Цифрова криміналістика - це процес збереження, ідентифікації, вилучення та документування комп’ютерних доказів, який може бути використаний судом. Є багато інструментів, які допоможуть вам зробити цей процес простим і легким. Ці програми надають повні звіти, які можуть бути використані для юридичних процедур.
Далі наведено підібраний перелік Цифрових криміналістичних інструментаріїв з їх популярними функціями та посиланнями на веб-сайти. Список містить як відкрите (безкоштовне), так і комерційне (платне) програмне забезпечення.
1) ProDiscover Forensic
ProDiscover Forensic - це програма для комп'ютерної безпеки, яка дозволяє знаходити всі дані на комп'ютерному диску. Він може захищати докази та створювати якісні звіти для використання юридичних процедур. Цей інструмент дозволяє витягувати інформацію EXIF (формат обмінного файлу зображення) із файлів JPEG.webp.
Особливості :
- Цей виріб підтримує файлові системи Windows, Mac та Linux.
- Ви можете швидко переглядати та шукати підозрілі файли.
- Він створює копію всього підозрюваного диска для збереження оригінальних доказів.
- Цей інструмент допоможе вам переглянути історію Інтернету.
- Ви можете імпортувати або експортувати зображення формату .dd.
- Це дозволяє додавати коментарі до підтвердження своєї зацікавленості.
- ProDiscover Forensic підтримує VMware для запуску захопленого зображення.
Посилання : https://www.prodiscover.com
2) Набір Sleuth (+ розтин)
Sleuth Kit (+ розтин) - це утиліта на базі Windows, яка полегшує судовий аналіз комп'ютерних систем. Цей інструмент дозволяє перевірити жорсткий диск та смартфон.
Особливості :
- Ви можете ідентифікувати діяльність за допомогою графічного інтерфейсу ефективно.
- Ця програма забезпечує аналіз електронних листів.
- Ви можете групувати файли за їх типом, щоб знайти всі документи або зображення.
- Він відображає мініатюру зображень для швидкого перегляду зображень.
- Ви можете позначати файли довільними назвами тегів.
- Набір Sleuth дозволяє отримувати дані з журналів дзвінків, SMS, контактів тощо.
- Це допоможе вам позначити файли та папки на основі шляху та імені.
Посилання : https://www.sleuthkit.org
3) КЕЙН
CAINE - це програма на базі Ubuntu, яка пропонує повне криміналістичне середовище, що забезпечує графічний інтерфейс. Цей інструмент може бути інтегрований до існуючих програмних засобів як модуль. Він автоматично витягує часову шкалу з оперативної пам'яті.
Особливості :
- Він підтримує цифрового дослідника протягом чотирьох фаз цифрового розслідування.
- Він пропонує зручний інтерфейс.
- Ви можете налаштувати функції CAINE.
- Це програмне забезпечення пропонує численні зручні інструменти.
Посилання : https://www.caine-live.net
4) ПАЛАДІН
PALADIN - це інструмент на базі Ubuntu, який дозволяє спростити цілий ряд криміналістичних завдань. Він надає понад 100 корисних інструментів для розслідування будь-яких шкідливих матеріалів. Цей інструмент допомагає спростити ваше судово-медичне завдання швидко та ефективно.
Особливості :
- Він надає як 64-розрядні, так і 32-розрядні версії.
- Цей інструмент доступний на флеш-накопичувачі USB.
- У цьому наборі інструментів є інструменти з відкритим кодом, які допомагають легко шукати необхідну інформацію.
- Цей інструмент містить понад 33 категорії, які допомагають вам виконати кібер-криміналістичне завдання.
Посилання : https://sumuri.com/software/paladin/
5) EnCase
Encase - це програма, яка допоможе вам відновити дані з жорстких дисків. Це дозволяє провести поглиблений аналіз файлів для збору доказів, таких як документи, малюнки тощо.
Особливості :
- Ви можете отримувати дані з численних пристроїв, включаючи мобільні телефони, планшети тощо.
