Top 20 Trending Computer Forensics Tools of 2018

Úvod

slovo “forenzní” označuje techniky používané vyšetřovateli k řešení zločinu. Každý vynález má své klady i zápory. Počítače a elektronická zařízení se vyvíjely mnohem rychleji a používají se v moderních zločinech. Umění vyšetřování trestného činu, prováděné s počítači nebo zahrnující počítače, se nazývá počítačová forenzní analýza. Přesněji řečeno, jedná se o techniku používanou k získání a uchování důkazů ze zařízení a následné prezentaci u soudu. Počítače jsou cílem i zbraní. Útočníci se vyvinuli, používají sofistikované počítačové systémy k páchání takových ohavných phishingových zločinů (zde je zdroj, který vás provede kybernetickými bezpečnostními útoky). Cílem může být domácí systém, firemní síť nebo dokonce všechny počítače, ke kterým se mohou připojit. S touto rostoucí mírou kriminality zahrnující počítače, shromažďování důkazů se stalo důležitou součástí. To vyžaduje odborné počítačové forenzní odborníky.

co jsou počítačové forenzní nástroje?

Jedná se o nástroje, které byly vyvinuty programátory na podporu sběru digitálních důkazů. Tyto nástroje se vyvinuly a mohou provádět všechny druhy činností – od základní po pokročilou úroveň. Forenzní nástroje lze kategorizovat na základě úkolu, který vykonávají.

• Sítě Forenzní nástroje

• Databáze analytické nástroje

• Soubor analytických nástrojů

• Registru analytické nástroje

• E-mail analytické nástroje

• OS analytické nástroje

• Disk a data capture

Budeme diskutovat o 20 forenzní nástroje podrobněji později v tomto článku.

jaká je práce forenzního vyšetřovatele?

hlavním úkolem forenzního vyšetřovatele je najít a uchovat datové důkazy. Měl by být dobře obeznámeni s postupy a protokoly, jež mají být dodržovány:

Na místě činu,

• shromažďování Důkazů a manipulace

Oni shromáždit a zachovat fyzické důkazy, a dokumentovat jejich činnost.

v laboratoři,

• analýza důkazů

zkoumají, co shromáždili.

snaží se rekonstruovat, co se stalo.

V soudu

• Důkaz, prezentace a podávání zpráv

Dodržovat přísné standardy, takže jejich práce je přijatelné pro účetní. Mohou být povoláni, aby svědčili o svých zjištěních a metodách.

klasifikace forenzních nástrojů

volatilita

volatilita je open source rámec používaný k provádění těkavé forenzní paměti. Je napsán v Pythonu a podporuje téměř všechny 32 a 64bitové stroje. Úplný seznam systémů podporovaných volatilitou lze nalézt na http://www.volatilityfoundation.org/faq

může provádět průzkum na procesních seznamech, portech, síťových připojeních, souborech registru, DLL, skládkách a sektorech uložených v mezipaměti. Může také analyzovat soubory hibernace systému a může také zkontrolovat přítomnost kořenové sady. Rámec volatility si můžete stáhnout z https://code.google.com/archive/p/volatility/downloads

je již přítomen v Linuxu kali v sekci forenzní. Níže je snímek volatility.

EnCase

Encase je víceúčelový forenzní vyšetřovací nástroj. To může pomoci forenzní vyšetřovatelé celé šetření životního cyklu:

• Forenzní třídění: Prioritizace soubory pro vyšetřování základě volatility a několik dalších parametrů.

• sbírat: sběr digitálních dat bez ohrožení integrity.

• dešifrovat: schopnost analyzovat šifrované datové soubory jejich dešifrováním. To se provádí pomocí mechanismů obnovení hesla.

• proces: pomáhá při indexování důkazů a při automatizaci běžných úkolů, takže čas může být věnován spíše vyšetřování než procesu.

• vyšetřovat: může provádět vyšetřování téměř pro všechny operační systémy windows a mobilní.

