Top20Trending Computer Forensics Tools of2018

by Posted on

Introduction

“Forensics”という言葉は、捜査官が犯罪を解決するために使用する技術を指します。 すべての発明は、その長所と短所を持っています。 コンピュータや電子機器は、はるかに高速に進化しており、現代の犯罪で使用されています。 コンピュータと一緒に行われたり、コンピュータを含む犯罪を調査する芸術は、コンピュータフォレンジックと呼ばれています。 正確には、デバイスから証拠を抽出して保存し、その後裁判所に提示するために使用される技術です。 コンピュータは、ターゲットと武器の両方です。 攻撃者は進化しており、洗練されたコンピュータシステムを使用してこのような凶悪なフィッシング犯罪を犯しています(ここではサイバーセキュリティ攻撃をナビゲートするリソースがあります)。 ターゲットは、ホームシステム、企業ネットワーク、またはそれらがそれに接続できるすべてのコンピュータであることができます。 コンピュータを含む犯罪のこの増加率では、証拠収集が重要な部分となっています。 これは専門家のコンピュータ法医学の専門家を呼び出します。

コンピュータフォレンジックツールとは何ですか?

これらは、デジタル証拠収集を支援するためにプログラマーによって開発されたツールです。 これらのツールは進化し、基本レベルから上級レベルまで、あらゆる種類の活動を実行できます。 法医学ツールは、それらが実行するタスクに基づいて分類することができます。

  • ネットワークフォレンジックツール

  • データベース分析ツール

  • ファイルの分析ツール

  • レジストリ解析ツール

  • メール分析ツール

  • OS解析ツール

  • ディスクとデータキャプチャ

私たちは、この記事の後半でいくつかの詳細に約20法医学ツールについて議論されます。

法医学捜査官の仕事とは何ですか?

法医学調査官の主な任務は、データの証拠を見つけて保存することです。 彼は従うべき手続きとプロトコルに精通している必要があります:犯罪現場での

,

  • 証拠の収集と取り扱い

彼らは物的証拠を収集し、保存し、彼らの活動を文書化します。

,

  • エビデンス分析

かれらは,何を集めたかを調べる。

彼らは何が起こったのかを再構築しようとします。

  • 証拠の提示および報告

彼らの仕事は裁判所に受け入れられるように厳格な基準に従ってください。 彼らは彼らの発見と方法について証言するために呼び出すことができます。

フォレンジックツールの分類

ボラティリティ

ボラティリティは、揮発性メモリフォレンジックを実行するために使用されるオープンソース これはPythonで書かれており、ほぼすべての32ビットと64ビットマシンをサポートしています。 ボラティリティでサポートされているシステムの完全なリストは、http://www.volatilityfoundation.org/faq

で見つけることができます。 また、システムの休止状態ファイルを分析することができ、同様にルートキットの存在を確認することができます。 ボラティリティ-フレームワークはhttps://code.google.com/archive/p/volatility/downloads

からダウンロードすることができ、linux kaliにはforensicセクションの下に既に存在しています。 以下は、ボラティリティのスナップショットです。

それは調査のライフサイクルを渡る法廷の調査官を助けることができます:

  • フォレンジックトリアージ:調査ベースの揮発性といくつかの他のパラメータのためのファイルの優先順位付け。

  • 収集:完全性を損なうことなくデジタルデータを収集します。

  • 復号化:それらを復号化することにより、暗号化されたデータファイルを分析する機能。 これは、パスワード回復メカニズムを使用して行われます。

  • プロセス:証拠の索引付けと一般的なタスクの自動化に役立ち、プロセスではなく調査に時間を費やすことができます。

  • 調査:これは、ほぼすべてのwindowsおよびモバイルオペレーティングシステムの調査を実行することができます。

  • レポート:すべてのオーディエンスにサービスを提供するレポートを作成します。 レポートには、さまざまな形式オプションを持つレポートテンプ

ツールは無料ではなく、価格はここで要求することができます: https://www.guidancesoftware.com/encase-forensic

MailXaminer

名前が示すように、MailXaminerは電子メール分析を実行するために使用されます。 Webベースのメールクライアントとアプリケーションベースのメールクライアントの両方からの電子メールを調べることができます。 これは、正規表現のような様々な高度なオプションを使用して電子メールを検索し、証拠を配置し、電子メールの証拠を収集中の研究者を支援します。 それはskintoneの分析の使用によってわいせつなイメージの付属品を検出し、報告する機能を有する。 これは、20+電子メール形式をサポートすることができ、必要な形式で証拠とレポートを生成することができます。 これは、法律の裁判所でケースを閉じるに役立つことができます。

