Top 20 Trending Computer Forensics Tools of 2018
- Inleiding
- wat zijn forensische computerhulpmiddelen?
- Wat is het werk van een forensisch onderzoeker?
- Classification of Forensic tools
- Volatility
- EnCase
- MailXaminer
- FTK
- REGA
- Bulk Extractor
- Oxygen Forensics
- FireEye RedLine
- Autopsy
- Wireshark
- USB-Schrijfblokker
- X-ways Forensics
- DumpZilla
- ExifTool
- Binwalk
- Hashdeep
- Volafox
- Chkrootkit
- zift
- CAINE
- Wat is het voordeel van een organisatie en een IT security expert?
- conclusie
Inleiding
het woord “Forensics” verwijst naar de technieken die door de onderzoekers worden gebruikt om een misdaad op te lossen. Elke uitvinding heeft zijn voor-en nadelen. Computers en elektronische apparaten zijn veel sneller geëvolueerd, en worden gebruikt in moderne misdaden. De kunst van het onderzoeken van een misdaad, uitgevoerd met of met computers, wordt computer forensics genoemd. Om precies te zijn, het is de techniek die wordt gebruikt om bewijs uit de apparaten te halen en te bewaren en vervolgens te presenteren in de rechtbank. Computers zijn zowel een doelwit als een wapen. Aanvallers zijn geëvolueerd, ze gebruiken geavanceerde computersystemen om dergelijke gruwelijke phishing misdaden te plegen (hier is een bron die u zal navigeren door cyber security aanvallen). Het doel kan een thuissysteem, bedrijfsnetwerk of zelfs alle computers die ze kunnen verbinden met het zijn. Met deze toenemende criminaliteit met computers is het verzamelen van bewijsmateriaal een essentieel onderdeel geworden. Dit vraagt om deskundige computer forensische professionals.
wat zijn forensische computerhulpmiddelen?
dit zijn de instrumenten die door programmeurs zijn ontwikkeld om de digitale verzameling van bewijsmateriaal te ondersteunen. Deze tools zijn geëvolueerd en kunnen allerlei activiteiten uitvoeren – van basic tot advance niveau. Forensische tools kunnen worden gecategoriseerd op basis van de taak die ze uitvoeren.
-
Netwerk Forensische tools
-
Database analyse tools
-
Bestand analyse tools
-
Register analyse tools
-
e-Mail analyse tools
-
OS analyse tools
-
Schijf en data capture
We zullen bespreken over 20 forensische tools in detail later in dit artikel.
Wat is het werk van een forensisch onderzoeker?
de belangrijkste taak van een forensisch onderzoeker is het vinden en bewaren van het bewijsmateriaal. Hij moet goed op de hoogte zijn van de te volgen procedures en protocollen:
op de plaats delict,
-
verzameling en behandeling van bewijsmateriaal
ze verzamelen en bewaren fysiek bewijs, en documenteren hun activiteiten.
in het laboratorium,
-
analyse van bewijsmateriaal
ze onderzoeken wat ze hebben verzameld.
ze proberen te reconstrueren wat er gebeurd is.
In de rechtbank
-
presentatie en rapportage van bewijsmateriaal
strikte normen volgen zodat hun werk aanvaardbaar is voor de rechtbank. Ze kunnen worden opgeroepen om te getuigen over hun bevindingen en methoden.
Classification of Forensic tools
Volatility
Volatility is een open source framework dat wordt gebruikt voor het uitvoeren van volatility memory forensics. Het is geschreven in Python en ondersteunt bijna alle 32 en 64bit machines. De volledige lijst van systemen die ondersteund worden door volatiliteit is te vinden op http://www.volatilityfoundation.org/faq
het kan verkenning uitvoeren op proceslijsten, poorten, netwerkverbindingen, registry files, DLL ‘ s, crash dumps en cache sectoren. Het kan ook analyseren systeem hibernation bestanden en kan controleren op root kit aanwezigheid ook. Je kunt het volatility framework downloaden van https://code.google.com/archive/p/volatility/downloads
het is al aanwezig in Linux kali onder de forensische sectie. Hieronder is een momentopname van de volatiliteit.