• Report: Vytvořte sestavu, která bude sloužit všem divákům. Zpráva musí mít šablony hlášení s různými možnostmi formátu.

nástroj není zdarma a cena se můžete vyžádat zde: https://www.guidancesoftware.com/encase-forensic

MailXaminer

Jak už název napovídá, MailXaminer se používá k provedení e-mail analýzy. Může zkoumat e-maily z webových I aplikačních poštovních klientů. Pomáhá vyšetřovateli při shromažďování e-mailových důkazů, uspořádání důkazů, vyhledávání e-mailů pomocí různých pokročilých možností, jako je Regex. Má schopnost detekovat a hlásit obscénní obrazové přílohy pomocí analýzy skintone. Může podporovat 20 + e-mailových formátů a může generovat zprávu s důkazy v požadovaném formátu. To může pomoci při uzavření případu u soudu.

toto není bezplatný nástroj, ale zkušební verzi lze stáhnout z: https://www.mailxaminer.com/

zdroj obrázku: https://lscnetwork.blog

FTK

FTK nebo forenzní toolkit se používá ke skenování pevného disku a hledání důkazů. FTK je vyvinut AccessData a má samostatný modul s názvem FTK Imager. Může být použit k zobrazení pevného disku a zajištění integrity dat pomocí hashování. To může obraz pevný disk v jednom souboru pro soubory ve více sekcích, které mohou být později spojeny získat rekonstruovaný obraz. Vyšetřovatelé si mohou vybrat mezi GUI nebo příkazovým řádkem podle pohodlí.

více informací o FTK lze získat na https://accessdata.com/products-services/forensic-toolkit-ftk

REGA

REGA se používá pro provádění analýzy registru systému windows. Freeware verze lze stáhnout z http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip

jedná se o GUI aplikace. Uživatel může vytvořit případ a načíst registr. Registr lze vyhledávat pomocí filtrů nebo ručně pomocí časových razítek. REGA vlastnosti:

– sběr dat: sbírat cílové soubory registru pro výčet a analýzu.

– Obnova: obnovení registru odstraněných klíčů.

– analýza:

• analýza systému Windows: Vlastník, instalační data atd.

• analýza úložiště: přítomné účty, spouštění příkazů, analýza historie prohlížeče (adresy URL).

• analýza síťového připojení: připojení síťové jednotky atd.

• analýza aplikací: seznam automatických běhů, historie používání aplikací atd.

• správa SW a HW: instalace softwaru a hardwaru, připojení úložných zařízení.

– hlášení: vytvářejte zprávy o výsledcích ve formátech CSV.

nástroj je napsán v jazyce C/C++ a je k dispozici v angličtině, korejštině a japonštině.

Bulk Extractor

Bulk extractor lze použít pro extrahování důležitých informací ze souborů a pevných disků. Nástroj může provádět skenování bez ohledu na hierarchii souborů. Bulk Extractor je nainstalován v Kali Linuxu, lze jej také nainstalovat ručně na jiný operační systém.

odkaz na Git: https://github.com/simsong/bulk_extractor

Hromadné extractor vytvoří výstupní adresář, který obsahuje informace o kreditních karet, Internetových domén, e-maily, adresy MAC, IP adresy, Obrázky a videa, adresy URL, telefonní čísla, vyhledávání, atd.

Oxygen Forensics

Oxygen Forensic Suite se používá ke shromažďování digitálních důkazů z mobilních telefonů a cloudových služeb používaných v telefonech. Sada může obejít zámek obrazovky Android, Získat historii polohy, extrahovat data z cloudových úložišť, analyzovat záznamy hovorů a dat, klíčová slova pro vyhledávání dat, obnovit smazaná data a exportovat data do různých formátů souborů. Podporuje různé mobilní platformy včetně Android, Sony, Blackberry a iPhone.

vytváří snadno srozumitelné zprávy pro snadnější korelaci.

