top 20 Trending Computer Forensics Tools of 2018
- Introduction
- Mitä ovat rikostekniset välineet?
- mikä on rikostutkijan työ?
- rikosteknisten työkalujen luokittelu
- volatiliteetti
- EnCase
- Mailxamineria
- FTK
- REGA
- Bulk Extractor
- Oxygen Forensics
- FireEye RedLine
- ruumiinavaus
- Wireshark
- USB Write Blocker
- X-Ways Forensics
- DumpZilla
- ExifTool
- Binwalk
- Hashdeep
- Volafox
- Chkrootkit
- SIFT
- CAINE
- miten se hyödyttää organisaatiota ja tietoturva-asiantuntijaa?
- johtopäätös
Introduction
sana “Forensics” viittaa tekniikoihin, joita tutkijat käyttävät rikoksen selvittämisessä. Jokaisella keksinnöllä on hyvät ja huonot puolensa. Tietokoneet ja elektroniset laitteet ovat kehittyneet paljon nopeammin, ja niitä käytetään nykyaikaisissa rikoksissa. Rikoksen tutkimisen taitoa, joka suoritetaan tietokoneilla tai liittyy niihin, kutsutaan tietokonetutkinnaksi. Tarkemmin sanottuna kyse on tekniikasta, jolla laitteista otetaan ja säilytetään todistusaineistoa ja esitetään se myöhemmin oikeudessa. Tietokoneet ovat sekä kohde että ase. Hyökkääjät ovat kehittyneet, he käyttävät kehittyneitä tietokonejärjestelmiä tehdäkseen tällaisia inhottavia tietojenkalastelurikoksia (tässä on resurssi, joka navigoi sinut kyberturvallisuushyökkäysten kautta). Kohde voi olla kotijärjestelmä, yritysverkko tai jopa kaikki tietokoneet, joihin he voivat liittää sen. Tämän tietokoneisiin liittyvän rikollisuuden lisääntyessä todisteiden keräämisestä on tullut tärkeä osa. Tähän tarvitaan tietotekniikan asiantuntijoita.
Mitä ovat rikostekniset välineet?
nämä ovat ohjelmoijien kehittämiä työkaluja digitaalisen todisteiden keräämisen avuksi. Nämä työkalut ovat kehittyneet ja voivat suorittaa kaikenlaisia toimintoja– perus-etukäteen tasolla. Rikostekniset työkalut voidaan luokitella niiden suorittaman tehtävän perusteella.
-
Verkko rikostekniset työkalut
-
tietokannan analysointityökalut
-
Tiedostoanalyysityökalut
-
rekisterin analysointityökalut
-
sähköpostin analysointityökalut
-
käyttöjärjestelmän analysointityökalut
-
levyn ja tietojen talteenotto
käsittelemme noin 20 rikostekniset työkalut yksityiskohtaisesti myöhemmin tässä artikkelissa.
mikä on rikostutkijan työ?
oikeuslääketieteellisen tutkijan tärkein tehtävä on löytää ja säilyttää tietoaineistoa. Hänen tulisi olla hyvin perillä noudatettavista menettelyistä ja protokollista:
rikospaikalla,
-
todisteiden kerääminen ja käsittely
he keräävät ja säilyttävät fyysisiä todisteita ja dokumentoivat toimintansa.
laboratoriossa,
-
Todistusanalyysi
he tutkivat, mitä ovat keränneet.
he yrittävät rekonstruoida tapahtunutta.
oikeudessa
-
näytön esittäminen ja raportointi
noudata tiukkoja standardeja, jotta heidän työnsä on hyväksyttävä tuomioistuimessa. Heidät voidaan kutsua todistamaan havainnoistaan ja menetelmistään.
rikosteknisten työkalujen luokittelu
volatiliteetti
volatiliteetti on avoimen lähdekoodin kehys, jota käytetään volatiilisen muistin rikosteknisessä tutkimuksessa. Se on kirjoitettu Python-kielellä ja tukee lähes kaikkia 32-ja 64-bittisiä koneita. Täydellinen luettelo volatiliteetin tukemista järjestelmistä löytyy osoitteesta http://www.volatilityfoundation.org/faq
se voi suorittaa tiedustelua prosessilistoilla, porteilla, verkkoyhteyksillä, rekisteritiedostoilla, DLL: llä, kaatopaikoilla ja välimuistisektoreilla. Se voi myös analysoida järjestelmän lepotilaan tiedostoja ja voi tarkistaa root kit läsnäolo samoin. Volatiliteettikehyksen voi ladata osoitteesta https://code.google.com/archive/p/volatility/downloads
se on jo Linux kalissa rikosteknisessä osiossa. Alla on tilannekuva volatiliteetista.