.jpg)
EnCase
Encase is een multifunctioneel forensisch onderzoeksinstrument. Het kan forensische onderzoekers helpen tijdens de levenscyclus van het onderzoek:
-
Forensische triage: prioriteren van de bestanden voor onderzoek basis volatiliteit en enkele andere parameters.
-
verzamelen: het verzamelen van digitale gegevens zonder afbreuk te doen aan de integriteit.
-
decoderen: mogelijkheid om versleutelde gegevensbestanden te analyseren door ze te decoderen. Dit wordt gedaan door het gebruik van password recovery mechanismen.
-
proces: helpt bij het indexeren van het bewijs en bij het automatiseren van gemeenschappelijke taken, zodat tijd kan worden besteed aan onderzoek in plaats van het proces.
-
onderzoeken: het kan onderzoek uitvoeren voor bijna alle windows en mobiele besturingssystemen.
-
rapport: Maak een rapport dat alle publiek zal dienen. Het rapport moet rapportagesjablonen hebben met verschillende opmaakopties.
de tool is niet gratis en de prijs kan hier worden aangevraagd: https://www.guidancesoftware.com/encase-forensic
MailXaminer
zoals de naam al doet vermoeden, wordt MailXaminer gebruikt om e-mailanalyse uit te voeren. Het kan e-mails van zowel web-als applicatie-gebaseerde e-mailclients te onderzoeken. Het helpt de onderzoeker in-het verzamelen van e-mail Bewijs, het regelen van het bewijs, het zoeken van de e-mails met behulp van verschillende geavanceerde opties zoals Regex. Het heeft de mogelijkheid om obscene beeldbijlagen te detecteren en te rapporteren met behulp van skintone-analyse. Het kan 20+ e-mail formaten ondersteunen en kan het rapport genereren met bewijs in het vereiste formaat. Dit kan helpen bij het afsluiten van de zaak in een rechtbank.
Dit is geen gratis tool, maar de evaluatieversie kan worden gedownload van: https://www.mailxaminer.com/
Afbeeldingsbron: https://lscnetwork.blog
FTK
FTK of forensische toolkit wordt gebruikt om de harde schijf te scannen en naar bewijs te zoeken. FTK is ontwikkeld door AccessData en heeft een standalone module genaamd FTK Imager. Het kan worden gebruikt om een afbeelding van de harde schijf, waardoor de integriteit van de gegevens met behulp van hashing. Het kan de harde schijf in een enkel bestand afbeelden voor bestanden in meerdere secties, die later kunnen worden samengevoegd om een gereconstrueerde afbeelding te krijgen. Onderzoekers kunnen kiezen tussen GUI of command line als per gemak.
meer informatie over FTK kan worden geraadpleegd op https://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGA wordt gebruikt voor het uitvoeren van Windows-register-analyse. De freeware versie kan worden gedownload van http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
het is een GUI-gebaseerde toepassing. De gebruiker kan een case maken en het register Laden. Het register kan worden doorzocht met behulp van filters, of handmatig met behulp van tijdstempels. REGA-kenmerken:
– gegevensverzameling: verzamel doelregisterbestanden voor opsomming en analyse.
– Recovery: Recover registry for deleted keys.
– analyse:
-
Windows-analyse: Eigenaar, installatiegegevens, enz.
-
Opslaganalyse: Accounts aanwezig, commando ‘s uitvoeren, browser geschiedenis analyse (URL’ s).
-
netwerkverbinding analyse: netwerk drive verbindingen, enz.
-
Toepassingsanalyse: Lijst met automatische uitvoeringen, gebruiksgeschiedenis van de toepassing, enz.
