15 BEST Digital Forensic Tools in 2021 [Free/Paid]

Digital forensic to proces zachowania, identyfikacji, ekstrakcji i dokumentacji dowodów komputerowych, które mogą być wykorzystane przez sąd. Istnieje wiele narzędzi, które pomagają uczynić ten proces prostym i łatwym. Aplikacje te zapewniają kompletne raporty, które mogą być wykorzystane w procedurach prawnych.

Poniżej znajduje się lista zestawów narzędzi Digital Forensic Toolkits, z ich popularnymi funkcjami i linkami do stron internetowych. Lista zawiera zarówno oprogramowanie open source (darmowe) jak i komercyjne (płatne).

1) ProDiscover Forensic

ProDiscover Forensic to aplikacja do zabezpieczania komputerów, która pozwala zlokalizować wszystkie dane na dysku komputera. Może chronić dowody i tworzyć wysokiej jakości raporty do wykorzystania w procedurach prawnych. Narzędzie to pozwala na wyodrębnienie informacji EXIF(Exchangeable Image File Format) z plików JPEG.

Funkcje:

  • Ten produkt obsługuje systemy plików Windows, Mac, i Linux.
  • Możesz podglądać i wyszukiwać podejrzane pliki szybko.
  • Tworzy kopię całego podejrzanego dysku, aby zachować oryginalne dowody bezpieczne.
  • To narzędzie pomaga zobaczyć historię internetową.
  • Możesz importować lub eksportować obrazy w formacie .dd.
  • Możliwość dodawania komentarzy do interesujących Cię dowodów.
  • ProDiscover Forensic obsługuje VMware w celu uruchomienia przechwyconego obrazu.

Link: https://www.prodiscover.com

2) Sleuth Kit (+Autopsja)

Sleuth Kit (+Autopsja) to narzędzie użytkowe oparte na systemie Windows, które ułatwia analizę kryminalistyczną systemów komputerowych. Narzędzie to pozwala na badanie dysku twardego i smartfona.

Funkcje:

  • Możesz skutecznie zidentyfikować aktywność za pomocą interfejsu graficznego.
  • Ta aplikacja zapewnia analizę dla wiadomości e-mail.
  • Możesz grupować pliki według ich typu, aby znaleźć wszystkie dokumenty lub obrazy.
  • Wyświetla miniatury obrazów, aby szybko wyświetlić zdjęcia.
  • Możesz tagować pliki za pomocą dowolnych nazw tagów.
  • Zestaw Sleuth Kit umożliwia wyodrębnienie danych z dzienników połączeń, SMS-ów, kontaktów itp.
  • Pomaga flagować pliki i foldery na podstawie ścieżki i nazwy.

Link: https://www.sleuthkit.org

3) CAINE

CAINE to aplikacja oparta na Ubuntu, która oferuje kompletne środowisko forensic, które zapewnia interfejs graficzny. Narzędzie to może być zintegrowane z istniejącym oprogramowaniem narzędziowym jako moduł. Automatycznie wyodrębnia oś czasu z pamięci RAM.

Funkcje:

  • Wspiera cyfrowego śledczego podczas czterech faz cyfrowego dochodzenia.
  • Oferuje przyjazny dla użytkownika interfejs.
  • Można dostosować funkcje CAINE.
  • To oprogramowanie oferuje liczne przyjazne dla użytkownika narzędzia.

Link: https://www.caine-live.net

4) PALADIN

PALADIN jest narzędziem opartym na Ubuntu, które umożliwia uproszczenie szeregu zadań kryminalistycznych. Dostarcza ponad 100 przydatnych narzędzi do badania wszelkich złośliwych materiałów. To narzędzie pomaga uprościć zadania kryminalistyczne szybko i skutecznie.

Funkcje:

  • Dostarcza zarówno 64-bitowe jak i 32-bitowe wersje.
  • To narzędzie jest dostępne na dysku USB.
  • Ten zestaw narzędzi posiada narzędzia open-source, które pomagają bez wysiłku wyszukiwać wymagane informacje.
  • To narzędzie posiada ponad 33 kategorie, które pomagają w realizacji zadań cyber forensic.

Link: https://sumuri.com/software/paladin/

5) EnCase

Encase to aplikacja, która pomaga w odzyskiwaniu dowodów z dysków twardych. Pozwala na przeprowadzenie dogłębnej analizy plików w celu zebrania dowodów takich jak dokumenty, zdjęcia, itp.