.jpg)
EnCase
Encase on monikäyttöinen rikostekninen tutkimusväline. Se voi auttaa rikostutkijoita koko tutkimuksen elinkaaren ajan:
-
rikostekninen triage: priorisointi tiedostot tutkimuksen perusteella volatiliteetti ja muutamia muita parametreja.
-
kerää: digitaalisen datan kerääminen eheydestä tinkimättä.
-
salauksen purkaminen: kyky analysoida salattuja tiedostoja purkamalla ne. Tämä tapahtuu käyttämällä salasanan palautusmekanismeja.
-
prosessi: auttaa todistusaineiston indeksoinnissa ja yhteisten tehtävien automatisoinnissa niin, että aikaa voidaan käyttää tutkimiseen prosessin sijaan.
-
tutkia: se voi suorittaa tutkimuksen lähes kaikille windows-ja mobiilikäyttöjärjestelmille.
-
raportti: Luo raportti, joka palvelee kaikkia yleisöä. Raportissa on oltava raportointimalleja, joissa on erilaisia formaattivaihtoehtoja.
työkalu ei ole ilmainen ja hintaa voi pyytää täältä: https://www.guidancesoftware.com/encase-forensic
Mailxamineria
nimensä mukaisesti Mailxamineria käytetään sähköpostianalyysin tekemiseen. Se voi tutkia sähköposteja sekä web-ja sovellus perustuu sähköpostiohjelmat. Se auttaa tutkijaa keräämään sähköpostitodisteita, järjestämään todisteita, etsimään sähköposteja käyttäen erilaisia lisävaihtoehtoja, kuten Regex. Se pystyy havaitsemaan ja raportoimaan säädyttömiä kuvanliitteitä skintone-analyysin avulla. Se voi tukea 20 + email formaatteja ja voi luoda raportin todisteita vaaditussa muodossa. Tämä voi auttaa asian ratkaisemisessa tuomioistuimessa.
tämä ei ole ilmainen työkalu, mutta arviointiversion voi ladata osoitteesta: https://www.mailxaminer.com/
kuvalähde: https://lscnetwork.blog
FTK
FTK tai Forensic toolkit käytetään kiintolevyn skannaamiseen ja todisteiden etsimiseen. FTK on Accessdatan kehittämä ja siinä on itsenäinen moduuli nimeltä FTK Imager. Sitä voidaan käyttää kiintolevyn kuvaamiseen varmistaen tietojen eheyden tiivistämällä. Se voi kuvata kiintolevyn yhtenä tiedostona useiden osioiden tiedostoille,jotka voidaan myöhemmin yhdistää rekonstruoida kuva. Tutkijat voivat valita GUI tai komentorivi kohti mukavuutta.
lisätietoja FTK: sta saa osoitteesta https://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGAA käytetään Windowsin rekisterin analysointiin. Freeware-version voi ladata osoitteesta http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
se on GUI-pohjainen sovellus. Käyttäjä voi luoda kotelon ja ladata rekisterin. Rekisteriä voi etsiä suodattimilla tai manuaalisesti aikaleimoilla. REGA-ominaisuudet:
– tiedonkeruu: kerää kohderekisteritiedostot laskentaa ja analysointia varten.
– Recovery: Recover registry for deleted keys.
– analyysi:
-
Windows-analyysi: Omistaja, asennustiedot jne.
-
Tallennusanalyysi: läsnä olevat tilit, suorita komentoja, selaimen historiananalyysi (URL).
-
Verkkoyhteysanalyysi: verkkoasemayhteydet jne.
-
Sovellusanalyysi: luettelo automaattisista suorituksista, sovelluksen käyttöhistoriasta jne.