-
SW-en HW-Beheer: Software-en hardware-installaties, Opslagapparaten-verbindingen.
– rapportage: maak resultaatrapporten in CSV-formaten.
de tool is geschreven in C / C++ en is beschikbaar in het Engels, Koreaans en Japans.
Bulk Extractor
Bulk extractor kan worden gebruikt voor het extraheren van belangrijke informatie uit bestanden en harde schijven. De tool kan een scan uitvoeren, ongeacht de hiërarchie van bestanden. Bulk Extractor wordt geïnstalleerd in Kali Linux, het kan ook handmatig worden geïnstalleerd op andere OS.
Link naar Git: https://github.com/simsong/bulk_extractor
Bulk extractor creëert een uitvoermap die informatie bevat over creditcard, internetdomeinen, e-mails, MAC-adressen, IP-adressen, afbeeldingen en video ‘s, URL’ s, telefoonnummers, uitgevoerde zoekopdrachten, enz.
Oxygen Forensics
Oxygen Forensics Suite wordt gebruikt om digitaal bewijs te verzamelen van mobiele telefoons en clouddiensten die op telefoons worden gebruikt. De suite kan Android-schermvergrendeling omzeilen, locatiegeschiedenis krijgen, gegevens uit cloudopslag halen, bel-en gegevensrecords analyseren, zoekwoorden van gegevens zoeken, verwijderde gegevens herstellen en gegevens exporteren naar verschillende bestandsformaten. Het ondersteunt verschillende mobiele platforms, waaronder Android, Sony, Blackberry en iPhone.
het genereert gemakkelijk te begrijpen rapporten voor een gemakkelijkere correlatie.
bezoek de officiële website voor meer informatie: https://www.oxygen-forensic.com/en/
Afbeeldingsbron: http://www.dataforensics.org
FireEye RedLine
RedLine was oorspronkelijk het product van Mandiant organization, later overgenomen door FireEye. Dit is een freeware tool die kan worden gebruikt om geheugen en host analyse uit te voeren voor sporen van infectie, of een kwaadaardige activiteit.
het kan worden gebruikt om informatie te verzamelen en te correleren over de lopende processen, geheugenstations, register, metadata van bestandssystemen, gebeurtenislogboeken, webgeschiedenis en netwerkactiviteit. Het kan shortlist van de processen met behulp van malware risk index score, en vervolgens verder te onderzoeken.
lees hier meer: https://www.fireeye.com/services/freeware/redline.html
Autopsy
Autopsy is een open source digitale forensische software, het wordt gebruikt voor het uitvoeren van harde schijf onderzoeken. Het wordt gebruikt door verschillende wetshandhavingsinstanties, militaire en overheid en corporate onderzoekers om digitale onderzoeken uit te voeren. Het bedrijf biedt ook aangepaste ontwikkeling en training om de gebruikers te helpen ten volle te profiteren van de tool. Het is aanwezig voor zowel Windows als Linux, en is ook voorgeïnstalleerd in Kali Linux.
de windows-versie kan worden gedownload van: https://www.autopsy.com/download/
de tool is gebouwd voor gebruiksgemak en om uitbreidbaarheid te bieden-gebruiker kan de tool aanpassen, en is in staat om nieuwe functionaliteit toe te voegen door het creëren van plug-ins. Autopsy heeft 3 versies vanaf nu en versie 2 vertrouwt op de Sleuth Kit om schijfanalyse uit te voeren.
meer informatie over de Sleuth kit is beschikbaar op: https://www.sleuthkit.org/autopsy/
Wireshark
Wireshark wordt gebruikt om netwerkverkeer vast te leggen en te analyseren. Dit wordt gedaan met libPcap en winPcap die de netwerkpakketten vastleggen. De netwerkpakketten kunnen vervolgens worden geanalyseerd op kwaadaardige activiteiten. De tool biedt de mogelijkheid om het verkeer te filteren met behulp van verschillende filters, het wordt gedaan op basis van protocollen, string aanwezigheid, enz.
