A digitális kriminalisztika a számítógépes bizonyítékok megőrzésének, azonosításának, kinyerésének és dokumentálásának folyamata, amelyet a bíróság felhasználhat. Számos eszköz segít abban, hogy ezt a folyamatot egyszerűvé és egyszerűvé tegye. Ezek az alkalmazások teljes jelentéseket nyújtanak, amelyek felhasználhatók a jogi eljárásokhoz.
Az alábbiakban a digitális kriminalisztikai eszközkészletek válogatott listája található, népszerű funkcióikkal és webhelylinkjeikkel. A lista nyílt forráskódú (ingyenes) és kereskedelmi (fizetős) szoftvereket egyaránt tartalmaz.
1) ProDiscover Forensic
A ProDiscover Forensic egy számítógépes biztonsági alkalmazás, amely lehetővé teszi az összes adat megkeresését a számítógép lemezén. Védheti a bizonyítékokat és minőségi jelentéseket készíthet a jogi eljárások alkalmazásához. Ez az eszköz lehetővé teszi az EXIF (Exchangeable Image File Format) információk kinyerését JPEG.webp fájlokból.
Jellemzők :
- Ez a termék támogatja a Windows, Mac és Linux fájlrendszereket.
- Gyorsan megtekintheti és gyanús fájlokat kereshet.
- Létrehozza a teljes gyanús lemez másolatát, hogy az eredeti bizonyíték biztonságban legyen.
- Ez az eszköz segít az internetes előzmények megtekintésében.
- Importálhat vagy exportálhat .dd formátumú képeket.
- Ez lehetővé teszi, hogy megjegyzéseket fűzzen az érdeklődés bizonyítékához.
- A ProDiscover Forensic támogatja a VMware programot a rögzített kép futtatásához.
Link : https://www.prodiscover.com
2) Sleuth Kit (+ bonc)
A Sleuth Kit (+ Bonc) egy Windows alapú segédprogram, amely megkönnyíti a számítógépes rendszerek kriminalisztikai elemzését. Ez az eszköz lehetővé teszi a merevlemez és az okostelefon megvizsgálását.
Jellemzők :
- A tevékenységet grafikus felület segítségével hatékonyan azonosíthatja.
- Ez az alkalmazás elemzést nyújt az e-mailekhez.
- A fájlokat típusaik szerint csoportosíthatja, hogy megtalálja az összes dokumentumot vagy képet.
- Megjeleníti a képek indexképét a képek gyors megtekintéséhez.
- A fájlokat tetszőleges címkék nevével címkézheti meg.
- A Sleuth Kit lehetővé teszi az adatok kinyerését a hívásnaplókból, SMS-ekből, névjegyekből stb.
- Segít fájlok és mappák megjelölésében elérési út és név alapján.
Link : https://www.sleuthkit.org
3) CAINE
A CAINE egy Ubuntu-alapú alkalmazás, amely teljes igazságügyi környezetet kínál, amely grafikus felületet biztosít. Ez az eszköz modulként integrálható a meglévő szoftvereszközökbe. Automatikusan kivon egy idővonalat a RAM-ból.
Jellemzők :
- Támogatja a digitális nyomozót a digitális nyomozás négy szakaszában.
- Felhasználóbarát felületet kínál.
- Testreszabhatja a CAINE szolgáltatásait.
- Ez a szoftver számos felhasználóbarát eszközt kínál.
Link : https://www.caine-live.net
4) PALADIN
A PALADIN egy Ubuntu alapú eszköz, amely lehetővé teszi számos törvényszéki feladat egyszerűsítését. Több mint 100 hasznos eszközt kínál minden rosszindulatú anyag kivizsgálásához. Ez az eszköz segít a törvényszéki feladat gyors és hatékony egyszerűsítésében.
Jellemzők :
- 64 és 32 bites verziókat is kínál.
- Ez az eszköz USB-meghajtón érhető el.
- Ez az eszköztár nyílt forráskódú eszközökkel rendelkezik, amelyek megkönnyítik a szükséges információk megkeresését könnyedén.
- Ennek az eszköznek több mint 33 kategóriája van, amelyek segítséget nyújtanak a számítógépes kriminalisztikai feladatok elvégzésében.
Link : https://sumuri.com/software/paladin/
5) EnCase
Az Encase egy olyan alkalmazás, amely segít a merevlemezekről származó bizonyítékok helyreállításában. Ez lehetővé teszi a fájlok mélyreható elemzését bizonyítékok, például dokumentumok, képek stb.
Jellemzők :
- Számos eszközről szerezhet adatokat, beleértve mobiltelefonokat, táblagépeket stb.
