Topp 20 Trending Computer Forensics Tools of 2018
- Innledning
- hva er dataetterforskning verktøy?
- Hva er arbeidet til en rettsmedisinsk etterforsker?
- Klassifisering Av Rettsmedisinske verktøy
- Volatilitet
- EnCase
- MailXaminer
- FTK
- REGA
- Bulk Extractor
- Oxygen Forensics
- FireEye RedLine
- Obduksjon
- Wireshark
- USB Write Blocker
- X-Ways Forensics
- DumpZilla
- ExifTool
- Binwalk
- Hashdeep
- Volafox
- Chkrootkit
- SIFT
- CAINE
- hvordan er det til fordel for en organisasjon og EN it-sikkerhetsekspert?
- Konklusjon
Innledning
ordet “Forensics” refererer til teknikkene som brukes av etterforskerne for å løse en forbrytelse. Hver oppfinnelse har sine fordeler og ulemper. Datamaskiner og elektroniske enheter har utviklet seg mye raskere, og blir brukt i moderne forbrytelser. Kunsten å undersøke en forbrytelse, utført med eller involverer datamaskiner, kalles dataetterforskning. For å være presis, er det teknikken som brukes til å trekke ut og bevare bevis fra enhetene og deretter presentere det i retten. Datamaskiner er både et mål og et våpen. Angripere har utviklet seg, de bruker sofistikerte datasystemer for å begå slike avskyelige phishing-forbrytelser (Her er en ressurs som vil navigere deg gjennom cybersikkerhetsangrep). Målet kan være et hjemmesystem, bedriftsnettverk eller til og med alle datamaskinene de kan koble til. Med denne økende kriminaliteten som involverer datamaskiner, har bevisinnsamling blitt en viktig del. Dette krever ekspert datamaskin rettsmedisinske fagfolk.
hva er dataetterforskning verktøy?
dette er verktøyene som er utviklet av programmerere for å hjelpe digital bevisinnsamling. Disse verktøyene har utviklet seg og kan utføre alle typer aktiviteter-fra grunnleggende til forhånd nivå. Rettsmedisinske verktøy kan kategoriseres på grunnlag av oppgaven de utfører.
-
Nettverk Rettsmedisinske verktøy
-
Databaseanalyseverktøy
-
Verktøy For Filanalyse
-
Verktøy For Registeranalyse
-
E-Post analyseverktøy
-
OS analyseverktøy
-
Disk og datafangst
vi vil diskutere om 20 rettsmedisinske verktøy i detalj senere i denne artikkelen.
Hva er arbeidet til en rettsmedisinsk etterforsker?
den viktigste oppgaven med en rettsmedisinsk etterforsker er å finne og bevare data bevis. Han burde være godt kjent med prosedyrene og protokollene som skal følges:
på forbrytelsesstedet,
-
Innsamling Og håndtering Av Bevis
de samler og bevarer fysiske bevis, og dokumenterer deres aktiviteter.
i laboratoriet,
-
Bevisanalyse
de undersøker hva de har samlet.
de prøver å rekonstruere hva som skjedde.
i retten
-
Evidenspresentasjon og rapportering
Følg strenge standarder slik at deres arbeid er akseptabelt for retten. De kan kalles for å vitne om deres funn og metoder.
Klassifisering Av Rettsmedisinske verktøy
Volatilitet
Volatilitet er en åpen kildekode rammeverk som brukes til å utføre flyktige minne etterforskning. Den er skrevet I Python og støtter nesten alle 32 og 64bit maskiner. Full liste over systemer som støttes av volatilitet, finnes på http://www.volatilityfoundation.org/faq
Det kan utføre rekognosering på prosesslister, porter, nettverkstilkoblinger, registerfiler, DLL-er, krasjdumper og bufrede sektorer. Det kan også analysere system dvalemodus filer og kan se etter root kit tilstedeværelse også. Du kan laste ned volatilitetsrammen fra https://code.google.com/archive/p/volatility/downloads
den er allerede til stede I Linux kali under rettsmedisinske delen. Nedenfor er et øyeblikksbilde av volatilitet.
EnCase
Encase Er et multifunksjons rettsmedisinsk undersøkelsesverktøy. Det kan hjelpe rettsmedisinske etterforskere på tvers av etterforskningen livssyklus:
-
Forensic triage: Prioritering av filene for undersøkelsesgrunnlagsvolatilitet og få andre parametere.
-
Innsamling: Innsamling av digitale data uten at det går på bekostning av integriteten.