het hulpprogramma kan worden gedownload op: https://www.wireshark.org/download.html
USB-Schrijfblokker
zoals de naam al doet vermoeden, wordt USB-schrijfblokker gebruikt voor het Forensisch Onderzoek van opslagstations. Het maximum dat het kan analyseren is 2TB. Het is een hardware-apparaat in tegenstelling tot de rest van de tools die worden besproken. Het wordt gebruikt om opslag te klonen en te analyseren, waardoor de authenticiteit van gegevens wordt gewaarborgd.
Lees meer over USB-schrijfblokker op: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
X-ways Forensics
X-ways is een Duits product en heeft veel functies, het kan worden beschouwd als een uitputtend hulpmiddel. De tool gebruikt niet veel middelen in vergelijking met de functies die het biedt. Het kan worden gebruikt voor-disk imaging en analyse, analyse van verschillende disk formaten, case management, registry view, metadata extractie, enz.
voor complete functieset refereer: http://www.x-ways.net/forensics/
DumpZilla
Dumpzilla wordt gebruikt om browserinformatie te verzamelen en te analyseren, inclusief browsergeschiedenis. De tool is ontwikkeld in Python 3.x en is beschikbaar voor zowel windows als linux. Het onderzoeksbereik is niet beperkt tot browsergeschiedenis, het omvat ook cookies, proxy-instellingen, webformulieren, bladwijzers, cache, add-ons, opgeslagen wachtwoorden, enz.
ExifTool
ExifTool wordt gebruikt voor het verzamelen en analyseren van metagegevens uit verschillende afbeeldingen, audio-en PDF-bestanden. Het is zowel beschikbaar in command line en GUI versies. Voer de toepassing voor windows uit en sleep & de bestanden die moeten worden geanalyseerd. De lijst met bestandsformaten die kunnen worden geanalyseerd met deze tool is uitputtend. De volledige lijst is beschikbaar op: https://www.sno.phy.queensu.ca/~phil/exiftool/
de tool is snel en klein in omvang in vergelijking met de aangeboden functionaliteit.
Afbeeldingsbron: https://hvdwolf.github.io
Binwalk
Binwalk wordt gebruikt voor het zoeken naar een binaire afbeelding van ingebedde bestanden .exe code. De tool is in staat om het extraheren van alle bestanden die aanwezig zijn in de firmware om een tekenreeks zoeken uit te voeren. De tool is krachtig genoeg in combinatie met verschillende andere tools, en is een must in een forensic investigator toolkit.
Hashdeep
Hashdeep wordt gebruikt voor het genereren, matchen en uitvoeren van hash-auditing. Andere programma ‘ s zullen rapporteren of een hash is gematched of gemist, maar Hashdeep kan een gedetailleerd beeld van het grote geheel geven. Het kan ons helpen bij het identificeren van overeenkomende bestanden, gemiste bestanden, het vinden van hash botsingen en diverse andere attributen van de hashes. Houd dit bij u als integriteit van de bestanden is van het grootste belang in deze gevallen.
Volafox
Volafox wordt gebruikt voor Mac OS X-geheugenanalyse. Het kan helpen bij het vinden van kernelextensies, het verzamelen van kernelinformatie, taaklijsten, het detecteren van hooks, netwerklijsten, het dumpen van een bestand uit het geheugen, het presenteren van opstartinformatie en veel andere details. Dit is een must have als het onderzoeksdoel een MAC OS X is.
Chkrootkit
dit programma wordt gebruikt om de aanwezigheid van rootkits op een systeem te bepalen. Het programma is in staat om de aanwezigheid van meer dan 60 rootkits te identificeren. Dit zal van grote hulp zijn bij het analyseren van malware-infectie en gevallen van netwerkcompromis. Nieuwe rootkits zijn geschreven om het detectiemechanisme te omzeilen, maar rootkit schrijven is een kunst die moeilijk te beheersen is.
zift
sans investigation forensic toolkit is een VM die vooraf is geladen met de tools die nodig zijn om forensische analyse uit te voeren. Het is perfect voor beginners, omdat het bespaart-Gereedschap vinden, downloaden en installatie tijd.