- Ez lehetővé teszi, hogy teljes jelentéseket készítsen a bizonyítékok integritásának fenntartása érdekében.
- Gyorsan kereshet, azonosíthat és rangsorolhatja a bizonyítékokat.
- Az Encase-kriminalisztika segít titkosított bizonyítékok feloldásában.
- Automatizálja a bizonyítékok előkészítését.
- Végezhet mély- és triage-elemzést (a hibák súlyossága és prioritása).
Link : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
A SANS SIFT egy számítógépes kriminalisztikai disztribúció, amely Ubuntu alapú. Digitális törvényszéki és eseményekre reagáló vizsgálati lehetőséget biztosít.
Jellemzők :
- 64 bites operációs rendszeren működhet.
- Ez az eszköz segíti a felhasználókat a memória jobb kihasználásában.
- Automatikusan frissíti a DFIR (Digital Forensics and Incident Response) csomagot.
- Telepítheti a SIFT-CLI (Command-Line Interface) telepítőn keresztül.
- Ez az eszköz számos legújabb törvényszéki eszközt és technikát tartalmaz.
Link : https://digital-forensics.sans.org/community/downloads/
7) FTK képalkotó
Az FTK Imager az AccessData által kifejlesztett törvényszéki eszköztár, amely bizonyítékok megszerzésére használható. Az eredeti bizonyítékok megváltoztatása nélkül másolatokat készíthet az adatokról. Ez az eszköz lehetővé teszi olyan kritériumok megadását, mint a fájlméret, a képpontméret és az adattípus, hogy csökkentse a lényegtelen adatok mennyiségét.
Jellemzők :
- Varázsló által vezérelt megközelítést kínál a számítógépes bűnözés felderítésére.
- Ez a program az adatok jobb megjelenítését kínálja diagram segítségével.
- Jelszavakat több mint 100 alkalmazásból állíthat vissza.
- Fejlett és automatizált adatelemzési lehetőséggel rendelkezik.
- Az FTK Imager segít az újrafelhasználható profilok kezelésében a különböző vizsgálati követelmények szerint.
- Támogatja a feldolgozás előtti és utáni finomítást.
Link : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Mágneses RAM rögzítés
A mágneses RAM rögzítés rögzíti a gyanús számítógép memóriáját. Lehetővé teszi a nyomozók számára a memóriában található értékes elemek helyreállítását és elemzését.
Jellemzők :
- Futtathatja ezt az alkalmazást, miközben minimalizálja a memóriában felülírt adatokat.
- Lehetővé teszi a rögzített memóriaadatok exportálását és feltöltését olyan elemző eszközökbe, mint az AXIOM mágnes és az IEF mágnes.
- Ez az alkalmazás a Windows operációs rendszerek széles skáláját támogatja.
- A mágneses RAM rögzítés támogatja a RAM megszerzését.
Link : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
Az X-Ways olyan szoftver, amely munkakörnyezetet biztosít a számítógépes igazságügyi szakértők számára. Ez a program támogatja a lemezklónozást és képalkotást. Lehetővé teszi, hogy együttműködjön másokkal, akik rendelkeznek ezzel az eszközzel.
Jellemzők :
- Képes a .dd képfájlok belső partícióinak és fájlrendszerének felépítésére.
- Hozzáférhet a lemezekhez, RAID-ekhez (a független lemez redundáns tömbje) és egyebekhez.
- Automatikusan azonosítja az elveszett vagy törölt partíciókat.
- Ez az eszköz könnyen felismeri az NTFS-t (új technológiai fájlrendszer) és az ADS-t (alternatív adatfolyamok).
- Az X-Ways Forensics támogatja a könyvjelzőket vagy a kommentárokat.
- Képes elemezni a távoli számítógépeket.
- A sablonok segítségével bináris adatokat tekinthet meg és szerkeszthet.
- Írási védelmet nyújt az adatok hitelességének fenntartása érdekében.
Link : http://www.x-ways.net/forensics/
10) Wireshark
A Wireshark egy olyan eszköz, amely elemzi a hálózati csomagokat. Fel lehet használni hálózati tesztelésre és hibaelhárításra. Ez az eszköz segít ellenőrizni a számítógépes rendszerén keresztül zajló különböző forgalmat.
Jellemzők :
- Gazdag VoIP (Voice over Internet Protocol) elemzést nyújt.
- A gzip segítségével tömörített fájlokat egyszerűen kibontsa.
- A kimenet exportálható XML (Extensible Markup Language), CSV (vesszővel elválasztott értékek) fájlba vagy egyszerű szövegbe.