- Це дає змогу складати повні звіти для збереження цілісності доказів.
- Ви можете швидко здійснити пошук, ідентифікацію, а також встановити пріоритети доказів.
- Судова криміналістика допомагає розблокувати зашифровані докази.
- Це автоматизує підготовку доказів.
- Ви можете виконати глибокий і сортувальний (важкість та пріоритет дефектів) аналіз.
Посилання : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT - це комп’ютерна криміналістична дистрибуція на базі Ubuntu. Він забезпечує цифрову криміналістичну експертизу та реагування на аварії.
Особливості :
- Він може працювати в 64-розрядної операційної системи.
- Цей інструмент допомагає користувачам краще використовувати пам’ять.
- Він автоматично оновлює пакет DFIR (Digital Forensics and Incident Response).
- Ви можете встановити його за допомогою інсталятора SIFT-CLI (інтерфейс командного рядка).
- Цей інструмент містить численні новітні криміналістичні інструменти та методи.
Посилання : https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
FTK Imager - це судово-медичний набір інструментів, розроблений компанією AccessData, який можна використовувати для отримання доказів. Він може створювати копії даних, не вносячи змін до оригінальних доказів. Цей інструмент дозволяє вказати критерії, такі як розмір файлу, розмір пікселів та тип даних, щоб зменшити кількість нерелевантних даних.
Особливості :
- Він забезпечує підхід майстра для виявлення кіберзлочинності.
- Ця програма пропонує кращу візуалізацію даних за допомогою діаграми.
- Ви можете відновити паролі з більш ніж 100 програм.
- Він має вдосконалений та автоматизований засіб аналізу даних.
- FTK Imager допомагає управляти профілями багаторазового використання для різних вимог розслідування.
- Він підтримує доопрацювання до та після обробки.
Посилання : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Захоплення ОЗУ магнітом
Захоплення оперативної пам'яті магнітом записує пам'ять підозрюваного комп'ютера. Це дозволяє слідчим відновлювати та аналізувати цінні предмети, які знаходяться в пам'яті.
Особливості :
- Ви можете запустити цю програму, мінімізуючи перезаписані дані в пам'яті.
- Це дозволяє експортувати захоплені дані пам'яті та завантажувати їх в інструменти аналізу, такі як магніт AXIOM та магніт IEF.
- Ця програма підтримує широкий спектр операційних систем Windows.
- Захоплення оперативної пам'яті Magnet підтримує придбання оперативної пам'яті
Посилання : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways - це програмне забезпечення, яке забезпечує робоче середовище для судових експертів з комп'ютерів. Ця програма підтримує клонування та обробку зображень. Це дозволяє співпрацювати з іншими людьми, які мають цей інструмент.
Особливості :
- Він має можливість читати розділи та структури файлової системи всередині файлів зображень .dd.
- Ви можете отримати доступ до дисків, RAID (надлишковий масив незалежних дисків) тощо.
- Він автоматично визначає втрачені або видалені розділи.
- Цей інструмент може легко виявити NTFS (Нова технологічна файлова система) та ADS (Альтернативні потоки даних).
- X-Ways Forensics підтримує закладки або анотації.
- Він має можливість аналізу віддалених комп’ютерів.
- Ви можете переглядати та редагувати двійкові дані за допомогою шаблонів.
- Він забезпечує захист від запису для збереження автентичності даних.
Посилання : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark - це інструмент, який аналізує мережевий пакет. Він може бути використаний для тестування мережі та усунення несправностей. Цей інструмент допомагає перевірити різний трафік, що проходить через вашу комп’ютерну систему.
Особливості :
- Він забезпечує багатий VoIP (Voice over Internet Protocol) аналіз.
- Захоплені файли, стиснуті за допомогою gzip, можна легко розпакувати.
- Вихідні дані можна експортувати у файл XML (розширювана мова розмітки), файл CSV (розділені комами значення) або звичайний текст.
- Дані в режимі реального часу можна читати з мережі, "блакитних зубів", банкоматів, USB тощо.