これは無料のツールではありませんが、評価版はからダウンロードすることができます: https://www.mailxaminer.com/

MailXaminer
画像ソース: https://lscnetwork.blog

FTK

FTKまたはForensic toolkitは、ハードドライブをスキャンして証拠を探すために使用されます。 FTKはAccessDataによって開発され、FTK Imagerと呼ばれるスタンドアロンモジュールを持っています。 それがハードディスクをイメージするのに使用することができハッシュを使用してデータの完全性を保障する。 それは再構成されたイメージを得るために後で結合することができる多数のセクションのファイルのための単一ファイルのハードディスクをイメージ 研究者は、利便性に従ってGUIまたはコマンドラインの間で選択することができます。

FTKの詳細については、https://accessdata.com/products-services/forensic-toolkit-ftk

REGA

REGAはwindowsレジストリ分析の実行に使用されます。 フリーウェア版はhttp://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip

からダウンロードすることができますGUIベースのアプリケーションです。 ユーザーは、ケースを作成し、レジストリをロードすることができます。 レジストリは、フィルタを使用して検索するか、タイムスタンプを手動で検索できます。 REGAの特徴:

-データ収集:列挙および分析のためのターゲットレジストリファイルを収集します。

-回復:削除されたキーのレジストリを回復します。

-分析:

  • Windows分析: 所有者、設置データ、等。

  • ストレージ分析:アカウントの存在、コマンドの実行、ブラウザ履歴分析(Url)。

  • ネットワーク接続解析:ネットワークドライブ接続など

  • アプリケーション分析:自動実行のリスト、アプリケーションの使用履歴など

  • SWおよびHW管理:ソフトウェアおよびハードウェアのインストール、ストレージデバイスの接続。

– レポート:結果レポートをCSV形式で作成します。

このツールはC/C++で書かれており、英語、韓国語、日本語で利用できます。

Bulk Extractor

Bulk extractorは、ファイルやハードドライブから重要な情報を抽出するために使用できます。 このツールは、ファイルの階層に関係なくスキャンを実行できます。 Bulk ExtractorはKali Linuxにインストールされていますが、他のOSに手動でインストールすることもできます。

Gitへのリンク: https://github.com/simsong/bulk_extractor

Bulk extractorは、クレジットカード、インターネットドメイン、電子メール、MACアドレス、IPアドレス、画像とビデオ、URL、電話番号、実行された検索などに関する情報を含む出力ディ

Oxygen Forensics

Oxygen Forensic Suiteは、携帯電話や携帯電話で使用されるクラウドサービスからデジタル証拠を収集するために使用されます。 このスイートは、Androidの画面ロックをバイパスし、場所の履歴を取得し、クラウドストレージからデータを抽出し、通話とデータレコードを分析し、データキーワードを検索し、削除されたデータを回復し、さまざまなファイル形式にデータをエクスポートすることができます。 これは、Android、ソニー、ブラックベリーとiPhoneを含む様々なモバイルプラットフォームをサポートしています。

わかりやすいレポートを生成し、相関を容易にします。

詳細は公式サイトをご覧ください: https://www.oxygen-forensic.com/en/

酸素
画像ソース: http://www.dataforensics.org

FireEye RedLine

RedLineは元々Mandiant organizationの製品であり、後にFireEyeに引き継がれました。 これは、感染の痕跡、または任意の悪意のある活動のためのメモリとホスト分析を実行するために使用することができるフリーウェアのツールです。

実行中のプロセス、メモリドライブ、レジストリ、ファイルシステムメタデータ、イベントログ、web履歴、ネットワークアクティビティに関する情報を収集し、相関させるために使用することができます。 これは、マルウェアリスクインデックススコアを使用してプロセスを候補リストし、さらにそれらを調査することができます。