Funkcje:

  • Możesz pozyskać dane z wielu urządzeń, w tym telefonów komórkowych, tabletów itp.
  • Umożliwia tworzenie kompletnych raportów w celu zachowania integralności dowodów.
  • Możesz szybko wyszukiwać, identyfikować, a także nadawać priorytety dowodom.
  • Encase-forensic pomaga odblokować zaszyfrowane dowody.
  • Automatyzuje przygotowanie materiału dowodowego.
  • Możesz wykonać głęboką analizę oraz analizę triage (ciężkość i priorytet defektów).

Link: https://www.guidancesoftware.com/encase-forensic

6) SANS SIFT

SANS SIFT to dystrybucja computer forensics oparta na Ubuntu. Zapewnia ona możliwość badania cyfrowego kryminalistycznego i reagowania na incydenty.

Funkcje:

  • Może pracować na 64-bitowym systemie operacyjnym.
  • Narzędzie to pomaga użytkownikom w lepszym wykorzystaniu pamięci.
  • Automatycznie aktualizuje pakiet DFIR (Digital Forensics and Incident Response).
  • Można go zainstalować za pomocą instalatora SIFT-CLI (Command-Line Interface).
  • To narzędzie zawiera wiele najnowszych narzędzi i technik kryminalistycznych.

Link: https://digital-forensics.sans.org/community/downloads/

7) FTK Imager

FTK Imager jest zestawem narzędzi kryminalistycznych opracowanym przez AccessData, który może być użyty do uzyskania dowodów. Może on tworzyć kopie danych bez wprowadzania zmian w oryginalnym materiale dowodowym. Narzędzie to pozwala na określenie kryteriów, takich jak rozmiar pliku, rozmiar piksela i typ danych, w celu zmniejszenia ilości nieistotnych danych.

Funkcje:

  • Zapewnia podejście oparte na kreatorach do wykrywania cyberprzestępstw.
  • Ten program oferuje lepszą wizualizację danych za pomocą wykresu.
  • Możesz odzyskać hasła z ponad 100 aplikacji.
  • Posiada zaawansowaną i zautomatyzowaną funkcję analizy danych.
  • FTK Imager pomaga zarządzać profilami wielokrotnego użytku dla różnych wymagań dochodzeniowych.
  • Obsługuje rafinację przed i po przetwarzaniu.

Link: https://accessdata.com/products-services/forensic-toolkit-ftk

8) Magnet RAM capture

Magnet RAM capture rejestruje pamięć podejrzanego komputera. Pozwala to śledczym na odzyskanie i analizę wartościowych elementów, które znajdują się w pamięci.

Funkcje:

  • Możesz uruchomić tę aplikację podczas minimalizowania nadpisywania danych w pamięci.
  • Umożliwia eksportowanie przechwyconych danych pamięci i przesyłanie ich do narzędzi analitycznych, takich jak magnet AXIOM i magnet IEF.
  • Ta aplikacja obsługuje szeroką gamę systemów operacyjnych Windows.
  • Magnet RAM capture wspiera akwizycję pamięci RAM.

Link: https://www.magnetforensics.com/resources/magnet-ram-capture/

9) X-Ways Forensics

X-Ways to oprogramowanie, które zapewnia środowisko pracy dla informatyków śledczych. Program ten obsługuje klonowanie i obrazowanie dysków. Umożliwia współpracę z innymi osobami, które posiadają to narzędzie.

Funkcje:

  • Ma możliwość odczytu struktur partycjonowania i systemu plików wewnątrz plików obrazów .dd.
  • Możesz uzyskać dostęp do dysków, RAID (Redundant array of independent disk), i więcej.
  • Automatycznie identyfikuje utracone lub usunięte partycje.
  • To narzędzie może łatwo wykryć NTFS (New Technology File System) i ADS (Alternate Data Streams).
  • X-Ways Forensics obsługuje zakładki lub adnotacje.
  • Ma możliwość analizowania zdalnych komputerów.
  • Można przeglądać i edytować dane binarne za pomocą szablonów.
  • Zapewnia ochronę zapisu w celu zachowania autentyczności danych.

Link: http://www.x-ways.net/forensics/

10) Wireshark

Wireshark jest narzędziem, które analizuje pakiety sieciowe. Może być używane do testowania sieci i rozwiązywania problemów. Narzędzie to pomaga sprawdzić różne rodzaje ruchu przechodzącego przez system komputerowy.