-
SW-ja HW-hallinta: ohjelmisto-ja laitteistoasennukset, tallennuslaitteiden liitännät.
– raportointi: luo tulosraportit CSV-muodossa.
työkalu on kirjoitettu C / C++ kielellä ja se on saatavilla englannin, Korean ja Japanin kielillä.
Bulk Extractor
Bulk extractor voidaan käyttää tärkeiden tietojen ottamiseen tiedostoista ja kiintolevyiltä. Työkalu voi suorittaa skannauksen riippumatta tiedostojen hierarkiasta. Bulk Extractor on asennettu Kali Linuxiin, se voidaan asentaa myös manuaalisesti muihin käyttöjärjestelmiin.
linkki Git: hen: https://github.com/simsong/bulk_extractor
Bulk extractor luo tulostehakemiston, joka sisältää tietoja luottokortista, Internet-verkkotunnuksista, sähköposteista, MAC-osoitteista, IP-osoitteista, kuvista ja videoista, URL-osoitteista, puhelinnumeroista, suoritetuista hauista jne.
Oxygen Forensics
Oxygen Forensic Suitea käytetään digitaalisen todistusaineiston keräämiseen kännyköistä ja puhelimissa käytettävistä pilvipalveluista. Sviitti voi ohittaa Android näytön lukitus, saada sijaintihistoria, poimia tietoja pilvi varastoista, analysoida puhelu-ja tietueita, hakutiedot avainsanoja, palauttaa poistetut tiedot ja viedä tietoja eri tiedostomuotoja. Se tukee erilaisia mobiilialustoja, kuten Android, Sony, Blackberry ja iPhone.
se tuottaa helposti ymmärrettäviä raportteja, jotka helpottavat korrelaatiota.
Katso lisätietoja virallisilta verkkosivuilta: https://www.oxygen-forensic.com/en/
Kuvanlähde: http://www.dataforensics.org
FireEye RedLine
RedLine oli alun perin Mandiant Organizationin tuote, jonka FireEye otti myöhemmin haltuunsa. Tämä on ilmaisohjelmatyökalu, jota voidaan käyttää muistin ja isäntäanalyysin suorittamiseen tartunnan tai minkä tahansa haitallisen toiminnan jäljiltä.
sen avulla voidaan kerätä ja korreloida tietoja käynnissä olevista prosesseista, muistiasemista, rekisteristä, tiedostojärjestelmän metadatasta, tapahtumalokeista, web-historiasta ja verkon toiminnasta. Se voi oikolistaa prosessit käyttämällä malware risk index score, ja sitten tutkia niitä edelleen.
Lue lisää täältä: https://www.fireeye.com/services/freeware/redline.html
ruumiinavaus on avoimen lähdekoodin digitaalinen rikostekninen ohjelmisto, jota käytetään kiintolevytutkimusten tekemiseen. Sitä käyttävät useat lainvalvontaviranomaiset, armeija sekä valtion ja yritysten tutkijat digitaalisiin tutkimuksiin. Yritys tarjoaa myös räätälöintiä ja koulutusta, joiden avulla käyttäjät voivat hyödyntää työkalua täysimääräisesti. Se on läsnä sekä Windowsille että Linuxille, ja se on esiasennettuna myös Kali Linuxissa.
windows-version voi ladata osoitteesta: https://www.autopsy.com/download/
työkalu on rakennettu helppokäyttöisyys ja tarjota laajennettavuus – käyttäjä voi muokata työkalun, ja pystyy lisäämään uusia toimintoja luomalla laajennuksia. Ruumiinavauksesta on 3 versiota tällä hetkellä ja versio 2 perustuu Sleuth Kit tehdä levyanalyysi.
lisätietoja Etsiväpaketista löytyy osoitteesta: https://www.sleuthkit.org/autopsy/
Wireshark
wiresharkia käytetään verkkoliikenteen kuvaamiseen ja analysointiin. Tämä tapahtuu käyttämällä libPcap ja WinPcap joka kaappaa verkkopaketit. Verkkopaketteja voidaan sitten analysoida haitallisen toiminnan varalta. Työkalu tarjoaa mahdollisuuden suodattaa liikennettä eri suodattimia, se tehdään perustuu protokollia, merkkijono läsnäolo, jne.
työkalun voi ladata osoitteesta: https://www.wireshark.org/download.html
USB Write Blocker
kuten nimestä voi päätellä, USB write blockeria käytetään tallennusasemien rikosteknisessä tutkimuksessa. Suurin se voi analysoida on 2TB. Se on laitteisto toisin kuin muut työkalut, joista keskustellaan. Sitä käytetään kloonaamaan ja analysoimaan tallennustilaa varmistaen tietojen aitouden.