-
Dekryptere: Evne til å analysere krypterte datafiler ved å dekryptere dem. Dette gjøres ved å bruke passordgjenopprettingsmekanismer.
-
Prosess: hjelper med å indeksere bevisene og automatisere vanlige oppgaver slik at tiden kan brukes på etterforskning i stedet for prosessen.
-
Undersøke: det kan utføre etterforskning for nesten alle windows og mobile operativsystemer.
-
Rapport: Lag en rapport som vil tjene alle publikum. Rapporten må ha rapporteringsmaler med ulike formatalternativer.
verktøyet er ikke gratis og prisen kan bli forespurt her: https://www.guidancesoftware.com/encase-forensic
MailXaminer
Som navnet antyder, Brukes MailXaminer til å utføre e-postanalyse. Det kan undersøke e-post fra både web – og applikasjonsbaserte e-postklienter. Det hjelper etterforsker i-samle e-bevis, arrangere bevis, søker e-post ved hjelp av ulike avanserte alternativer Som Regex. Det har evnen til å oppdage og rapportere uanstendig bildevedlegg ved hjelp av skintone analyse. Det kan støtte 20 + e-formater og kan generere rapporten med bevis i ønsket format. Dette kan bidra til å avslutte saken i en domstol.
dette er ikke et gratis verktøy, men evalueringsversjonen kan lastes ned fra: https://www.mailxaminer.com/
bildekilde: https://lscnetwork.blog
FTK
FTK eller Forensic toolkit brukes til å skanne harddisken og se etter bevis. FTK er utviklet Av AccessData og har en frittstående modul kalt FTK Imager. Den kan brukes til å avbilde harddisken, og sikrer integriteten til dataene ved hjelp av hashing. Det kan bildet harddisken i en enkelt fil for filer i flere seksjoner, som kan senere sluttet å få en rekonstruert bilde. Etterforskere kan velge MELLOM GUI eller kommandolinje som per bekvemmelighet.
MER informasjon OM FTK kan nås på https://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGA brukes til å utføre windows-registeranalyse. Freeware versjonen kan lastes ned fra http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
Det ER ET GUI basert program. Brukeren kan opprette en sak og laste registret. Registeret kan søkes ved hjelp av filtre, eller manuelt ved hjelp av tidsstempler. REGA funksjoner:
– datainnsamling: Samle mål registret filer for opplisting og analyse.
– Gjenoppretting: Gjenopprett register for slettede nøkler.
– Analyse:
-
Windows analyse: Eier, Installasjonsdata, etc.
-
Lagringsanalyse: Kontoer til stede, kjør kommandoer, nettleserhistorikkanalyse (Nettadresser).
-
Nettverkstilkoblingsanalyse: nettverkstilkoblinger, etc.
-
Søknad analyse: Liste over auto kjører, søknad bruk historie, etc.
-
SW og HW ledelse: Programvare og maskinvare installasjoner, lagringsenheter tilkoblinger.
– Rapportering: Lag resultatrapporter I CSV-formater.
verktøyet er skrevet I C / C++ og er tilgjengelig på engelsk, koreansk og Japansk språk.
Bulk Extractor
Bulk extractor kan brukes til å trekke ut viktig informasjon fra filer og harddisker. Verktøyet kan utføre en skanning uavhengig av hierarkiet av filer. Bulk Extractor kommer installert I Kali Linux, det kan også installeres manuelt på andre OS.
Lenke Til Git: https://github.com/simsong/bulk_extractor
Bulk extractor oppretter en output katalog som inneholder informasjon om kredittkort, internett-domener, e-post, MAC-adresser, IP-adresser, Bilder og videoer, URL-er, telefonnumre, søk utført, etc.
Oxygen Forensics
Oxygen Forensic Suite brukes til å samle digitale bevis fra mobiltelefoner og skytjenester som brukes på telefoner. Suiten kan omgå Android-skjermlås, få posisjonslogg, trekke ut data fra skylagring, analysere anrops-og dataposter, søke data søkeord, gjenopprette slettede data og eksportere data til ulike filformater. Den støtter ulike mobile plattformer, inkludert Android, Sony, Blackberry og iPhone.
det genererer lett å forstå rapporter for enklere korrelasjon.
Besøk offisiell nettside for mer info: https://www.oxygen-forensic.com/en/
bildekilde: http://www.dataforensics.org
FireEye RedLine
RedLine var opprinnelig et produkt Av Mandiant organization, senere overtatt Av FireEye. Dette er et freeware verktøy som kan brukes til å utføre minne og vert analyse for spor av infeksjon, eller skadelig aktivitet.