Funkcje:

  • Zapewnia bogatą analizę VoIP (Voice over Internet Protocol).
  • Pliki skompresowane za pomocą gzip mogą być łatwo zdekompresowane.
  • Dane wyjściowe mogą być eksportowane do XML (Extensible Markup Language), CSV (Comma Separated Values) lub zwykłego tekstu.
  • Dane na żywo mogą być odczytywane z sieci, blue-tooth, ATM, USB, itp.
  • Obsługa deszyfrowania dla wielu protokołów, w tym IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) i WEP (Wired Equivalent Privacy).
  • Możliwość zastosowania intuicyjnej analizy, kolorowania reguł do pakietów.
  • Możliwość odczytu lub zapisu plików w dowolnym formacie.

Link: https://www.wireshark.org

11) Registry Recon

Registry Recon to narzędzie informatyki śledczej służące do wyodrębniania, odzyskiwania i analizowania danych rejestru z systemu operacyjnego Windows. Program ten może być używany do skutecznego określania urządzeń zewnętrznych, które zostały podłączone do dowolnego komputera.

Funkcje:

  • Obsługuje Windows XP, Vista, 7, 8, 10 i inne systemy operacyjne.
  • Narzędzie to automatycznie odzyskuje cenne dane NTFS.
  • Możesz zintegrować go z narzędziem Microsoft Disk Manager.
  • Szybko montuje wszystkie VSC (Volume Shadow Copies) VSC w obrębie dysku.
  • Ten program odbudowuje aktywną bazę danych rejestru.

Link: https://arsenalrecon.com/products/

12) Volatility Framework

Volatility Framework to oprogramowanie do analizy pamięci i kryminalistyki. Pomaga badać stan systemu w czasie pracy, wykorzystując dane znajdujące się w pamięci RAM. Ta aplikacja pozwala na współpracę z kolegami z zespołu.

Features:

  • Posiada API, które pozwala na szybkie wyszukiwanie flag PTE (Page Table Entry).
  • Volatility Framework wspiera KASLR (Kernel Address Space Layout Randomization).
  • Narzędzie to dostarcza wielu wtyczek do sprawdzania działania plików Mac.
  • Automatycznie uruchamia polecenie Failure, gdy usługa nie uruchomi się wiele razy.

Link: https://www.volatilityfoundation.org

13) Xplico

Xplico to aplikacja do analizy kryminalistycznej o otwartym kodzie źródłowym. Obsługuje protokoły HTTP (Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol) i inne.

Features:

  • Możesz uzyskać swoje dane wyjściowe w bazie danych SQLite lub MySQL.
  • To narzędzie daje Ci współpracę w czasie rzeczywistym.
  • Nie ma limitu wielkości wprowadzanych danych lub liczby plików.
  • Możesz łatwo stworzyć dowolny rodzaj dyspozytora, aby zorganizować wyodrębnione dane w użyteczny sposób.
  • Obsługuje zarówno IPv4 jak i IPv6.
  • Możesz wykonać rezerwowe wyszukiwanie DNS z pakietów DNS posiadających pliki wejściowe.
  • Xplico zapewnia funkcję PIPI (Port Independent Protocol Identification), aby wspierać cyfrową kryminalistykę.

Link: https://www.xplico.org

14) e-fense

E-fense to narzędzie, które pomaga spełnić potrzeby w zakresie informatyki śledczej i cyberbezpieczeństwa. Pozwala na odkrywanie plików z dowolnego urządzenia w jednym prostym w użyciu interfejsie.

Features:

  • Daje ochronę przed złośliwym zachowaniem, hakowaniem i naruszeniami polityki.
  • Możesz pozyskać historię Internetu, pamięć i zrzuty ekranu z systemu na dysk USB.
  • To narzędzie posiada prosty w użyciu interfejs, który umożliwia osiągnięcie celu śledztwa.
  • E-fense obsługuje wielowątkowość, co oznacza, że możesz wykonać więcej niż jeden wątek jednocześnie.

Link: http://www.e-fense.com/products.php

15) Crowdstrike

Crowdstrike to cyfrowe oprogramowanie kryminalistyczne, które zapewnia inteligencję zagrożeń, bezpieczeństwo punktów końcowych itp. Może szybko wykryć i odzyskać po incydentach związanych z cyberbezpieczeństwem. Możesz użyć tego narzędzia do znalezienia i zablokowania napastników w czasie rzeczywistym.

Features:

  • To narzędzie pomaga w zarządzaniu podatnościami systemu.
  • Może automatycznie analizować złośliwe oprogramowanie.
  • Możesz zabezpieczyć wirtualne, fizyczne i oparte na chmurze centrum danych.

Link: https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *