Top 20 Trending Computer Forensics Tools of 2018
- introduktion
- hvad er computer forensics værktøjer?
- Hvad er arbejdet med en retsmedicinsk efterforsker?
- klassificering af retsmedicinske værktøjer
- volatilitet
- EnCase
- Mailsaminer
- FTK
- REGA
- Bulk emhætte
- ilt Forensics
- FireEye RedLine
- obduktion
- Trådbark
- USB skriveblokering
- K-måder Forensics
- bruges til at indsamle og analysere oplysninger, herunder bro.ser historie. Værktøjet er udviklet i Python 3.er tilgængelig for både vinduer og vinduer. Undersøgelsesomfanget er ikke begrænset til bro.serhistorik, det inkluderer også cookies, indstillinger for fuldmagt, internetformularer, bogmærker, cache, tilføjelser, gemte adgangskoder osv. Eksiftool
- Hashdeep
- Volafoks
- Chkrootkit
- sigt
- CAINE
- hvordan gavner det en organisation og en IT-Sikkerhedsekspert?
- konklusion
introduktion
ordet “Forensics” henviser til de teknikker, som efterforskerne bruger til at løse en forbrydelse. Hver opfindelse har sine fordele og ulemper. Computere og elektroniske enheder har udviklet sig meget hurtigere og bruges i moderne forbrydelser. Kunsten at efterforske en forbrydelse, udført med eller involverer computere, kaldes computer forensics. For at være præcis er det den teknik, der bruges til at udtrække og bevare beviser fra enhederne og derefter præsentere dem for retten. Computere er både et mål og et våben. Angribere har udviklet sig, de bruger sofistikerede computersystemer til at begå sådanne afskyelige phishing-forbrydelser (her er en ressource, der vil navigere dig gennem cybersikkerhedsangreb). Målet kan være et hjemmesystem, virksomhedsnetværk eller endda alle de computere, de kan oprette forbindelse til det. Med denne stigende kriminalitet, der involverer computere, er indsamling af beviser blevet en vigtig del. Dette kræver ekspert computer retsmedicinske fagfolk.
hvad er computer forensics værktøjer?
dette er de værktøjer, der er udviklet af programmører til at hjælpe med indsamling af digital bevis. Disse værktøjer har udviklet sig og kan udføre alle former for aktiviteter– fra grundlæggende til avanceret niveau. Forensic værktøjer kan kategoriseres på baggrund af den opgave, de udfører.
-
netværk retsmedicinske værktøjer
-
Databaseanalyseværktøjer
-
værktøj til filanalyse
-
Registreringsanalyseværktøjer
-
e-mail-analyseværktøjer
-
os analyseværktøjer
-
Disk og data capture
vi vil diskutere om 20 retsmedicinske værktøjer i detaljer senere i denne artikel.
Hvad er arbejdet med en retsmedicinsk efterforsker?
den vigtigste opgave for en retsmedicinsk efterforsker er at finde og bevare databeviset. Han bør være velbevandret med de procedurer og protokoller, der skal følges:
på gerningsstedet,
-
indsamling og håndtering af beviser
de indsamler og bevarer fysiske beviser og dokumenterer deres aktiviteter.
i laboratoriet,
-
Evidensanalyse
de undersøger, hvad de har samlet.
de forsøger at rekonstruere, hvad der skete.
i retten
-
evidens præsentation og rapportering
Følg strenge standarder, så deres arbejde er acceptabelt for retten. De kan kaldes for at vidne om deres resultater og metoder.
klassificering af retsmedicinske værktøjer
volatilitet
volatilitet er en open source-ramme, der bruges til at udføre volatile memory forensics. Den er skrevet i Python og understøtter næsten alle 32 og 64bit maskiner. Komplet liste over systemer understøttet af volatilitet kan findes på http://www.volatilityfoundation.org/faq
det kan udføre rekognoscering på proceslister, porte, netværksforbindelser, registreringsfiler, DLL ‘ er, crash dumps og cachelagrede sektorer. Det kan også analysere system dvale filer og kan tjekke for root kit tilstedeværelse samt. Du kan hente volatilitetsrammen fra https://code.google.com/archive/p/volatility/downloads
den er allerede til stede i kali under retsmedicinsk sektion. Nedenfor er et øjebliksbillede af volatilitet.
.jpg)
EnCase
Encase er et multifunktionelt retsmedicinsk efterforskningsværktøj. Det kan hjælpe retsmedicinske efterforskere på tværs af undersøgelsens livscyklus:
-
Forensic triage: prioritering af filerne til undersøgelsesbasis volatilitet og få andre parametre.
-
indsamling: Indsamling af digitale data uden at kompromittere integriteten.
-
dekryptere: evne til at analysere krypterede datafiler ved at dekryptere dem. Dette gøres ved hjælp af mekanismer til gendannelse af adgangskode.
-
proces: hjælper med at indeksere beviserne og automatisere almindelige opgaver, så tiden kan bruges på efterforskning snarere end processen.
-
Undersøg: det kan udføre undersøgelse for næsten alle vinduer og mobile operativsystemer.
-
rapport: Opret en rapport, der vil tjene alle publikum. Rapporten skal have rapporteringsskabeloner med forskellige formatindstillinger.
værktøjet er ikke gratis, og prisen kan rekvireres her: https://www.guidancesoftware.com/encase-forensic
Mailsaminer
som navnet antyder, bruges Mailsaminer til at udføre e-mailanalyse. Det kan undersøge e-mails fra både Internet-og applikationsbaserede mailklienter. Det hjælper efterforskeren med at indsamle e-mail-beviser, arrangere beviserne, søge i e-mails ved hjælp af forskellige avancerede muligheder som f.eks. Det har evnen til at opdage og rapportere uanstændige billedvedhæftninger ved hjælp af skintone-analyse. Det kan understøtte 20 + e-mail-formater og kan generere rapporten med beviser i det krævede format. Dette kan hjælpe med at afslutte sagen ved en domstol.
dette er ikke et gratis værktøj, men evalueringen version kan hentes fra: https://www.mailxaminer.com/
Billedkilde: https://lscnetwork.blog
FTK
FTK eller Forensic toolkit bruges til at scanne harddisken og kigge efter beviser. FTK er udviklet af AccessData og har et selvstændigt modul kaldet FTK Imager. Det kan bruges til at afbilde harddisken og sikre integriteten af dataene ved hjælp af hashing. Det kan billedet harddisken i en enkelt fil til filer i flere sektioner, der senere kan sammenføjes for at få et rekonstrueret billede. Efterforskere kan vælge mellem GUI eller kommandolinje som pr bekvemmelighed.
flere oplysninger om FTK kan tilgås på https://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGA bruges til at udføre vinduer registreringsdatabasen analyse. Den gratis version kan hentes fra http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
det er en GUI baseret program. Brugeren kan oprette en sag og indlæse registreringsdatabasen. Registreringsdatabasen kan søges ved hjælp af filtre eller manuelt ved hjælp af tidsstempler. REGA funktioner:
– dataindsamling: indsamle mål registry filer til optælling og analyse.
– gendannelse: Gendan registreringsdatabasen for slettede nøgler.
– analyse:
-
vinduer analyse: Ejer, installationsdata osv.
-
Storage analyse: konti til stede, køre kommandoer, bro.ser historie analyse (URL ‘ er).
-
Netværksforbindelsesanalyse: netværksdrevforbindelser osv.
-
Applikationsanalyse: liste over automatiske kørsler, applikationsbrugshistorik osv.
-
styring af SV og HV: Programmel og udstyrsinstallationer, forbindelser til lagerenheder.
– rapportering: Opret resultatrapporter i CSV-formater.
værktøjet er skrevet på C/C++ og er tilgængeligt på engelsk, koreansk og japansk.
Bulk emhætte
Bulk emhætte kan bruges til at udtrække vigtige oplysninger fra filer og harddiske. Værktøjet kan udføre en scanning uanset hierarkiet af filer. Bulk emhætte kommer installeret i Kali Linuks, kan det også installeres manuelt på andre OS.
Link til Git: https://github.com/simsong/bulk_extractor
Bulkudtræk opretter en outputmappe, der indeholder oplysninger om kreditkort, internetdomæner, e-mails, MAC-adresser, IP-adresser, billeder og videoer, URL ‘ er, telefonnumre, udførte søgninger osv.
ilt Forensics
ilt Forensic Suite bruges til at indsamle digitale beviser fra mobiltelefoner og cloud-tjenester, der anvendes på telefoner. Pakken kan omgå Android-skærmlås, få Placeringshistorik, udtrække data fra cloud-lagre, analysere opkald og dataposter, søge data nøgleord, gendanne slettede data og eksportere data til forskellige filformater. Det understøtter forskellige mobile platforme, herunder Android, Sony, Blackberry og iPhone.
det genererer let at forstå rapporter for lettere korrelation.
besøg officielle hjemmeside for mere info: https://www.oxygen-forensic.com/en/
Billedkilde: http://www.dataforensics.org
FireEye RedLine
RedLine var oprindeligt et produkt af Mandiant organisation, senere overtaget af FireEye. Dette er et gratis værktøj, der kan bruges til at udføre hukommelse og vært analyse for spor af infektion, eller enhver ondsindet aktivitet.
det kan bruges til at indsamle og korrelere oplysninger om de kørende processer, hukommelsesdrev, registreringsdatabasen, filsystemmetadata, hændelseslogfiler, internethistorik og netværksaktivitet. Det kan shortliste de processer ved hjælp af ondsindet risiko indeks score, og derefter undersøge dem yderligere.
Læs mere her: https://www.fireeye.com/services/freeware/redline.html
obduktion
obduktion er et open source digitalt retsmedicinsk program, det bruges til at udføre harddiskundersøgelser. Det bruges af forskellige retshåndhævende myndigheder, militær-og regerings-og virksomhedsundersøgere til at gennemføre digitale undersøgelser. Virksomheden leverer også brugerdefineret udvikling og træning for at hjælpe brugerne med at drage fuld fordel af værktøjet. Det er til stede for både vinduer og vinduer, og er også forudinstalleret i Kali.
vinduerne version kan hentes fra: https://www.autopsy.com/download/
værktøjet er bygget til brugervenlighed og til at give strækbarhed – brugeren kan tilpasse værktøjet, og er i stand til at tilføje ny funktionalitet ved at oprette plug-ins. Obduktion har 3 versioner fra nu af, og version 2 er afhængig af Sleuth Kit til at udføre diskanalyse.
yderligere information om Sleuth kit findes på: https://www.sleuthkit.org/autopsy/
Trådbark
Trådbark bruges til at registrere og analysere netværkstrafik. Dette gøres ved hjælp af libPcap og vinpcap, der fanger netværkspakkerne. Netværkspakkerne kan derefter analyseres for ondsindet aktivitet. Værktøjet giver mulighed for at filtrere trafikken ved hjælp af forskellige filtre, det gøres baseret på protokoller, strengtilstedeværelse osv.
værktøjet kan hentes på: https://www.wireshark.org/download.html
USB skriveblokering
som navnet antyder, bruges USB skriveblokering til retsmedicinsk undersøgelse af lagerdrev. Det maksimale, det kan analysere, er 2 TB. Det er en udstyrsenhed i modsætning til resten af de værktøjer, der diskuteres. Det bruges til at klone og analysere lagring, hvilket sikrer data ægthed.
Læs mere om USB skriv blocker på: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
K-måder Forensics
K-måder er et tysk produkt og har mange funktioner, det kan betragtes som et udtømmende værktøj. Værktøjet bruger ikke mange ressourcer sammenlignet med de funktioner, Det tilbyder. Det kan bruges til – diskbilleddannelse og analyse, analyse af forskellige diskformater, sagsstyring, registreringsvisning, metadataekstraktion osv.
for komplet funktionssæt se: http://www.x-ways.net/forensics/
bruges til at indsamle og analysere oplysninger, herunder bro.ser historie. Værktøjet er udviklet i Python 3.er tilgængelig for både vinduer og vinduer. Undersøgelsesomfanget er ikke begrænset til bro.serhistorik, det inkluderer også cookies, indstillinger for fuldmagt, internetformularer, bogmærker, cache, tilføjelser, gemte adgangskoder osv.
Eksiftool bruges til at indsamle og analysere metadataoplysninger fra forskellige billeder, lyd-og PDF-filer. Det er både tilgængeligt i kommandolinje-og GUI-versioner. Du skal blot udføre programmet for vinduer og træk & slip de filer, der skal analyseres. Listen over filformater, der kan analyseres med dette værktøj, er udtømmende. Den fulde liste er tilgængelig på: https://www.sno.phy.queensu.ca/~phil/exiftool/
værktøjet er hurtigt og lille i størrelse sammenlignet med den leverede funktionalitet.
Billedkilde: https://hvdwolf.github.io
bruges til at søge et binært billede af indlejrede filer i .eks kode. Værktøjet er i stand til at udtrække alle de filer, der findes i programmet for at udføre en streng søgning. Værktøjet er kraftigt nok, når det kombineres med forskellige andre værktøjer, og er et must i et retsmedicinsk efterforskerværktøjssæt.
Hashdeep
Hashdeep bruges til at generere, matche og udføre hash-revision. Andre programmer rapporterer, om en hash er matchet eller savnet, men Hashdeep kan give en detaljeret oversigt over det store billede. Det kan hjælpe os med at identificere matchede filer, ubesvarede filer, finde hash kollisioner og forskellige andre attributter af hashes. Hold dette med dig som integriteten af filerne er af allerstørste betydning i disse tilfælde.
Volafoks
Volafoks bruges til Mac OS-hukommelsesanalyse. Det kan hjælpe med at finde kerneudvidelser, indsamle kerneinformation, opgaveliste, opdage kroge, netværksliste, dumpe en fil fra hukommelsen, præsentere boot information og mange andre detaljer.
Chkrootkit
dette program bruges til at bestemme tilstedeværelsen af rootkits på et system. Programmet er i stand til at identificere tilstedeværelsen af mere end 60 rootkits. Dette vil være til stor hjælp i analysen af virusinfektion og tilfælde af netværkskompromis. Nye rootkits er skrevet for at omgå detektionsmekanismen, men rootkit-skrivning er en kunst, der er svær at mestre.
sigt
SANS Investigation forensic toolkit er en VM, der er forudindlæst med de nødvendige værktøjer til at udføre retsmedicinsk analyse. Det er perfekt til begyndere, da det sparer – værktøj fund, hentning og installationstid.
Billedkilde: https://www.andreafortuna.org/
CAINE
CAINE er en open source-distribution, der er udviklet specielt til digital forensics. Det har brugervenlig grafisk brugerflade og værktøjer. Se dette link for dybere indsigt i CAINE: https://www.caine-live.net/
Billedkilde: https://www.caine-live.net/
hvordan gavner det en organisation og en IT-Sikkerhedsekspert?
ondsindede aktiviteter sker dagligt i organisationer. Nogen klikkede på et ondsindet link, installerede et ondsindet program, besøgte phishing eller ondsindede hjemmesider osv. Det er efterforskernes ansvar at komme til årsagen til problemet og sikre, at kontrollen er på plads, så hændelsen ikke sker igen. En ondsindet hændelse kan bringe en virksomheds netværk ned på knæ, og derfor er en undersøgelse påkrævet. Hvad hvis en medarbejder fratræder en virksomhed eller er tiltalt for virksomhedsspionagesag. I sådanne tilfælde har organisationer brug for efterforskere til at udføre de digitale dybe dyk for at få sandheden frem.
det tager tid og erfaring at blive ekspert i retsmedicin. Efterforskeren skal have kritisk viden om det objekt, der undersøges. Enhver miss i samlingen eller analysen kan have alvorlig indflydelse på sagen. Eksperten skal være yderst forsigtig med at identificere, bevare og rapportere beviserne. Derfor er det ikke let at blive ekspert i retsmedicin, men store penge betales ikke for lette ting. Dette er en niche færdighed, der kræver forståelse af hver bit af systemet, og hvordan man bruger det som bevis. Der er også specialiserede kurser på området, hvis man er interesseret. Nogle virksomheder tilbyder træning for deres produkter, der bruges over hele verden. Et af produkterne er Encase. Virksomheden tilbyder certificering for Encase-certificeret retsmedicinsk efterforsker (overvej også at tjekke denne perfekte pakke med information til cissp-certificering).
konklusion
artiklen indeholder nogle af de populære retsmedicinske værktøjer. Værktøjerne er ikke arrangeret med hensyn til prioritet, da de tjener forskellige formål. Nogle er specielt designet til harddiskanalyse, nogle til mobile undersøgelser og så videre. I tilfælde af at du er ny inden for retsmedicin, kan du starte med individuelle værktøjer og tage et dybt dyk ind i hver enkelt. Du kan også starte med den forudbyggede VM og distributioner som CAINE, så du kan spare tid og lære mere. Sørg for, at du relaterer de oplysninger, der er identificeret med virkelige scenarier; f.eks. infektion, der spredes via en ondsindet lagerenhed tilsluttet, eller en CNC-forbindelse oprettet i netværkene. Du kan også søge efter mere retsmedicinske værktøjer og eksperimentere. Som kriminelle bliver avanceret med hver forbrydelse; virksomheder udvikler mere sofistikerede værktøjer, der kan fremskynde undersøgelsen, hvis de bruges af eksperter. Det punkt, der skal bemærkes her, er, at uanset hvor avanceret værktøjet bliver, kræver det et ekspert øje at identificere logikken og korrelere fakta.
Klik her for at starte din Cybersikkerhedskarriere
Eksiftool bruges til at indsamle og analysere metadataoplysninger fra forskellige billeder, lyd-og PDF-filer. Det er både tilgængeligt i kommandolinje-og GUI-versioner. Du skal blot udføre programmet for vinduer og træk & slip de filer, der skal analyseres. Listen over filformater, der kan analyseres med dette værktøj, er udtømmende. Den fulde liste er tilgængelig på: https://www.sno.phy.queensu.ca/~phil/exiftool/
værktøjet er hurtigt og lille i størrelse sammenlignet med den leverede funktionalitet.
Billedkilde: https://hvdwolf.github.io
bruges til at søge et binært billede af indlejrede filer i .eks kode. Værktøjet er i stand til at udtrække alle de filer, der findes i programmet for at udføre en streng søgning. Værktøjet er kraftigt nok, når det kombineres med forskellige andre værktøjer, og er et must i et retsmedicinsk efterforskerværktøjssæt.
Hashdeep
Hashdeep bruges til at generere, matche og udføre hash-revision. Andre programmer rapporterer, om en hash er matchet eller savnet, men Hashdeep kan give en detaljeret oversigt over det store billede. Det kan hjælpe os med at identificere matchede filer, ubesvarede filer, finde hash kollisioner og forskellige andre attributter af hashes. Hold dette med dig som integriteten af filerne er af allerstørste betydning i disse tilfælde.
Volafoks
Volafoks bruges til Mac OS-hukommelsesanalyse. Det kan hjælpe med at finde kerneudvidelser, indsamle kerneinformation, opgaveliste, opdage kroge, netværksliste, dumpe en fil fra hukommelsen, præsentere boot information og mange andre detaljer.
