Top 20 Trendy Computer Forensics Tools of 2018

wprowadzenie

słowo “Forensics” odnosi się do technik stosowanych przez śledczych do rozwiązania przestępstwa. Każdy wynalazek ma swoje plusy i minusy. Komputery i urządzenia elektroniczne ewoluowały znacznie szybciej i są wykorzystywane we współczesnych przestępstwach. Sztuka dochodzenia w sprawie przestępstwa, prowadzone z lub z udziałem komputerów, nazywa się computer forensics. Dokładniej mówiąc, jest to technika stosowana do wydobywania i utrwalania dowodów z urządzeń, a następnie przedstawiania ich w sądzie. Komputery są zarówno celem, jak i bronią. Atakujący ewoluowali, używają wyrafinowanych systemów komputerowych do popełniania tak ohydnych przestępstw phishingowych (oto zasób, który poprowadzi Cię przez ataki cyberbezpieczeństwa). Celem może być system domowy, sieć korporacyjna, a nawet wszystkie komputery, które mogą się z nim połączyć. Wraz z tym rosnącym wskaźnikiem przestępczości związanej z komputerami, gromadzenie dowodów stało się istotną częścią. To wymaga eksperta komputerowego kryminalistyki.

czym są narzędzia informatyczno-śledcze?

są to narzędzia, które zostały opracowane przez programistów, aby pomóc w gromadzeniu dowodów cyfrowych. Narzędzia te ewoluowały i mogą wykonywać wszelkiego rodzaju czynności-od poziomu podstawowego do zaawansowanego. Narzędzia kryminalistyczne można skategoryzować na podstawie wykonywanego zadania.

• sieciowe narzędzia Kryminalistyczne

• narzędzia analizy baz danych

• narzędzia do analizy plików

• narzędzia do analizy rejestru

• narzędzia do analizy e-mail

• narzędzia do analizy systemu operacyjnego

• przechwytywanie dysków i danych

omówimy szczegółowo 20 narzędzi kryminalistycznych w dalszej części tego artykułu.

na czym polega praca śledczego?

głównym zadaniem śledczego śledczego jest znalezienie i zachowanie dowodów danych. Powinien być dobrze obeznany z procedurami i protokołami, których należy przestrzegać:

na miejscu zbrodni,

• gromadzenie i obsługa dowodów

gromadzą i przechowują fizyczne dowody oraz dokumentują swoją działalność.

w laboratorium,

• Analiza dowodów

badają to, co zebrali.

próbują zrekonstruować to, co się stało.

w sądzie

• prezentacja i raportowanie dowodów

przestrzegaj ścisłych standardów, aby ich praca była Akceptowalna przez Sąd. Mogą być wezwani, aby zeznawać o swoich odkryciach i metodach.

Klasyfikacja narzędzi kryminalistycznych

zmienność

zmienność jest strukturą open source używaną do wykonywania badań dotyczących pamięci niestabilnej. Jest napisany w Pythonie i obsługuje prawie wszystkie maszyny 32 i 64bit. Pełna lista systemów obsługiwanych przez zmienność znajduje się pod adresem http://www.volatilityfoundation.org/faq

może wykonywać rekonesans na listach procesów, portach, połączeniach sieciowych, plikach rejestru, bibliotekach DLL, zrzutach awarii i sektorach buforowanych. Może również analizować pliki hibernacji systemu i może również sprawdzić obecność zestawu root. Możesz pobrać Framework zmienności z https://code.google.com/archive/p/volatility/downloads

jest już obecny w Linuksie kali w sekcji forensic. Poniżej znajduje się migawka zmienności.

EnCase

Encase jest wielofunkcyjnym narzędziem śledczym. Może pomóc śledczym w całym cyklu życia dochodzenia:

• triage kryminalistyczny: priorytetyzacja plików pod kątem zmienności podstawy badania i kilku innych parametrów.

• zbieranie: zbieranie danych cyfrowych bez naruszania integralności.

• Odszyfruj: możliwość analizy zaszyfrowanych plików danych poprzez ich odszyfrowanie. Odbywa się to za pomocą mechanizmów odzyskiwania hasła.

