15 BEST Digital Forensic Tools in 2021 [Free/Paid]

Die digitale Forensik ist ein Prozess der Bewahrung, Identifizierung, Extraktion und Dokumentation von Computer-Beweisen, die vor Gericht verwendet werden können. Es gibt viele Werkzeuge, die Ihnen helfen, diesen Prozess einfach und leicht zu gestalten. Diese Anwendungen liefern vollständige Berichte, die für juristische Verfahren verwendet werden können.

Nachfolgend finden Sie eine handverlesene Liste von Digital Forensic Toolkits, mit ihren beliebten Funktionen und Website-Links. Die Liste enthält sowohl quelloffene (kostenlose) als auch kommerzielle (kostenpflichtige) Software.

1) ProDiscover Forensic

ProDiscover Forensic ist eine Computer-Sicherheits-App, mit der Sie alle Daten auf einer Computer-Festplatte lokalisieren können. Es kann Beweise schützen und Qualitätsberichte für die Verwendung in rechtlichen Verfahren erstellen. Mit diesem Tool können Sie EXIF-Informationen (Exchangeable Image File Format) aus JPEG-Dateien extrahieren.

Features:

  • Dieses Produkt unterstützt Windows-, Mac- und Linux-Dateisysteme.
  • Sie können eine Vorschau anzeigen und schnell nach verdächtigen Dateien suchen.
  • Es erstellt eine Kopie des gesamten verdächtigen Datenträgers, um die ursprünglichen Beweise sicher zu halten.
  • Dieses Tool hilft Ihnen, den Internetverlauf zu sehen.
  • Sie können Bilder im .dd-Format importieren oder exportieren.
  • Es ermöglicht Ihnen, Kommentare zu den Beweisen hinzuzufügen, die Sie interessieren.
  • ProDiscover Forensic unterstützt VMware, um ein erfasstes Image auszuführen.

Link: https://www.prodiscover.com

2) Sleuth Kit (+Autopsy)

Sleuth Kit (+Autopsy) ist ein Windows-basiertes Dienstprogramm, das die forensische Analyse von Computersystemen erleichtert. Mit diesem Tool können Sie Ihre Festplatte und Ihr Smartphone untersuchen.

Features:

  • Sie können Aktivitäten über eine grafische Oberfläche effektiv identifizieren.
  • Diese Anwendung bietet eine Analyse für E-Mails.
  • Sie können Dateien nach ihrem Typ gruppieren, um alle Dokumente oder Bilder zu finden.
  • Es zeigt eine Miniaturansicht von Bildern an, um Bilder schnell zu betrachten.
  • Sie können Dateien mit beliebigen Tag-Namen versehen.
  • Mit dem Sleuth Kit können Sie Daten aus Anrufprotokollen, SMS, Kontakten usw. extrahieren.
  • Sie hilft Ihnen, Dateien und Ordner anhand von Pfad und Namen zu markieren.

Link: https://www.sleuthkit.org

3) CAINE

CAINE ist eine auf Ubuntu basierende App, die eine komplette forensische Umgebung mit einer grafischen Oberfläche bietet. Dieses Tool kann als Modul in bestehende Software-Tools integriert werden. Es extrahiert automatisch eine Zeitleiste aus dem RAM.

Features:

  • Es unterstützt den digitalen Ermittler in den vier Phasen der digitalen Untersuchung.
  • Es bietet eine benutzerfreundliche Oberfläche.
  • Sie können die Funktionen von CAINE anpassen.
  • Diese Software bietet zahlreiche benutzerfreundliche Tools.

Link: https://www.caine-live.net

4) PALADIN

PALADIN ist ein auf Ubuntu basierendes Tool, mit dem Sie eine Reihe von forensischen Aufgaben vereinfachen können. Es bietet mehr als 100 nützliche Werkzeuge für die Untersuchung von jeglichem bösartigen Material. Dieses Tool hilft Ihnen, Ihre forensische Aufgabe schnell und effektiv zu vereinfachen.

Features:

  • Es bietet sowohl eine 64-Bit- als auch eine 32-Bit-Version.
  • Dieses Tool ist auf einem USB-Stick erhältlich.
  • Diese Toolbox verfügt über Open-Source-Tools, mit denen Sie mühelos nach den benötigten Informationen suchen können.
  • Dieses Tool verfügt über mehr als 33 Kategorien, die Sie bei der Bewältigung einer cyberforensischen Aufgabe unterstützen.

Link: https://sumuri.com/software/paladin/

5) EnCase

Encase ist eine Anwendung, die Ihnen hilft, Beweise von Festplatten zu retten. Es erlaubt Ihnen, eine gründliche Analyse von Dateien durchzuführen, um Beweise wie Dokumente, Bilder usw. zu sammeln.