Den kan brukes til å samle inn og korrelere informasjon om kjørende prosesser, minnestasjoner, register, filsystem metadata, hendelseslogger, nettlogg og nettverksaktivitet. Det kan shortlist prosessene ved hjelp av malware risk index score, og deretter undersøke dem videre.
Les mer her: https://www.fireeye.com/services/freeware/redline.html
Obduksjon
Obduksjon er en åpen kildekode digital rettsmedisinsk programvare, den brukes til å gjennomføre harddiskundersøkelser. Den brukes av ulike rettshåndhevende organer, militære og regjerings-og bedriftsforskere til å gjennomføre digitale undersøkelser. Selskapet tilbyr også tilpasset utvikling og opplæring for å hjelpe brukerne dra full nytte av verktøyet. Den er til stede for Både Windows Og Linux, og er forhåndsinstallert i Kali Linux også.
windows-versjonen kan lastes ned fra: https://www.autopsy.com/download/
verktøyet er bygget for enkel bruk og for å gi utvidbarhet – brukeren kan tilpasse verktøyet, og kan legge til ny funksjonalitet ved å lage plugin-moduler. Obduksjon har 3 versjoner som nå og versjon 2 er avhengig Av Sleuth Kit for å utføre disk analyse.
Ytterligere informasjon om Sleuth kit er tilgjengelig på: https://www.sleuthkit.org/autopsy/
Wireshark
Wireshark brukes til å fange opp og analysere nettverkstrafikk. Dette gjøres ved hjelp libPcap og winPcap som fanger nettverkspakker. Nettverkspakker kan deretter analyseres for skadelig aktivitet. Verktøyet gir muligheten til å filtrere trafikken ved hjelp av ulike filtre, det er gjort basert på protokoller, streng tilstedeværelse, etc.
verktøyet kan lastes ned på: https://www.wireshark.org/download.html
USB Write Blocker
SOM navnet antyder, BRUKES USB write blocker til rettsmedisinsk undersøkelse av lagringsstasjoner. Maksimum det kan analysere ER 2TB. Det er en maskinvareenhet i motsetning til resten av verktøyene som blir diskutert. Den brukes til å klone og analysere lagring, noe som sikrer data autentisitet.
Les mer OM USB skriveblokkering på: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
X-Ways Forensics
X-ways er et tysk produkt og har mange funksjoner, det kan betraktes som et uttømmende verktøy. Verktøyet bruker ikke mange ressurser i forhold til funksjonene den tilbyr. Den kan brukes til – disk imaging og analyse, analyse av ulike diskformater, saksbehandling, registervisning, metadatautvinning, etc.
for komplett funksjonssett se: http://www.x-ways.net/forensics/
DumpZilla
Dumpzilla brukes til å samle inn og analysere nettleserinformasjon, inkludert nettleserhistorikk. Verktøyet er utviklet I Python 3.x og er tilgjengelig for både windows og linux. Undersøkelsesomfanget er ikke begrenset til nettleserhistorikk, det inkluderer også informasjonskapsler, proxy-innstillinger, webskjemaer, bokmerker, cache, tillegg, lagrede passord, etc.
ExifTool
ExifTool brukes til å samle og analysere metadatainformasjon fra ulike bilder, lyd og PDF-filer. Det er både tilgjengelig i kommandolinje og GUI versjoner. Bare kjøre programmet for windows og dra & slippe filene som skal analyseres. Listen over filformater som kan analyseres med dette verktøyet er uttømmende. Hele listen er tilgjengelig på: https://www.sno.phy.queensu.ca/~phil/exiftool/
verktøyet er raskt og lite i størrelse i forhold til funksjonaliteten som tilbys.
bildekilde: https://hvdwolf.github.io
Binwalk
Binwalk brukes til å søke et binært bilde av innebygde filer i .exe-kode. Verktøyet er i stand til å trekke ut alle filene som er tilstede i fastvaren for å utføre et strengsøk. Verktøyet er kraftig nok når kombinert med ulike andre verktøy, og er et must i en rettsmedisinsk etterforsker verktøykasse.
Hashdeep
Hashdeep brukes til å generere, matche og utføre hash revisjon. Andre programmer vil rapportere om en hash er matchet eller savnet, Men Hashdeep kan gi en detaljert visning av det store bildet. Det kan hjelpe oss med å identifisere matchede filer, tapte filer, finne hashkollisjoner og ulike andre attributter av hashene. Hold dette med deg som integriteten til filene er av største betydning i disse tilfellene.