Lue lisää USB write blockerista osoitteessa: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
X-Ways Forensics
X-ways on saksalainen tuote ja siinä on paljon ominaisuuksia, sitä voidaan pitää tyhjentävänä työkaluna. Työkalu ei käytä paljon resursseja verrattuna sen tarjoamiin ominaisuuksiin. Sitä voidaan käyttää-levyn kuvantamiseen ja analysointiin, eri levyformaattien analysointiin, asianhallintaan, rekisterinäkymään, metatiedon louhintaan jne.
täydellisen ominaisuuskokonaisuuden viite: http://www.x-ways.net/forensics/
DumpZilla
Dumpzillaa käytetään selaimen tietojen keräämiseen ja analysointiin, mukaan lukien selainhistoria. Työkalu on kehitetty Python 3: ssa.x ja on saatavilla sekä Windowsille että Linuxille. Tutkimuksen laajuus ei rajoitu selaimen historia, se sisältää myös evästeet, välityspalvelimen asetukset, verkkolomakkeet, kirjanmerkit, välimuisti, lisäosat, tallennetut salasanat, jne.
ExifTool
Exiftoolia käytetään erilaisten Kuva -, Ääni-ja PDF-tiedostojen metatietojen keräämiseen ja analysointiin. Se on saatavilla sekä komentorivi-että GUI-versioina. Suorita sovellus Windowsille ja vedä & pudota analysoitavat tiedostot. Luettelo tiedostomuotoja, jotka voidaan analysoida tällä työkalulla on tyhjentävä. Koko lista on saatavilla osoitteessa: https://www.sno.phy.queensu.ca/~phil/exiftool/
työkalu on nopea ja pienikokoinen verrattuna tarjottuun toiminnallisuuteen.
Kuvanlähde: https://hvdwolf.github.io
Binwalk
Binwalkia käytetään binäärikuvan etsimiseen upotetuista tiedostoista .exe-koodi. Työkalu pystyy purkamaan kaikki tiedostot läsnä firmware suorittaa merkkijono haku. Työkalu on tarpeeksi tehokas, kun se yhdistetään useisiin muihin työkaluihin, ja se on oltava rikosteknisen tutkijan työkalupakissa.
Hashdeep
Hashdeepiä käytetään hajautusvalvonnan luomiseen, sovittamiseen ja suorittamiseen. Muut ohjelmat raportoivat, jos hash on sovitettu tai puuttuu, mutta Hashdeep voi antaa yksityiskohtaisen kuvan kokonaiskuvasta. Se voi auttaa meitä tunnistamaan sovitut tiedostot, hukatut tiedostot, löytämään hash-törmäykset ja erilaiset muut hash-ominaisuudet. Pidä tämä mukanasi, koska tiedostojen eheys on äärimmäisen tärkeää näissä tapauksissa.
Volafox
Volafoxia käytetään MAC OS X-muistin analysointiin. Se voi auttaa-löytää ytimen laajennuksia, kerätä ytimen tietoja, tehtävälistaus, havaita koukut, verkko listaus, polkumyynti tiedoston muistista, esittää boot tiedot ja paljon muita yksityiskohtia. Tämä on pakko olla, jos tutkimuskohde on MAC OS X.
Chkrootkit
tätä ohjelmaa käytetään määrittämään rootkitien esiintyminen järjestelmässä. Ohjelma pystyy tunnistamaan läsnäolo yli 60 rootkit. Tästä on paljon apua haittaohjelmatartuntojen ja verkon vaarantumistapausten analysoinnissa. Uudet rootkit kirjoitetaan ohittamaan havaitsemismekanismi, mutta rootkit kirjoittaminen on taidetta, joka on vaikea hallita.
