Digital forensic è un processo di conservazione, identificazione, estrazione e documentazione di prove informatiche che possono essere utilizzate dal tribunale. Ci sono molti strumenti che aiutano a rendere questo processo semplice e facile. Queste applicazioni forniscono rapporti completi che possono essere utilizzati per le procedure legali.
Quella che segue è una lista selezionata di Digital Forensic Toolkits, con le loro caratteristiche popolari e i link ai siti web. La lista contiene sia software open source (gratuito) che commerciale (a pagamento).
1) ProDiscover Forensic
ProDiscover Forensic è un’applicazione per la sicurezza del computer che permette di individuare tutti i dati su un disco. Può proteggere le prove e creare rapporti di qualità per l’uso di procedure legali. Questo strumento permette di estrarre le informazioni EXIF (Exchangeable Image File Format) dai file JPEG.
Caratteristiche:
- Questo prodotto supporta i file system di Windows, Mac e Linux.
- È possibile visualizzare in anteprima e cercare rapidamente i file sospetti.
- Crea una copia dell’intero disco sospetto per mantenere al sicuro le prove originali.
- Questo strumento aiuta a vedere la cronologia internet.
- È possibile importare o esportare immagini in formato .dd.
- Permette di aggiungere commenti alle prove di vostro interesse.
- ProDiscover Forensic supporta VMware per eseguire un’immagine catturata.
Link: https://www.prodiscover.com
2) Sleuth Kit (+Autopsy)
Sleuth Kit (+Autopsy) è uno strumento di utilità basato su Windows che rende più facile l’analisi forense dei sistemi informatici. Questo strumento permette di esaminare il disco rigido e lo smartphone.
Caratteristiche:
- È possibile identificare l’attività utilizzando un’interfaccia grafica in modo efficace.
- Questa applicazione fornisce analisi per le e-mail.
- È possibile raggruppare i file in base al loro tipo per trovare tutti i documenti o le immagini.
- Visualizza una miniatura delle immagini per visualizzare rapidamente le immagini.
- È possibile etichettare i file con nomi di tag arbitrari.
- Il kit Sleuth consente di estrarre i dati dai registri delle chiamate, SMS, contatti, ecc.
- Aiuta a contrassegnare file e cartelle in base al percorso e al nome.
Link: https://www.sleuthkit.org
3) CAINE
CAINE è un’applicazione basata su Ubuntu che offre un ambiente forense completo che fornisce un’interfaccia grafica. Questo strumento può essere integrato in strumenti software esistenti come un modulo. Estrae automaticamente una linea temporale dalla RAM.
Caratteristiche:
- Supporta l’investigatore digitale durante le quattro fasi dell’indagine digitale.
- Offre un’interfaccia user-friendly.
- È possibile personalizzare le caratteristiche di CAINE.
- Questo software offre numerosi strumenti user-friendly.
Link: https://www.caine-live.net
4) PALADIN
PALADIN è uno strumento basato su Ubuntu che permette di semplificare una serie di compiti forensi. Fornisce più di 100 strumenti utili per indagare su qualsiasi materiale dannoso. Questo strumento vi aiuta a semplificare il vostro compito forense in modo rapido ed efficace.
Caratteristiche:
- Fornisce entrambe le versioni a 64-bit e 32-bit.
- Questo strumento è disponibile su una chiavetta USB.
- Questo toolbox ha strumenti open-source che ti aiutano a cercare le informazioni richieste senza sforzo.
- Questo strumento ha più di 33 categorie che ti aiutano a realizzare un compito cyber forense.
Link: https://sumuri.com/software/paladin/
5) EnCase
Encase è un’applicazione che aiuta a recuperare prove dai dischi rigidi. Permette di condurre un’analisi approfondita dei file per raccogliere prove come documenti, immagini, ecc.
Caratteristiche:
- È possibile acquisire dati da numerosi dispositivi, tra cui telefoni cellulari, tablet, ecc.
- Consente di produrre rapporti completi per mantenere l’integrità delle prove.
- È possibile cercare rapidamente, identificare e dare priorità alle prove.
- Encase-forensic aiuta a sbloccare le prove criptate.
- Automatizza la preparazione delle prove.
- È possibile eseguire analisi profonde e di triage (gravità e priorità dei difetti).
Link: https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT è una distribuzione informatica forense basata su Ubuntu. Fornisce una struttura di esame digitale forense e di risposta agli incidenti.
Caratteristiche:
- Può funzionare su un sistema operativo a 64 bit.
- Questo strumento aiuta gli utenti a utilizzare la memoria in modo migliore.
- Aggiorna automaticamente il pacchetto DFIR (Digital Forensics and Incident Response).
- È possibile installarlo tramite il programma di installazione SIFT-CLI (Command-Line Interface).
- Questo strumento contiene numerosi strumenti e tecniche forensi più recenti.
Link: https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
FTK Imager è un toolkit forense sviluppato da AccessData che può essere utilizzato per ottenere prove. Può creare copie di dati senza apportare modifiche alle prove originali. Questo strumento consente di specificare i criteri, come la dimensione del file, la dimensione del pixel e il tipo di dati, per ridurre la quantità di dati irrilevanti.
Caratteristiche:
- Fornisce un approccio guidato per rilevare il crimine informatico.
- Questo programma offre una migliore visualizzazione dei dati utilizzando un grafico.
- È possibile recuperare le password da più di 100 applicazioni.
- Ha una struttura di analisi dei dati avanzata e automatizzata.
- FTK Imager aiuta a gestire profili riutilizzabili per diverse esigenze di indagine.
- Supporta il perfezionamento pre e post-elaborazione.
Link: https://accessdata.com/products-services/forensic-toolkit-ftk
8) Magnet RAM capture
Magnet RAM capture registra la memoria di un computer sospetto. Permette agli investigatori di recuperare e analizzare gli elementi di valore che si trovano nella memoria.