Afbeeldingsbron: https://www.andreafortuna.org/
CAINE
CAINE is een open source Linux-distributie die speciaal is ontwikkeld voor digitaal forensisch onderzoek. Het heeft een gebruiksvriendelijke grafische interface en tools. Refereer naar deze link voor dieper inzicht in CAINE: https://www.caine-live.net/
Afbeeldingsbron: https://www.caine-live.net/
Wat is het voordeel van een organisatie en een IT security expert?
kwaadaardige activiteiten gebeuren dagelijks in organisaties. Iemand klikte op een kwaadaardige link, installeerde een kwaadaardige software, bezocht phishing of kwaadaardige websites, enz. Het is de verantwoordelijkheid van de onderzoekers om de onderliggende oorzaak van het probleem te achterhalen en ervoor te zorgen dat er controles worden uitgevoerd zodat het incident zich niet opnieuw voordoet. Een malware-incident kan het netwerk van een bedrijf tot op de knieën brengen en daarom is een onderzoek vereist. Wat als een werknemer ontslag neemt bij een bedrijf of wordt beschuldigd van bedrijfsspionage zaak. In dergelijke gevallen hebben organisaties onderzoekers nodig om de digitale deep dives uit te voeren, om de waarheid naar boven te brengen.
het kost tijd en ervaring om een forensisch expert te worden. De onderzoeker moet kritische kennis hebben over het object dat wordt onderzocht. Elke misser in de collectie of analyse kan ernstige gevolgen hebben voor de zaak. De deskundige moet uiterst voorzichtig zijn bij het identificeren, bewaren en rapporteren van het bewijsmateriaal. Vandaar, steeds een expert in forensische is niet gemakkelijk, maar big bucks worden niet betaald voor eenvoudige dingen. Dit is een niche vaardigheid die het begrip van elk bit van het systeem vereist, en hoe het te gebruiken als bewijs. Er zijn gespecialiseerde cursussen in het veld ook, als men geïnteresseerd is. Sommige bedrijven bieden training voor hun producten die wereldwijd worden gebruikt. Een van de producten is Encase. Het bedrijf biedt certificering voor Encase certified Forensic Investigator (overweeg ook het controleren van dit perfecte pakket van informatie voor CISSP certificering).
conclusie
het artikel bevat enkele van de populaire forensische hulpmiddelen. De tools zijn niet gerangschikt met betrekking tot prioriteit, omdat ze verschillende doeleinden dienen. Sommige zijn speciaal ontworpen voor harde schijf analyse, sommige voor mobiele onderzoeken en ga zo maar door. In het geval dat u nieuw bent in forensics kunt u beginnen met individuele tools, het nemen van een diepe duik in elk. U kunt ook beginnen met de vooraf gebouwde VM en distributies zoals CAINE, zodat u tijd kunt besparen en meer te leren. Zorg ervoor dat u betrekking heeft op de informatie geïdentificeerd met echte wereld scenario ‘ s; bijvoorbeeld infectie krijgen verspreid via een kwaadaardig opslagapparaat aangesloten, of een CNC-verbinding gemaakt in de netwerken. U kunt ook zoeken naar meer forensische tools en experimenteren. Als criminelen worden steeds geavanceerd met elke misdaad; bedrijven ontwikkelen meer geavanceerde tools die het onderzoek kunnen versnellen, indien gebruikt door experts. Het punt dat hier moet worden opgemerkt is dat, hoe geavanceerd het instrument ook wordt, het vereist een deskundig oog om de logica te identificeren en de feiten te correleren.
Klik hier om uw CyberSecurity-carrière te starten