Chkrootkit
dette program bruges til at bestemme tilstedeværelsen af rootkits på et system. Programmet er i stand til at identificere tilstedeværelsen af mere end 60 rootkits. Dette vil være til stor hjælp i analysen af virusinfektion og tilfælde af netværkskompromis. Nye rootkits er skrevet for at omgå detektionsmekanismen, men rootkit-skrivning er en kunst, der er svær at mestre.
sigt
SANS Investigation forensic toolkit er en VM, der er forudindlæst med de nødvendige værktøjer til at udføre retsmedicinsk analyse. Det er perfekt til begyndere, da det sparer – værktøj fund, hentning og installationstid.
Billedkilde: https://www.andreafortuna.org/
CAINE
CAINE er en open source-distribution, der er udviklet specielt til digital forensics. Det har brugervenlig grafisk brugerflade og værktøjer. Se dette link for dybere indsigt i CAINE: https://www.caine-live.net/
Billedkilde: https://www.caine-live.net/
hvordan gavner det en organisation og en IT-Sikkerhedsekspert?
ondsindede aktiviteter sker dagligt i organisationer. Nogen klikkede på et ondsindet link, installerede et ondsindet program, besøgte phishing eller ondsindede hjemmesider osv. Det er efterforskernes ansvar at komme til årsagen til problemet og sikre, at kontrollen er på plads, så hændelsen ikke sker igen. En ondsindet hændelse kan bringe en virksomheds netværk ned på knæ, og derfor er en undersøgelse påkrævet. Hvad hvis en medarbejder fratræder en virksomhed eller er tiltalt for virksomhedsspionagesag. I sådanne tilfælde har organisationer brug for efterforskere til at udføre de digitale dybe dyk for at få sandheden frem.
det tager tid og erfaring at blive ekspert i retsmedicin. Efterforskeren skal have kritisk viden om det objekt, der undersøges. Enhver miss i samlingen eller analysen kan have alvorlig indflydelse på sagen. Eksperten skal være yderst forsigtig med at identificere, bevare og rapportere beviserne. Derfor er det ikke let at blive ekspert i retsmedicin, men store penge betales ikke for lette ting. Dette er en niche færdighed, der kræver forståelse af hver bit af systemet, og hvordan man bruger det som bevis. Der er også specialiserede kurser på området, hvis man er interesseret. Nogle virksomheder tilbyder træning for deres produkter, der bruges over hele verden. Et af produkterne er Encase. Virksomheden tilbyder certificering for Encase-certificeret retsmedicinsk efterforsker (overvej også at tjekke denne perfekte pakke med information til cissp-certificering).
konklusion
artiklen indeholder nogle af de populære retsmedicinske værktøjer. Værktøjerne er ikke arrangeret med hensyn til prioritet, da de tjener forskellige formål. Nogle er specielt designet til harddiskanalyse, nogle til mobile undersøgelser og så videre. I tilfælde af at du er ny inden for retsmedicin, kan du starte med individuelle værktøjer og tage et dybt dyk ind i hver enkelt. Du kan også starte med den forudbyggede VM og distributioner som CAINE, så du kan spare tid og lære mere. Sørg for, at du relaterer de oplysninger, der er identificeret med virkelige scenarier; f.eks. infektion, der spredes via en ondsindet lagerenhed tilsluttet, eller en CNC-forbindelse oprettet i netværkene. Du kan også søge efter mere retsmedicinske værktøjer og eksperimentere. Som kriminelle bliver avanceret med hver forbrydelse; virksomheder udvikler mere sofistikerede værktøjer, der kan fremskynde undersøgelsen, hvis de bruges af eksperter. Det punkt, der skal bemærkes her, er, at uanset hvor avanceret værktøjet bliver, kræver det et ekspert øje at identificere logikken og korrelere fakta.
Klik her for at starte din Cybersikkerhedskarriere