Features:

  • Sie können Daten von zahlreichen Geräten erfassen, einschließlich Mobiltelefonen, Tablets usw.
  • Es ermöglicht Ihnen, vollständige Berichte zu erstellen, um die Integrität der Beweise zu erhalten.
  • Sie können Beweise schnell suchen, identifizieren sowie priorisieren.
  • Encase-forensic hilft Ihnen, verschlüsselte Beweise zu entsperren.
  • Es automatisiert die Vorbereitung von Beweisen.
  • Sie können Tiefen- und Triage-Analysen (Schweregrad und Priorität von Fehlern) durchführen.

Link: https://www.guidancesoftware.com/encase-forensic

6) SANS SIFT

SANS SIFT ist eine Computerforensik-Distribution auf Basis von Ubuntu. Sie bietet eine Untersuchungsmöglichkeit für digitale Forensik und Incident Response.

Features:

  • Es kann auf einem 64-Bit-Betriebssystem arbeiten.
  • Dieses Tool hilft Anwendern, den Speicher besser zu nutzen.
  • Es aktualisiert automatisch das DFIR-Paket (Digital Forensics and Incident Response).
  • Sie können es über das Installationsprogramm SIFT-CLI (Command-Line Interface) installieren.
  • Dieses Tool enthält zahlreiche aktuelle forensische Werkzeuge und Techniken.

Link: https://digital-forensics.sans.org/community/downloads/

7) FTK Imager

FTK Imager ist ein forensisches Toolkit, das von AccessData entwickelt wurde und zur Beweissicherung verwendet werden kann. Es kann Kopien von Daten erstellen, ohne Änderungen an den ursprünglichen Beweisen vorzunehmen. Mit diesem Tool können Sie Kriterien wie Dateigröße, Pixelgröße und Datentyp angeben, um die Menge an irrelevanten Daten zu reduzieren.

Features:

  • Es bietet einen assistentengesteuerten Ansatz zur Erkennung von Cyberkriminalität.
  • Dieses Programm bietet eine bessere Visualisierung von Daten mithilfe eines Diagramms.
  • Sie können Passwörter aus mehr als 100 Anwendungen wiederherstellen.
  • Es verfügt über eine erweiterte und automatisierte Datenanalyse.
  • FTK Imager hilft Ihnen, wiederverwendbare Profile für unterschiedliche Untersuchungsanforderungen zu verwalten.
  • Es unterstützt Pre- und Post-Processing-Verfeinerung.

Link: https://accessdata.com/products-services/forensic-toolkit-ftk

8) Magnetische RAM-Erfassung

Magnetische RAM-Erfassung zeichnet den Speicher eines verdächtigen Computers auf. Es ermöglicht Ermittlern, wertvolle Elemente, die im Speicher gefunden werden, wiederherzustellen und zu analysieren.

Features:

  • Sie können diese App ausführen, während Sie überschriebene Daten im Speicher minimieren.
  • Sie ermöglicht es Ihnen, erfasste Speicherdaten zu exportieren und in Analysetools wie Magnet AXIOM und Magnet IEF hochzuladen.
  • Diese App unterstützt eine breite Palette von Windows-Betriebssystemen.
  • Magnet RAM Capture unterstützt RAM-Erfassung.

Link: https://www.magnetforensics.com/resources/magnet-ram-capture/

9) X-Ways Forensics

X-Ways ist eine Software, die eine Arbeitsumgebung für Computerforensiker bietet. Dieses Programm unterstützt das Klonen und Imaging von Festplatten. Es ermöglicht Ihnen, mit anderen Personen zusammenzuarbeiten, die dieses Werkzeug besitzen.

Features:

  • Es hat die Fähigkeit, Partitionierungs- und Dateisystemstrukturen innerhalb von .dd-Image-Dateien zu lesen.
  • Sie können auf Festplatten, RAIDs (Redundant Array of Independent Disk) und mehr zugreifen.
  • Es identifiziert automatisch verlorene oder gelöschte Partitionen.
  • Dieses Tool kann NTFS (New Technology File System) und ADS (Alternate Data Streams) leicht erkennen.
  • X-Ways Forensics unterstützt Lesezeichen oder Anmerkungen.
  • Es hat die Fähigkeit, entfernte Computer zu analysieren.
  • Sie können Binärdaten mithilfe von Vorlagen anzeigen und bearbeiten.
  • Es bietet Schreibschutz, um die Authentizität der Daten zu erhalten.

Link: http://www.x-ways.net/forensics/

10) Wireshark

Wireshark ist ein Tool, das ein Netzwerkpaket analysiert. Es kann zum Testen und zur Fehlersuche im Netzwerk verwendet werden. Mit diesem Tool können Sie den verschiedenen Datenverkehr, der durch Ihr Computersystem läuft, überprüfen.