- Az élő adatok kiolvashatók a hálózatról, kék fogakról, ATM-ről, USB-ről stb.
- Az IPsec (Internet Protocol Security), az SSL (Secure Sockets Layer) és a WEP (Wired Equivalent Privacy) protokollok visszafejtésének támogatása.
- Alkalmazhat intuitív elemzést, színező szabályokat a csomagra.
- Lehetővé teszi bármilyen formátumú fájl olvasását vagy írását.
Link : https://www.wireshark.org
11) Nyilvántartási Recon
A Registry Recon egy számítógépes kriminalisztikai eszköz, amelyet a rendszerleíró adatbázis adatainak kinyerésére, helyreállítására és elemzésére használnak a Windows operációs rendszerből. Ezzel a programmal hatékonyan meghatározhatók bármely számítógéphez csatlakoztatott külső eszközök.
Jellemzők:
- Támogatja a Windows XP, Vista, 7, 8, 10 és más operációs rendszereket.
- Ez az eszköz automatikusan helyreállítja az értékes NTFS-adatokat.
- Integrálhatja a Microsoft Disk Manager segédprogrammal.
- Gyorsan illessze be az összes VSC-t (Volume Shadow Copies) a lemezen.
- Ez a program újjáépíti az aktív nyilvántartási adatbázist.
Link : https://arsenalrecon.com/products/
12) Volatilitási keretrendszer
A Volatilitási keretrendszer memóriaelemzési és kriminalisztikai szoftver. Segít tesztelni a rendszer futási idejét a RAM-ban található adatok felhasználásával. Ez az alkalmazás lehetővé teszi, hogy együttműködjön csapattársaival.
Jellemzők :
- API-val rendelkezik, amely lehetővé teszi a PTE (Page Table Entry) jelzők gyors keresését.
- A Volatilitási keretrendszer támogatja a KASLR-t (Kernel Address Space Layout Randomization).
- Ez az eszköz számos plugint kínál a Mac fájlok működésének ellenőrzéséhez.
- Automatikusan futtatja a Hiba parancsot, ha egy szolgáltatás nem indul el többször.
Link : https://www.volatilityfoundation.org
13) Xplico
Az Xplico egy nyílt forráskódú igazságügyi elemző alkalmazás. Támogatja a HTTP-t (Hypertext Transfer Protocol), az IMAP-ot (Internet Message Access Protocol) és még sok mást.
Jellemzők :
- A kimeneti adatokat az SQLite adatbázisban vagy a MySQL adatbázisban szerezheti be.
- Ez az eszköz valós idejű együttműködést biztosít.
- Nincs méretkorlát az adatbevitelre vagy a fájlok számára.
- Könnyen létrehozhat bármilyen diszpécsert a kinyert adatok hasznos módon történő rendezéséhez.
- Támogatja az IPv4-et és az IPv6-ot is.
- Tartalék DNS-keresést hajthat végre a bemeneti fájlokat tartalmazó DNS-csomagokból.
- Az Xplico biztosítja a PIPI (Port Independent Protocol Identification) funkciót a digitális kriminalisztika támogatásához.
Link : https://www.xplico.org
14) e-fense
Az e-fense egy olyan eszköz, amely segít kielégíteni a számítógép kriminalisztikai és kiberbiztonsági igényeit. Ez lehetővé teszi, hogy bármilyen eszközről fájlokat fedezzen fel egy egyszerűen használható felületen.
Jellemzők :
- Védelmet nyújt a rosszindulatú viselkedés, a hackelés és az irányelvsértések ellen.
- Internet-előzményeket, memóriát és képernyőrögzítést szerezhet a rendszerből USB-meghajtóra.
- Ennek az eszköznek egy egyszerűen használható felülete van, amely lehetővé teszi a vizsgálati cél elérését.
- Az E-fense támogatja a többszálas szálat, ami azt jelenti, hogy egyszerre több szálat is futtathat.
Link : http://www.e-fense.com/products.php
15) Crowdstrike
A Crowdstrike egy digitális törvényszéki szoftver, amely fenyegetésintelligenciát, végpontok biztonságát stb. Biztosítja. Gyorsan képes észlelni és helyreállítani a kiberbiztonsági eseményeket. Ezzel az eszközzel valós időben megtalálhatja és letilthatja a támadókat.
Jellemzők :
- Ez az eszköz segít a rendszer sebezhetőségének kezelésében.
- Automatikusan elemezni tudja a rosszindulatú programokat.
- Biztonságosan védheti virtuális, fizikai és felhőalapú adatközpontját.
Link : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/