Digital forensic is a process of preservation, identification, extraction, and documentation of computer evidence which can be used by the court of law. Há muitas ferramentas que o ajudam a tornar este processo simples e fácil. Estas aplicações fornecem relatórios completos que podem ser utilizados para procedimentos legais.
Following é uma lista escolhida a dedo de Toolkits Forenses Digitais, com as suas características populares e ligações a websites. A lista contém tanto software de código aberto (gratuito) como software comercial (pago).
1) ProDiscover Forensic
ProDiscover Forensic é uma aplicação de segurança informática que lhe permite localizar todos os dados num disco de computador. Pode proteger as provas e criar relatórios de qualidade para a utilização de procedimentos legais. Esta ferramenta permite-lhe extrair informação EXIF(Exchangeable Image File Format) a partir de ficheiros JPEG.
Características:
- Este produto suporta sistemas de ficheiros Windows, Mac, e Linux.
- Pode pré-visualizar e procurar ficheiros suspeitos rapidamente.
- Cria uma cópia de todo o disco suspeito para manter as provas originais seguras.
- Esta ferramenta ajuda-o a ver o histórico da Internet.
- Pode importar ou exportar imagens em formato .dd.
- Permite adicionar comentários às provas do seu interesse.
- ProDiscover Forensic suporta VMware para executar uma imagem capturada.
Link: https://www.prodiscover.com
2) Sleuth Kit (+Autopsia)
Sleuth Kit (+Autopsia) é uma ferramenta utilitária baseada no Windows que facilita a análise forense de sistemas informáticos. Esta ferramenta permite-lhe examinar o seu disco rígido e smartphone.
Faatures:
- Pode identificar a actividade usando uma interface gráfica eficazmente.
- Esta aplicação fornece análise para e-mails.
- Pode agrupar ficheiros pelo seu tipo para encontrar todos os documentos ou imagens.
- Pode exibir uma miniatura de imagens para ver imagens rapidamente.
- Pode marcar ficheiros com os nomes arbitrários das etiquetas.
- O Sleuth Kit permite-lhe extrair dados de registos de chamadas, SMS, contactos, etc.
- Ajuda-o a marcar ficheiros e pastas com base no caminho e nome.
Link: https://www.sleuthkit.org
3) CAINE
CAINE é uma aplicação baseada em Ubuntu que oferece um ambiente forense completo que fornece uma interface gráfica. Esta ferramenta pode ser integrada em ferramentas de software existentes como um módulo. Extrai automaticamente uma linha temporal da RAM.
Faatures:
- Pode suportar o investigador digital durante as quatro fases da investigação digital.
- Oferece uma interface de fácil utilização.
- Este software oferece numerosas ferramentas de fácil utilização.
Pode personalizar características de CAINE.
Link: https://www.caine-live.net
4) PALADIN
PALADIN é uma ferramenta baseada no Ubuntu que lhe permite simplificar uma série de tarefas forenses. Fornece mais de 100 ferramentas úteis para a investigação de qualquer material malicioso. Esta ferramenta ajuda-o a simplificar rápida e eficazmente a sua tarefa forense.
Faatures:
- Fornece tanto versões 64-bit como 32-bit.
- Esta ferramenta está disponível numa unidade USB.
- Esta caixa de ferramentas tem ferramentas de código aberto que o ajudam a procurar a informação necessária sem esforço.
- Esta ferramenta tem mais de 33 categorias que o ajudam a realizar uma tarefa ciberforense.
Link: https://sumuri.com/software/paladin/
5) EnCase
Encase é uma aplicação que o ajuda a recuperar provas de discos rígidos. Permite-lhe realizar uma análise aprofundada de ficheiros para recolher provas como documentos, fotografias, etc.
Características:
- Pode adquirir dados de numerosos dispositivos, incluindo telemóveis, comprimidos, etc.
- Permite produzir relatórios completos para manter a integridade das provas.
- Pode rapidamente pesquisar, identificar, bem como dar prioridade às provas.
- Encase-forensic ajuda-o a desbloquear provas encriptadas.
- Automatiza a preparação da prova.
li>Pode efectuar análises profundas e de triagem (gravidade e prioridade dos defeitos).
Link: https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT é uma distribuição forense informática baseada no Ubuntu. Fornece uma instalação de exame forense digital e de resposta a incidentes.
Faatures:
- Pode funcionar num sistema operativo de 64-bit.
- Esta ferramenta ajuda os utilizadores a utilizar a memória de uma melhor forma.
- Actualiza automaticamente o pacote DFIR (Digital Forensics and Incident Response).
- Pode instalá-lo através do instalador SIFT-CLI (Command-Line Interface).
- Esta ferramenta contém numerosas ferramentas e técnicas forenses mais recentes.
Link: https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
p>FTK Imager é um conjunto de ferramentas forenses i desenvolvido por AccessData que pode ser utilizado para obter provas. Pode criar cópias de dados sem fazer alterações à prova original. Esta ferramenta permite especificar critérios, como tamanho de ficheiro, tamanho de pixel, e tipo de dados, para reduzir a quantidade de dados irrelevantes.
Características:
- Propõe uma abordagem orientada por assistentes para detectar crimes informáticos.
- Este programa oferece uma melhor visualização dos dados utilizando um gráfico.
- Pode recuperar senhas de mais de 100 aplicações.
- Tem uma facilidade avançada e automatizada de análise de dados.
- OFTK Imager ajuda-o a gerir perfis reutilizáveis para diferentes requisitos de investigação.
- Pode suportar o refinamento pré e pós-processamento.
Link: https://accessdata.com/products-services/forensic-toolkit-ftk
8) Captura de RAM magnética
Captura de RAM magnética regista a memória de um computador suspeito. Permite aos investigadores recuperar e analisar itens valiosos que se encontram na memória.