Navštivte oficiální webové stránky pro více informací: https://www.oxygen-forensic.com/en/

Image source: http://www.dataforensics.org

FireEye RedLine

RedLine byl původně produkt Mandiant organizace, později převzala společnost FireEye. Jedná se o freewarový nástroj, který lze použít k provádění analýzy paměti a hostitele pro stopy infekce nebo jakékoli škodlivé činnosti.

lze jej použít ke shromažďování a korelaci informací o spuštěných procesech, paměťových jednotkách, registru, metadatech souborového systému, protokolech událostí, historii webu a síťové aktivitě. To může do užšího výběru procesů pomocí malware risk index skóre, a pak je dále zkoumat.

více zde: https://www.fireeye.com/services/freeware/redline.html

Pitva

Pitva je open source digitální forenzní software, používá se pro provádění pevný disk vyšetřování. Používají jej různé donucovací orgány, vojenští a vládní a firemní vyšetřovatelé k provádění digitálních vyšetřování. Společnost také poskytuje vlastní vývoj a školení, aby uživatelům pomohla plně využít tohoto nástroje. Je k dispozici pro Windows i Linux a je předinstalován také v Kali Linuxu.

windows verzi lze stáhnout z: https://www.autopsy.com/download/

nástroj je postaven pro snadné použití a poskytují rozšiřitelnost – uživatel může přizpůsobit nástroje, a je schopna přidat nové funkce vytvoření pluginů. Autopsy má 3 verze od nynějška a verze 2 spoléhá na sadu Sleuth k provedení analýzy disku.

další informace o sadě Sleuth jsou k dispozici na adrese: https://www.sleuthkit.org/autopsy/

Wireshark

Wireshark se používá k zachycení a analýze síťového provozu. To se provádí pomocí libPcap a winPcap, který zachycuje síťové pakety. Síťové pakety pak mohou být analyzovány na škodlivou aktivitu. Nástroj nabízí možnost filtrovat provoz pomocí různých filtrů, provádí se na základě protokolů, přítomnosti řetězců atd.

nástroj lze stáhnout na: https://www.wireshark.org/download.html

USB Write Blocker

Jak už název napovídá, USB write blocker se používá pro forenzní vyšetřování skladování disků. Maximum, které může analyzovat, je 2TB. Jedná se o hardwarové zařízení na rozdíl od ostatních nástrojů, o kterých se diskutuje. Používá se k klonování a analýze úložiště a zajišťuje pravost dat.

Přečtěte si více o USB write blocker na: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/

X-Ways Forenzní

X-způsobů je německý výrobek a má mnoho funkcí, to může být považován za vyčerpávající nástroj. Nástroj nepoužívá mnoho zdrojů ve srovnání s funkcemi, které nabízí. Lze jej použít pro-zobrazování a analýzu disků, analýzu různých formátů disků, správu případů, zobrazení registru, extrakci metadat atd.

Pro kompletní sadu funkcí, viz: http://www.x-ways.net/forensics/

DumpZilla

Dumpzilla se používá k shromažďovat a analyzovat informace o prohlížeči, včetně historie prohlížeče. Nástroj je vyvíjen v Pythonu 3.x a je k dispozici pro windows i linux. Rozsah vyšetřování není omezen na historii prohlížeče, zahrnuje také soubory cookie, nastavení proxy, webové formuláře, záložky, mezipaměť, doplňky, uložená hesla atd.

ExifTool

ExifTool se používá ke shromažďování a analýze informací metadat z různých obrázků, zvukových a PDF souborů. Je k dispozici ve verzích příkazového řádku a GUI. Jednoduše spusťte aplikaci pro windows a přetáhněte & přetáhněte soubory, které mají být analyzovány. Seznam formátů souborů, které lze pomocí tohoto nástroje analyzovat, je vyčerpávající. Úplný seznam je k dispozici na adrese: https://www.sno.phy.queensu.ca/~phil/exiftool/

nástroj je rychlý a malý ve srovnání s poskytovanými funkcemi.

Image source: https://hvdwolf.github.io

Binwalk

Binwalk se používá pro vyhledávání binární obraz vložené soubory .exe kód. Nástroj je schopen extrahovat všechny soubory přítomné ve firmwaru a provést vyhledávání řetězců. Nástroj je dostatečně výkonný, když je spojen s různými dalšími nástroji, a je nutností v sadě nástrojů forenzního vyšetřovatele.

Hashdeep

Hashdeep se používá pro generování, zápas a provádět hash auditu. Jiné programy budou hlásit, pokud je hash shodný nebo zmeškaný, ale Hashdeep může poskytnout podrobný pohled na celkový obraz. Může nám pomoci identifikovat shodné soubory, Zmeškané soubory, najít kolize hash a různé další atributy hash. Mějte to s sebou, protože integrita souborů je v těchto případech nanejvýš důležitá.