Volafox
Volafox brukes TIL MAC OS x-minneanalyse. Det kan hjelpe med å finne kjerneutvidelser, samle kjerneinformasjon, oppgaveoppføring, Oppdage kroker, nettverksoppføring, dumping av en fil fra minnet, presentere oppstartsinformasjon og mange andre detaljer. Dette er et must hvis undersøkelsesmålet er EN MAC OS X.
Chkrootkit
dette programmet brukes til å bestemme tilstedeværelsen av rootkits på et system. Programmet er i stand til å identifisere tilstedeværelsen av mer enn 60 rootkits. Dette vil være til stor hjelp i å analysere malware infeksjon og tilfeller av nettverk kompromiss. Nye rootkits er skrevet for å omgå deteksjonsmekanismen, men rootkit skriving er en kunst som er vanskelig å mestre.
SIFT
SANS Investigation forensic toolkit ER EN VM som er forhåndslastet med verktøyene som kreves for å utføre rettsmedisinske analyser. Det er perfekt for nybegynnere, som det sparer-verktøy finne, nedlasting og installasjon tid.
bildekilde: https://www.andreafortuna.org/
CAINE
CAINE er en Åpen kildekode Linux-distribusjon som er utviklet spesielt for digital etterforskning. Den har brukervennlig grafisk grensesnitt og verktøy. Se denne linken for dypere innsikt I CAINE: https://www.caine-live.net/
bildekilde: https://www.caine-live.net/
hvordan er det til fordel for en organisasjon og EN it-sikkerhetsekspert?
Ondsinnede aktiviteter skjer daglig i organisasjoner. Noen klikket på en ondsinnet lenke, installerte en skadelig programvare, besøkte phishing eller ondsinnede nettsteder, etc. Det er etterforskernes ansvar å komme til årsaken til problemet, og sørge for at kontroller er på plass slik at hendelsen ikke skjer igjen. En malware hendelse kan bringe et selskaps nettverk ned til knærne og dermed en undersøkelse er nødvendig. Hva om en ansatt fratrer fra et selskap eller er belastet med bedriftens spionasje sak. I slike tilfeller trenger organisasjoner etterforskere til å utføre de digitale dypdykkene, for å få frem sannheten.
Det tar tid og erfaring å bli ekspert På Rettsmedisin. Etterforskeren bør ha kritisk kunnskap om objektet som undersøkes. Enhver glipp i samlingen eller analysen kan ha alvorlig innvirkning på saken. Ekstrem forsiktighet må tas av eksperten i å identifisere, bevare og rapportere bevisene. Derfor blir det ikke lett å bli ekspert i rettsmedisin, men store penger blir ikke betalt for enkle ting. Dette er en nisje ferdighet som krever forståelse av hver bit av systemet, og hvordan du bruker det som bevis. Det er spesialiserte kurs i feltet også, hvis man er interessert. Noen selskaper tilbyr opplæring for sine produkter som brukes over hele verden. En av produktene Er Encase. Selskapet tilbyr sertifisering For Encase certified Forensic Investigator (vurder også å sjekke ut denne perfekte pakken med informasjon for cissp-sertifisering).
Konklusjon
artikkelen inneholder noen av de populære rettsmedisinske verktøyene. Verktøyene er ikke ordnet med hensyn til prioritet, da de tjener forskjellige formål. Noen er spesielt utviklet for harddiskanalyse, noen for mobile undersøkelser og så videre. I tilfelle du er ny til etterforskning kan du starte med individuelle verktøy, ta et dypt dykk inn i hver enkelt. Du kan også starte med den forhåndsbygde VM og distribusjoner som CAINE, slik at du kan spare tid og lære mer. Pass på at du relaterer informasjonen som er identifisert med virkelige scenarier; f. eks. infeksjon blir spredt via en ondsinnet lagringsenhet tilkoblet, ELLER EN CNC-tilkobling opprettet i nettverkene. Du kan også søke etter flere rettsmedisinske verktøy og eksperimentere. Som kriminelle blir avansert med hver forbrytelse; bedrifter utvikler mer sofistikerte verktøy som kan fremskynde undersøkelsen, hvis de brukes av eksperter. Poenget som skal bemerkes her er at uansett hvor avansert verktøyet blir, krever det et ekspert øye for å identifisere logikken og korrelere fakta.
Klikk her for Å starte Din Karriere innen Cybersikkerhet