Faatures:
- Pode executar esta aplicação enquanto minimiza dados sobrescritos na memória.
- Permite exportar dados de memória capturados e carregá-los em ferramentas de análise como AXIOM magnético e IEF.
- Esta aplicação suporta uma vasta gama de sistemas operativos Windows.
- A captura de memória RAM da Magnet suporta a aquisição de RAM.
Link: https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways é um software que fornece um ambiente de trabalho para os examinadores forenses de computadores. Este programa suporta clonagem de discos e imagens. Permite-lhe colaborar com outras pessoas que têm esta ferramenta.
Faatures:
- Tem capacidade para ler partições e estruturas de sistema de ficheiros dentro de ficheiros de imagem .dd.
- Pode aceder a discos, RAIDs (Redundant array of independent disk), e mais.
- Identifica automaticamente partições perdidas ou apagadas.
- Esta ferramenta pode facilmente detectar NTFS (New Technology File System) e ADS (Alternate Data Streams).
>li>X-Ways Forensics suporta marcadores ou anotações.li> Tem a capacidade de analisar computadores remotos.>li>Pode visualizar e editar dados binários utilizando modelos.li>Protege a escrita para manter a autenticidade dos dados.
Link: http://www.x-ways.net/forensics/
10) Wireshark
Wireshark é uma ferramenta que analisa um pacote de rede. Pode ser utilizado para testes e resolução de problemas de rede. Esta ferramenta ajuda-o a verificar o tráfego diferente que atravessa o seu sistema informático.
Faatures:
- Provê uma análise rica de VoIP (Voice over Internet Protocol).
- Os ficheiros de captura comprimidos com gzip podem ser facilmente descomprimidos.
- Extracção pode ser exportada para XML (Extensible Markup Language), ficheiro CSV (Comma Separated Values), ou texto simples.
- Dados em directo podem ser lidos da rede, blue-tooth, ATM, USB, etc.
- Suporte de descodificação para numerosos protocolos que incluem IPsec (Internet Protocol Security), SSL (Secure Sockets Layer), e WEP (Wired Equivalent Privacy).
- Pode aplicar análise intuitiva, regras de cor ao pacote.
- Permite ler ou escrever ficheiros em qualquer formato.
Link: https://www.wireshark.org
11) Registry Recon
Registry Recon é uma ferramenta informática forense utilizada para extrair, recuperar, e analisar dados de registo do SO Windows. Este programa pode ser utilizado para determinar eficazmente dispositivos externos que tenham sido ligados a qualquer PC.
Faatures:
- Suporta Windows XP, Vista, 7, 8, 10, e outros sistemas operativos.
- Esta ferramenta recupera automaticamente dados NTFS valiosos.
- Pode integrá-lo com a ferramenta utilitária Microsoft Disk Manager.
- Monte rapidamente todos os VSCs (Volume Shadow Copies) VSCs dentro de um disco.
- Este programa reconstrói a base de dados de registo activa.
Link: https://arsenalrecon.com/products/
12) Volatility Framework
Volatility Framework é um software para análise de memória e análise forense. Ajuda a testar o estado de execução de um sistema utilizando os dados encontrados na RAM. Esta aplicação permite-lhe colaborar com os seus colegas de equipa.
Faatures:
- Tem API que lhe permite consultar rapidamente bandeiras de PTE (Page Table Entry).
- O quadro de volatilidade suporta KASLR (Kernel Address Space Layout Randomization).
- Esta ferramenta fornece numerosos plugins para verificar o funcionamento de ficheiros Mac.
- Executa automaticamente o comando Failure quando um serviço não inicia várias vezes.
Link: https://www.volatilityfoundation.org
13) Xplico
Xplico é uma aplicação de análise forense de código aberto. Suporta HTTP( Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol), e muito mais.
Faatures:
- Pode obter os seus dados de saída na base de dados SQLite ou MySQL.
- Esta ferramenta dá-lhe colaboração em tempo real.
- Sem limite de tamanho na entrada de dados ou o número de ficheiros.
- Pode criar facilmente qualquer tipo de expedidor para organizar os dados extraídos de uma forma útil.
- Suporta tanto IPv4 como IPv6.
- Pode efectuar uma pesquisa DNS de reserva a partir de pacotes DNS com ficheiros de entrada.
- Xplico fornece a funcionalidade PIPI (Port Independent Protocol Identification) para suportar forensic digital.
Link: https://www.xplico.org
14) e-fense
E-fense é uma ferramenta que o ajuda a satisfazer as suas necessidades informáticas forenses e de segurança cibernética. Permite-lhe descobrir ficheiros a partir de qualquer dispositivo numa interface simples de usar.
Faatures:
- Protege contra comportamentos maliciosos, hacking, e violações de políticas.
- Pode adquirir histórico da Internet, memória, e captura de ecrã de um sistema para uma unidade USB.
- Esta ferramenta tem uma interface simples de usar que lhe permite atingir o seu objectivo de investigação.
- E-fense suporta multithreading, o que significa que pode executar mais do que um thread simultaneamente.
Link: http://www.e-fense.com/products.php
15) Crowdstrike
p>Crowdstrike é um software forense digital que fornece inteligência de ameaças, segurança de pontos finais, etc. Pode detectar e recuperar rapidamente de incidentes de ciber-segurança. Pode utilizar esta ferramenta para encontrar e bloquear atacantes em tempo real.
Faatures:
- Esta ferramenta ajuda-o a gerir vulnerabilidades do sistema.
- Pode analisar automaticamente malware.
- Pode proteger o seu centro de dados virtual, físico, e baseado em nuvem.
Link: https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/