Caratteristiche:
- È possibile eseguire questa applicazione riducendo al minimo i dati sovrascritti in memoria.
- Consente di esportare i dati di memoria catturati e caricarli in strumenti di analisi come magnet AXIOM e magnet IEF.
- Questa applicazione supporta una vasta gamma di sistemi operativi Windows.
- Magnet RAM capture supporta l’acquisizione della RAM.
Link: https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways è un software che fornisce un ambiente di lavoro per gli esaminatori forensi di computer. Questo programma supporta la clonazione e l’imaging del disco. Consente di collaborare con altre persone che hanno questo strumento.
Caratteristiche:
- Ha la capacità di leggere il partizionamento e le strutture del file system all’interno dei file immagine .dd.
- È possibile accedere a dischi, RAID (Redundant array of independent disk), e altro ancora.
- Identifica automaticamente le partizioni perse o eliminate.
- Questo strumento può facilmente rilevare NTFS (New Technology File System) e ADS (Alternate Data Streams).
- X-Ways Forensics supporta i segnalibri o le annotazioni.
- Ha la capacità di analizzare i computer remoti.
- È possibile visualizzare e modificare i dati binari utilizzando i modelli.
- Fornisce la protezione in scrittura per mantenere l’autenticità dei dati.
Link: http://www.x-ways.net/forensics/
10) Wireshark
Wireshark è uno strumento che analizza un pacchetto di rete. Può essere utilizzato per i test di rete e la risoluzione dei problemi. Questo strumento vi aiuta a controllare il diverso traffico che passa attraverso il vostro sistema informatico.
Caratteristiche:
- Fornisce una ricca analisi VoIP (Voice over Internet Protocol).
- I file compressi con gzip possono essere decompressi facilmente.
- L’output può essere esportato in XML (Extensible Markup Language), CSV (Comma Separated Values) o testo semplice.
- I dati live possono essere letti dalla rete, blue-tooth, ATM, USB, ecc.
- Supporto di decrittazione per numerosi protocolli che includono IPsec (Internet Protocol Security), SSL (Secure Sockets Layer), e WEP (Wired Equivalent Privacy).
- È possibile applicare analisi intuitive, regole di colorazione al pacchetto.
- Consente di leggere o scrivere file in qualsiasi formato.
Link: https://www.wireshark.org
11) Registry Recon
Registry Recon è uno strumento di computer forensics utilizzato per estrarre, recuperare e analizzare i dati di registro dal sistema operativo Windows. Questo programma può essere utilizzato per determinare in modo efficiente i dispositivi esterni che sono stati collegati a qualsiasi PC.
Caratteristiche:
- Supporta Windows XP, Vista, 7, 8, 10, e altri sistemi operativi.
- Questo strumento recupera automaticamente i preziosi dati NTFS.
- È possibile integrarlo con lo strumento di utilità Microsoft Disk Manager.
- Monta rapidamente tutti i VSC (Volume Shadow Copies) VSC all’interno di un disco.
- Questo programma ricostruisce il database del registro attivo.
Link: https://arsenalrecon.com/products/
12) Volatility Framework
Volatility Framework è un software per l’analisi e la forensica della memoria. Vi aiuta a testare lo stato di runtime di un sistema utilizzando i dati trovati nella RAM. Questa applicazione ti permette di collaborare con i tuoi compagni di squadra.
Caratteristiche:
- Ha API che permette di cercare rapidamente i flag PTE (Page Table Entry).
- Volatility Framework supporta KASLR (Kernel Address Space Layout Randomization).
- Questo strumento fornisce numerosi plugin per controllare il funzionamento dei file Mac.
- Esegue automaticamente il comando Failure quando un servizio non riesce a partire più volte.
Link: https://www.volatilityfoundation.org
13) Xplico
Xplico è un’applicazione di analisi forense open-source. Supporta HTTP (Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol), e altro.
Caratteristiche:
- Puoi ottenere i tuoi dati di output nel database SQLite o MySQL.
- Questo strumento ti dà collaborazione in tempo reale.
- Nessun limite di dimensione sull’inserimento dei dati o il numero di file.
- È possibile creare facilmente qualsiasi tipo di dispatcher per organizzare i dati estratti in modo utile.
- Supporta sia IPv4 che IPv6.
- È possibile eseguire la ricerca DNS di riserva da pacchetti DNS con file di input.
- Xplico fornisce la funzione PIPI (Port Independent Protocol Identification) per supportare il digital forensic.
Link: https://www.xplico.org
14) e-fense
E-fense è uno strumento che vi aiuta a soddisfare le vostre esigenze di computer forensics e cybersecurity. Permette di scoprire i file da qualsiasi dispositivo in un’interfaccia semplice da usare.
Caratteristiche:
- Dà protezione da comportamenti dannosi, hacking e violazioni di policy.
- È possibile acquisire la cronologia internet, la memoria e la cattura dello schermo da un sistema su una chiavetta USB.
- Questo strumento ha un’interfaccia semplice da usare che ti permette di raggiungere il tuo obiettivo di indagine.
- E-fense supporta il multithreading, il che significa che è possibile eseguire più di un thread contemporaneamente.
Link: http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike è un software forense digitale che fornisce informazioni sulle minacce, sicurezza degli endpoint, ecc. Può rilevare rapidamente e recuperare da incidenti di cybersecurity. È possibile utilizzare questo strumento per trovare e bloccare gli aggressori in tempo reale.
Caratteristiche:
- Questo strumento ti aiuta a gestire le vulnerabilità del sistema.
- Può analizzare automaticamente il malware.
- Puoi proteggere il tuo data center virtuale, fisico e basato sul cloud.
Link: https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/