Disk Manager.
- Быстро смонтируйте все VSC (теневые копии томов) VSC на диске.
- Эта программа восстанавливает активную базу данных реестра.
Ссылка : https://arsenalrecon.com/products/
12) Структура волатильности
Volatility Framework - это программное обеспечение для анализа памяти и криминалистики. Это помогает вам проверить состояние выполнения системы, используя данные, находящиеся в ОЗУ. Это приложение позволяет вам сотрудничать со своими товарищами по команде.
Особенности :
- У него есть API, который позволяет быстро искать флаги PTE (Page Table Entry).
- Volatility Framework поддерживает KASLR (рандомизацию макета адресного пространства ядра).
- Этот инструмент предоставляет множество плагинов для проверки работы файлов Mac.
- Он автоматически запускает команду Failure, когда служба не запускается несколько раз.
Ссылка : https://www.volatilityfoundation.org
13) Xplico
Xplico - это приложение для криминалистической экспертизы с открытым исходным кодом. Он поддерживает HTTP (протокол передачи гипертекста), IMAP (протокол доступа к сообщениям в Интернете) и другие.
Особенности :
- Вы можете получить свои выходные данные в базе данных SQLite или MySQL.
- Этот инструмент дает вам возможность сотрудничать в реальном времени.
- Нет ограничений по размеру ввода данных или количества файлов.
- Вы можете легко создать диспетчер любого типа для удобной организации извлеченных данных.
- Он поддерживает как IPv4, так и IPv6.
- Вы можете выполнить резервный поиск DNS из пакетов DNS, имеющих входные файлы.
- Xplico предоставляет функцию PIPI (идентификация протокола независимо от порта) для поддержки цифровой криминалистики.
Ссылка : https://www.xplico.org
14) e-fense (электронное ограждение)
E-fense - это инструмент, который поможет вам удовлетворить ваши потребности в компьютерной криминалистике и кибербезопасности. Это позволяет вам находить файлы с любого устройства в одном простом в использовании интерфейсе.
Особенности :
- Он обеспечивает защиту от злонамеренного поведения, взлома и нарушений политики.
- Вы можете получить историю Интернета, память и снимки экрана из системы на флэш-накопитель USB.
- Этот инструмент имеет простой в использовании интерфейс, который позволяет вам достичь цели расследования.
- E-fense поддерживает многопоточность, что означает, что вы можете выполнять более одного потока одновременно.
Ссылка : http://www.e-fense.com/products.php
15) Краудстрайк
Crowdstrike - это программное обеспечение для цифровой криминалистики, которое обеспечивает анализ угроз, безопасность конечных точек и т. Д. Оно может быстро обнаруживать инциденты кибербезопасности и восстанавливаться после них. Вы можете использовать этот инструмент для поиска и блокировки злоумышленников в режиме реального времени.
Особенности :
- Этот инструмент помогает вам управлять уязвимостями системы.
- Он может автоматически анализировать вредоносное ПО.
- Вы можете защитить свой виртуальный, физический или облачный центр обработки данных.
Ссылка : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/