Volafox

Volafox se používá pro analýzu paměti MAC OS X. Může pomoci při hledání rozšíření jádra, shromažďování informací o jádře, seznam úkolů, detekce háčků, seznam sítí, dumping souboru z paměti, prezentace zaváděcích informací a mnoho dalších podrobností. To je musí mít, pokud šetření cíl je MAC OS X.

Chkrootkit

Tento program se používá ke zjištění přítomnosti rootkitů v systému. Program je schopen identifikovat přítomnost více než 60 rootkitů. To bude velkou pomocí při analýze infekce malwarem a případů kompromisů v síti. Nové rootkity jsou psány, aby obešly detekční mechanismus, ale psaní rootkitů je umění, které je těžké zvládnout.

SIFT

sans Investigation forensic toolkit je VM, který je předem načten nástroji potřebnými k provádění forenzní analýzy. Je ideální pro začátečníky, protože šetří-hledání nástrojů, stahování a instalace.

zdroj obrázku: https://www.andreafortuna.org/

CAINE

CAINE je open source distribuce Linuxu, který byl vyvinut speciálně pro digitální forenzní. Má uživatelsky přívětivé grafické rozhraní a nástroje. Viz tento odkaz pro hlubší vhled do CAINE: https://www.caine-live.net/

Image source: https://www.caine-live.net/

Jak to přínosem pro organizace a IT security expert?

škodlivé činnosti se v organizacích dějí denně. Někdo klikl na škodlivý odkaz, nainstaloval škodlivý software, navštívil phishing nebo škodlivé webové stránky atd. Je odpovědností vyšetřovatelů dostat se k hlavní příčině problému a zajistit, aby byly zavedeny kontroly, aby se incident neopakoval. Malware incident může přinést síť společnosti na kolena, a proto je nutné vyšetřování. Co když zaměstnanec odstoupí ze společnosti nebo je obviněn z případu firemní špionáže. V takových případech organizace potřebují vyšetřovatele, aby provedli digitální hluboké ponory, aby odhalili pravdu.

stát se odborníkem v forenzní oblasti vyžaduje čas a zkušenosti. Vyšetřovatel by měl mít kritické znalosti o zkoumaném objektu. Jakákoli chyba ve sbírce nebo analýze může mít vážný dopad na případ. Při identifikaci, uchovávání a vykazování důkazů musí odborník věnovat mimořádnou pozornost. Proto, stát se odborníkem na forenzní není snadné, ale velké peníze se neplatí za snadné věci. Jedná se o specializovanou dovednost, která vyžaduje pochopení každého bitu systému a jak jej použít jako důkaz. Existují specializované kurzy v oboru stejně, pokud má zájem. Některé společnosti nabízejí školení pro své výrobky používané po celém světě. Jedním z produktů je obal. Společnost nabízí certifikaci pro Encase certified Forensic Investigator (zvažte také kontrolu tohoto dokonalého balíku informací pro certifikaci cissp).

závěr

článek obsahuje některé z populárních forenzních nástrojů. Nástroje nejsou uspořádány s ohledem na prioritu, protože slouží různým účelům. Některé jsou speciálně navrženy pro analýzu pevného disku, některé pro mobilní vyšetřování a tak dále. V případě, že jste na forenzní můžete začít s jednotlivými nástroji, přičemž hluboký ponor do každého z nich. Můžete také začít s pre-postavený VM a distribucí, jako je CAINE, takže můžete ušetřit čas a dozvědět se více. Ujistěte se, že spojujete informace identifikované se scénáři v reálném světě; např. infekce se šíří prostřednictvím připojeného škodlivého paměťového zařízení nebo prostřednictvím připojení CNC vytvořeného v sítích. Můžete také hledat další forenzní nástroje a experimentovat. Jak zločinci postupují s každým zločinem; společnosti vyvíjejí sofistikovanější nástroje, které mohou urychlit vyšetřování, pokud je používají odborníci. Zde je třeba poznamenat, že bez ohledu na to, jak pokročilý je nástroj, vyžaduje odborné oko, aby identifikovalo logiku a korelovalo fakta.

Klikněte zde a Nastartujte svou kariéru v oblasti kybernetické bezpečnosti