Features:

  • Es bietet eine umfangreiche VoIP (Voice over Internet Protocol)-Analyse.
  • Die mit gzip komprimierten Dateien können leicht dekomprimiert werden.
  • Die Ausgabe kann in eine XML- (Extensible Markup Language), CSV- (Comma Separated Values) Datei oder als reiner Text exportiert werden.
  • Live-Daten können aus dem Netzwerk, Blue-Tooth, ATM, USB, etc. gelesen werden.
  • Entschlüsselungsunterstützung für zahlreiche Protokolle, darunter IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) und WEP (Wired Equivalent Privacy).
  • Sie können intuitive Analyse- und Färbungsregeln auf die Pakete anwenden.
  • Erlaubt das Lesen oder Schreiben von Dateien in beliebigen Formaten.

Link: https://www.wireshark.org

11) Registry Recon

Registry Recon ist ein Computer-Forensik-Tool, das zum Extrahieren, Wiederherstellen und Analysieren von Registry-Daten aus Windows-Betriebssystemen verwendet wird. Mit diesem Programm lassen sich externe Geräte, die an einen beliebigen PC angeschlossen wurden, effizient ermitteln.

Features:

  • Es unterstützt Windows XP, Vista, 7, 8, 10 und andere Betriebssysteme.
  • Dieses Tool stellt automatisch wertvolle NTFS-Daten wieder her.
  • Sie können es mit dem Dienstprogramm Microsoft Disk Manager integrieren.
  • Schnell mountet es alle VSCs (Volume Shadow Copies) innerhalb eines Datenträgers.
  • Dieses Programm baut die aktive Registrierungsdatenbank neu auf.

Link: https://arsenalrecon.com/products/

12) Volatility Framework

Volatility Framework ist eine Software zur Speicheranalyse und Forensik. Es hilft Ihnen, den Laufzeitzustand eines Systems anhand der im RAM gefundenen Daten zu testen. Mit dieser App können Sie mit Ihren Teamkollegen zusammenarbeiten.

Features:

  • Sie verfügt über eine API, mit der Sie schnell nach PTE-Flags (Page Table Entry) suchen können.
  • Volatility Framework unterstützt KASLR (Kernel Address Space Layout Randomization).
  • Dieses Tool bietet zahlreiche Plugins zur Überprüfung des Mac-Dateibetriebs.
  • Es führt automatisch den Befehl „Failure“ aus, wenn ein Dienst mehrmals nicht startet.

Link: https://www.volatilityfoundation.org

13) Xplico

Xplico ist eine Open-Source-App für forensische Analysen. Sie unterstützt HTTP( Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol) und mehr.

Features:

  • Sie können Ihre Ausgabedaten in der SQLite-Datenbank oder MySQL-Datenbank erhalten.
  • Dieses Tool ermöglicht Ihnen eine Zusammenarbeit in Echtzeit.
  • Keine Größenbeschränkung für die Dateneingabe oder die Anzahl der Dateien.
  • Sie können problemlos jede Art von Dispatcher erstellen, um die extrahierten Daten sinnvoll zu organisieren.
  • Es unterstützt sowohl IPv4 als auch IPv6.
  • Sie können eine DNS-Reservesuche aus DNS-Paketen mit Eingabedateien durchführen.
  • Xplico bietet die Funktion PIPI (Port Independent Protocol Identification) zur Unterstützung der digitalen Forensik.

Link: https://www.xplico.org

14) e-fense

E-fense ist ein Tool, das Ihnen hilft, Ihre Anforderungen an Computerforensik und Cybersicherheit zu erfüllen. Es ermöglicht Ihnen, Dateien von jedem Gerät in einer einfach zu bedienenden Oberfläche zu entdecken.

Features:

  • Es bietet Schutz vor bösartigem Verhalten, Hackerangriffen und Richtlinienverstößen.
  • Sie können den Internetverlauf, den Speicher und Bildschirmaufnahmen von einem System auf einem USB-Stick erfassen.
  • Dieses Tool hat eine einfach zu bedienende Oberfläche, die es Ihnen ermöglicht, Ihr Untersuchungsziel zu erreichen.
  • E-fense unterstützt Multithreading, das heißt, Sie können mehr als einen Thread gleichzeitig ausführen.

Link: http://www.e-fense.com/products.php

15) Crowdstrike

Crowdstrike ist eine digitale Forensik-Software, die Bedrohungsdaten, Endpunktsicherheit usw. bietet. Sie kann Cybersecurity-Vorfälle schnell erkennen und beheben. Mit diesem Tool können Sie Angreifer in Echtzeit finden und blockieren.

Features:

  • Dieses Tool hilft Ihnen bei der Verwaltung von Systemschwachstellen.
  • Es kann Malware automatisch analysieren.
  • Sie können Ihr virtuelles, physisches und Cloud-basiertes Rechenzentrum sichern.

Link: https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.