続きを読むここに: https://www.fireeye.com/services/freeware/redline.html

剖検

剖検は、オープンソースのデジタルフォレンジックソフトウェアであり、ハードドライブの調査を行うために使用されます。 さまざまな法執行機関、軍および政府および企業の調査官がデジタル調査を行うために使用されています。 会社はまたユーザーが用具を充分に活用するのを助けるように注文の開発および訓練を提供する。 これは、WindowsとLinuxの両方のために存在し、同様にカリLinuxにプリインストールされています。

windows版は以下からダウンロードできます: https://www.autopsy.com/download/

このツールは、使いやすさと拡張性を提供するために構築されています-ユーザーはツールをカスタマイズすることができ、プラグインを作成することによ 剖検には現在3つのバージョンがあり、バージョン2はディスク分析を実行するためにSleuth Kitに依存しています。

Sleuth kitの詳細については、以下を参照してください: https://www.sleuthkit.org/autopsy/

Wireshark

Wiresharkは、ネットワークトラフィックをキャプチャして分析するために使用されます。 これは、ネットワークパケットをキャプチャするlibPcapとwinPcapを使用して行われます。 ネットワークパケットは、その後、悪意のある活動のために分析することができます。 このツールは、様々なフィルタを使用してトラフィックをフィルタリングする機能を提供し、プロトコル、文字列の存在などに基づいて行われます。

このツールは次の場所でダウンロードできます: https://www.wireshark.org/download.html

Wireshark

USB書き込みブロッカー

名前が示すように、USB書き込みブロッカーは、ストレージドライブのフォレンジック調査に使用されます。 分析できる最大値は2TBです。 これは、議論されているツールの残りの部分とは対照的に、ハードウェアデバイスです。 ストレージの複製と分析に使用され、データの信頼性が保証されます。

USB書き込みブロッカーについての詳細を読む: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/

X-Ways Forensics

X-waysはドイツの製品であり、多くの機能を備えており、網羅的なツールと見なすことができます。 このツールは、提供する機能と比較して多くのリソースを使用しません。 それは-さまざまなディスクフォーマットのディスクイメージ投射および分析、分析、場合管理、登録の眺め、メタデータの抽出、等に使用することができる。

完全な機能セットについては、参照してください: http://www.x-ways.net/forensics/

dumpzilla

dumpzillaは、ブラウザの履歴を含むブラウザ情報を収集および分析するために使用されます。 このツールはPython3で開発されています。xとは、windowsとlinuxの両方で利用可能です。 調査範囲は、ブラウザの履歴に限定されるものではなく、cookie、プロキシ設定、webフォーム、ブックマーク、キャッシュ、アドオン、保存されたパスワードなども含まれ

ExifTool

ExifToolは、さまざまな画像、オーディオ、PDFファイルからメタデータ情報を収集および分析するために使用されます。 これは、コマンドラインとGUIの両方のバージョンで利用可能です。 単にwindows用のアプリケーションを実行し、ドラッグ&分析するファイルをドロップします。 このツールで分析できるファイル形式のリストは網羅的です。 完全なリストはで利用可能です: https://www.sno.phy.queensu.ca/~phil/exiftool/

このツールは、提供される機能と比較して、高速でサイズが小さいです。

ExifTool
画像ソース: https://hvdwolf.github.io

Binwalk

Binwalkは、埋め込まれたファイルのバイナリイメージを検索するために使用されます。exeコード。 このツールは、ファームウェアに存在するすべてのファイルを抽出して文字列検索を実行することができます。 このツールは、他のさまざまなツールと組み合わせると十分に強力であり、法医学調査官ツールキットでは必須です。

Hashdeep

hashdeepは、ハッシュ監査を生成、照合、実行するために使用されます。 他のプログラムは、ハッシュが一致または欠落しているかどうかを報告しますが、Hashdeepは全体像の詳細なビューを提供することができます。 それは私たちが一致したファイルを識別するのに役立ちます,逃したファイル,ハッシュの衝突やハッシュの様々な他の属性を見つけます. これらの場合、ファイルの整合性が最も重要であるため、これを保管してください。Volafoxは、MAC OS Xのメモリ解析に使用されます。 これは、カーネル拡張機能の検索、カーネル情報の収集、タスクリスト、フックの検出、ネットワークリスト、メモリからのファイルのダンプ、ブート情報や他の多くの詳細を提示するのに役立ちます。 これは、調査対象がMAC OS Xの場合に必要です。