SIFT
SANS Investigation forensic toolkit on VM, joka on esiladattu oikeuslääketieteellisen analyysin edellyttämillä välineillä. Se on täydellinen aloittelijoille, koska se säästää-työkalun löytäminen, lataaminen ja asennus aikaa.
Kuvanlähde: https://www.andreafortuna.org/
CAINE
CAINE on avoimen lähdekoodin Linux-jakelu, joka on kehitetty erityisesti digitaalista rikostekniikkaa varten. Se on käyttäjäystävällinen graafinen käyttöliittymä ja työkalut. Katso tästä linkistä syvempää tietoa CAINE: https://www.caine-live.net/
Kuvanlähde: https://www.caine-live.net/
miten se hyödyttää organisaatiota ja tietoturva-asiantuntijaa?
Haitantekoa tapahtuu organisaatioissa päivittäin. Joku klikasi haitallista linkkiä, asensi haitallisen ohjelmiston,vieraili tietojenkalastelussa tai haitallisilla verkkosivustoilla jne. On tutkijoiden vastuulla päästä ongelman perimmäiseen syyhyn ja varmistaa, että valvonta on käytössä, jotta tapaus ei toistu. Haittaohjelmatapaus voi kaataa yrityksen verkon polvilleen, ja siksi asiasta on tehtävä tutkinta. Entä jos työntekijä irtisanoutuu yrityksestä tai joutuu syytteeseen yritysvakoilujutusta. Tällaisissa tapauksissa organisaatiot tarvitsevat tutkijoita suorittamaan digitaalisia syväsukelluksia, tuomaan totuuden esiin.
rikostekniikan asiantuntijaksi tuleminen vaatii aikaa ja kokemusta. Tutkijalla tulee olla kriittinen tieto tutkittavasta kohteesta. Jokainen huti keräyksessä tai analyysissä voi vaikuttaa vakavasti tapaukseen. Asiantuntijan on oltava äärimmäisen huolellinen todisteiden tunnistamisessa, säilyttämisessä ja ilmoittamisessa. Rikostekniikan asiantuntijaksi ryhtyminen ei siis ole helppoa, mutta helpoista asioista ei makseta suuria summia. Tämä on niche taitoa, joka vaatii ymmärrystä kunkin vähän järjestelmän, ja miten käyttää sitä todisteena. Alan erikoiskursseja on myös, jos kiinnostaa. Jotkut yritykset tarjoavat koulutusta tuotteidensa käyttöön maailmanlaajuisesti. Yksi tuotteista on Encase. Yhtiö tarjoaa sertifiointi Encase sertifioitu rikostekninen tutkija (myös harkita tarkkailun tämä täydellinen paketti tietoa cissp sertifiointi).
johtopäätös
artikkeli sisältää joitakin suosittuja rikosteknisiä välineitä. Työkaluja ei ole järjestetty Prioriteetin mukaan, koska ne palvelevat eri tarkoituksia. Jotkut on suunniteltu erityisesti kiintolevyanalyysiin, jotkut mobiilitutkimuksiin ja niin edelleen. In-Jos olet uusi rikosteknisten voit aloittaa yksittäisiä työkaluja, ottaen syvä sukellus jokaiseen. Voit myös aloittaa valmiiksi rakennettu VM ja jakelut kuten CAINE, jotta voit säästää aikaa ja oppia lisää. Varmista, että yhdistät tunnistetut tiedot reaalimaailman skenaarioihin; esim.virus leviää verkkoon kytketyn haitallisen tallennuslaitteen tai verkkoon luodun CNC-yhteyden kautta. Voit myös etsiä lisää rikosteknisiä työkaluja ja kokeilla. Kun rikolliset edistyvät jokaisella rikoksella; yritykset kehittävät entistä kehittyneempiä työkaluja, jotka voivat nopeuttaa tutkintaa, jos asiantuntijat käyttävät niitä. On huomattava, että riippumatta siitä, kuinka pitkälle työkalu tulee, se vaatii asiantuntevaa silmää tunnistaa logiikan ja korreloi tosiasiat.
Klikkaa tästä käynnistääksesi Kyberturvallisuusurasi