- Підтримка розшифровки численних протоколів, які включають IPsec (Інтернет-протокол безпеки), SSL (рівень захищених сокетів) та WEP (дротовий еквівалент конфіденційності).
- Ви можете застосувати до пакета інтуїтивний аналіз, правила забарвлення.
- Дозволяє читати або записувати файл у будь-якому форматі.
Посилання : https://www.wireshark.org
11) Реєстрація реєстру
Registry Recon - це інструмент комп'ютерної криміналістики, який використовується для вилучення, відновлення та аналізу даних реєстру з ОС Windows. Ця програма може бути використана для ефективного визначення зовнішніх пристроїв, які були підключені до будь-якого ПК.
Особливості:
- Він підтримує Windows XP, Vista, 7, 8, 10 та інші операційні системи.
- Цей інструмент автоматично відновлює цінні дані NTFS.
- Ви можете інтегрувати його з утилітою Microsoft Disk Manager.
- Швидко підключіть усі VSC (Volume Shadow Copies) до VSC на диску.
- Ця програма відновлює активну базу даних реєстру.
Посилання : https://arsenalrecon.com/products/
12) Система волатильності
Volatility Framework - це програмне забезпечення для аналізу пам'яті та криміналістики. Це допоможе вам перевірити стан виконання системи, використовуючи дані, знайдені в оперативній пам’яті. Ця програма дозволяє співпрацювати зі своїми товаришами по команді.
Особливості :
- Він має API, який дозволяє швидко шукати прапори PTE (запис таблиці сторінок).
- Volatility Framework підтримує KASLR (рандомізація макета адресного простору ядра).
- Цей інструмент надає численні плагіни для перевірки роботи файлів Mac.
- Він автоматично запускає команду Failure, коли сервіс не вдається запустити кілька разів.
Посилання : https://www.volatilityfoundation.org
13) Xplico
Xplico - це програма криміналістичного аналізу з відкритим кодом. Він підтримує HTTP (протокол передачі гіпертексту), IMAP (протокол доступу до Інтернет-повідомлень) тощо.
Особливості :
- Вихідні дані можна отримати в базі даних SQLite або MySQL.
- Цей інструмент забезпечує співпрацю в режимі реального часу.
- Без обмеження розміру на введення даних або кількість файлів.
- Ви можете легко створити будь-який диспетчер, щоб впорядковувати витягнуті дані корисним чином.
- Він підтримує як IPv4, так і IPv6.
- Ви можете виконати резервний пошук DNS із пакетів DNS, що мають вхідні файли.
- Xplico надає функцію PIPI (Ідентифікація протоколу, незалежна від порту) для підтримки цифрової криміналістики.
Посилання : https://www.xplico.org
14) e-fense
E-fense - це інструмент, який допомагає задовольнити потреби вашої комп'ютерної криміналістики та кібербезпеки. Це дозволяє вам знаходити файли з будь-якого пристрою в одному простому у використанні інтерфейсі.
Особливості :
- Він захищає від зловмисної поведінки, злому та порушень політики.
- Ви можете отримати історію Інтернету, пам’ять та знімок екрану із системи на флеш-накопичувач USB.
- Цей інструмент має простий у використанні інтерфейс, який дозволяє досягти мети розслідування.
- E-fense підтримує багатопотоковість, це означає, що ви можете виконувати більше одного потоку одночасно.
Посилання : http://www.e-fense.com/products.php
15) Краудстрік
Crowdstrike - це цифрове криміналістичне програмне забезпечення, яке забезпечує розвідку загроз, захист кінцевих точок тощо. Він може швидко виявляти та відновлювати ситуації, пов'язані з кібербезпекою. Ви можете використовувати цей інструмент для пошуку та блокування зловмисників у режимі реального часу.
Особливості :
- Цей інструмент допомагає вам керувати системними вразливостями.
- Він може автоматично аналізувати шкідливе програмне забезпечення.
- Ви можете захистити свій віртуальний, фізичний та хмарний центр обробки даних.
Посилання : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/