Chkrootkit

このプログラムは、システム上のルートキットの存在を判断するために使用されます。 プログラムは、60以上のルートキットの存在を識別することができます。 これは、マルウェア感染やネットワーク侵害のケースを分析する上で大きな助けになります。 新しいルートキットは検出メカニズムをバイパスするために書かれていますが、ルートキットの書き込みは習得するのが難しい芸術です。

SIFT

Sans Investigation forensic toolkitは、フォレンジック分析を実行するために必要なツールがプリロードされたVMです。 ツールの検索、ダウンロード、インストール時間を節約するので、初心者に最適です。

SIFT
画像ソース: https://www.andreafortuna.org/

CAINE

CAINEは、デジタルフォレンジックのために特別に開発されたオープンソースのLinuxディストリビューションです。 それはユーザーフレンドリーなグラフィカルインターフェイスとツールを持っています。 ケインへのより深い洞察のために、このリンクを参照してください: https://www.caine-live.net/

ケイン
画像ソース: https://www.caine-live.net/

itは組織とITセキュリティの専門家にどのような利益をもたらすのでしょうか。

悪意のある活動は、組織内で日常的に発生します。 誰かが悪意のあるリンクをクリックしたり、悪意のあるソフトウェアをインストールしたり、フィッシングや悪意のあるwebサイトを訪問したりした。 問題の根本的な原因に到達し、事件が再び起こらないようにコントロールが整っていることを確認することは、研究者の責任です。 マルウェアの事件は、膝に会社のネットワークをダウンさせることができ、したがって、調査が必要とされています。 従業員が会社から辞任したり、企業のスパイ事件で起訴されたりした場合はどうなりますか。 このような場合には、組織は真実を引き出すために、デジタルディープダイブを実行するために調査官を必要としています。

鑑識の専門家になるには時間と経験が必要です。 研究者は、調査対象のオブジェクトについての重要な知識を持っている必要があります。 収集または分析のミスは、ケースに深刻な影響を与える可能性があります。 証拠を特定し、保存し、報告する際には、専門家が細心の注意を払わなければなりません。 したがって、法医学の専門家になることは容易ではありませんが、大金は簡単なもののために支払われません。 これは、システムの各ビットの理解と、それを証拠として使用する方法を必要とするニッチなスキルです。 興味があれば、この分野にも専門のコースがあります。 一部の企業は、世界中で使用されている自社製品のトレーニングを提供しています。 製品の1つはEncaseです。 会社は証明をのための提供するEncaseの証明された法廷の調査官(またcisspの証明のための情報のこの完全な小包から点検することを考慮しなさい)。

結論

この記事には、人気のあるフォレンジックツールがいくつか含まれています。 ツールは、異なる目的を果たすため、優先順位に関して配置されていません。 一部はハードディスクの分析、移動式調査のためのいくつかのためにとりわけ等設計されています。 フォレンジックに慣れていない場合は、個々のツールから始めて、それぞれに深く潜り込むことができます。 あなたは時間を節約し、より多くを学ぶことができるように、また、事前に構築されたVMとCAINEのようなディストリビューションで開始することがで たとえば、接続された悪意のあるストレージデバイスを介して感染が広がったり、ネットワーク内に作成されたCNC接続があります。 また、より多くの法医学ツールや実験を検索することができます。 犯罪者はそれぞれの犯罪で高度になっているように; 企業は、専門家によって使用されている場合、調査をスピードアップすることができ、より洗練されたツールを開発しています。 ここで注意すべき点は、ツールがどんなに高度になっても、論理を特定し、事実を相関させるために専門家の目が必要であるということです。

あなたのサイバーセキュリティのキャリアをジャンプスタートするにはここをクリック

Published by admin

コメントを残す

メールアドレスが公開されることはありません。