• proces: pomaga w indeksowaniu dowodów i automatyzacji typowych zadań, dzięki czemu czas można poświęcić na dochodzenie, a nie Proces.

• zbadaj: może przeprowadzić badanie dla prawie wszystkich systemów operacyjnych windows i mobilnych.

• raport: Utwórz raport, który będzie służył wszystkim odbiorcom. Raport musi mieć szablony raportów z różnymi opcjami formatu.

narzędzie nie jest bezpłatne, A cenę można zażądać tutaj: https://www.guidancesoftware.com/encase-forensic

MailXaminer

jak sama nazwa wskazuje, MailXaminer jest używany do analizy poczty e-mail. Może sprawdzać wiadomości e-mail od klientów pocztowych zarówno internetowych, jak i aplikacji. Pomaga badaczowi w zbieraniu dowodów e-mail, organizowaniu dowodów, przeszukiwaniu e-maili za pomocą różnych zaawansowanych opcji, takich jak Regex. Ma możliwość wykrywania i zgłaszania obscenicznych załączników obrazu za pomocą analizy skintone. Może obsługiwać formaty e-mail 20+ i może generować raport z dowodami w wymaganym formacie. Może to pomóc w zamknięciu sprawy w sądzie.

nie jest to darmowe narzędzie, ale wersję ewaluacyjną można pobrać z: https://www.mailxaminer.com/

źródło obrazu: https://lscnetwork.blog

FTK

FTK lub Forensic toolkit służy do skanowania dysku twardego i szukania dowodów. FTK jest rozwijany przez AccessData i posiada samodzielny moduł o nazwie FTK Imager. Może być używany do obrazowania dysku twardego, zapewniając integralność danych za pomocą haszowania. Może obrazować dysk twardy w jednym pliku dla plików w wielu sekcjach, które można później połączyć, aby uzyskać zrekonstruowany obraz. Śledczy mogą wybrać między GUI lub Wiersza poleceń zgodnie z wygodą.

więcej informacji o FTK można uzyskać pod adresem https://accessdata.com/products-services/forensic-toolkit-ftk

REGA

REGA służy do wykonywania analizy rejestru systemu windows. Darmową wersję można pobrać z http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip

jest to aplikacja oparta na GUI. Użytkownik może utworzyć sprawę i załadować rejestr. Rejestr można przeszukiwać za pomocą filtrów lub ręcznie za pomocą znaczników czasu. Funkcje REGA:

– zbieranie danych: Zbieraj docelowe pliki rejestru w celu wyliczenia i analizy.

– Recovery: Odzyskiwanie rejestru dla usuniętych kluczy.

– Analiza:

• Analiza Windows: Właściciel, dane instalacyjne itp.

• Analiza pamięci masowej: obecne konta, Uruchamianie poleceń, analiza historii przeglądarki (adresy URL).

• analiza połączeń sieciowych: połączenia dysków sieciowych itp.

• analiza aplikacji: Lista automatycznych uruchomień, historia użycia aplikacji, itd.

• zarządzanie sprzętem i sprzętem: instalacje oprogramowania i sprzętu, połączenia urządzeń pamięci masowej.

– raportowanie: twórz raporty wyników w formacie CSV.

narzędzie jest napisane w C/C++ i jest dostępne w językach angielskim, koreańskim i japońskim.

Ekstraktor zbiorczy

Ekstraktor zbiorczy może być używany do wyodrębniania ważnych informacji z plików i dysków twardych. Narzędzie może wykonywać skanowanie niezależnie od hierarchii plików. Bulk Extractor jest zainstalowany w Kali Linux, może być również zainstalowany ręcznie na innym systemie operacyjnym.

Link do Git: https://github.com/simsong/bulk_extractor

masowy ekstraktor tworzy katalog wyjściowy, który zawiera informacje o karcie kredytowej, domenach internetowych, e-mailach, adresach MAC, adresach IP, zdjęciach i filmach, adresach URL, numerach telefonów, wykonanych wyszukiwaniach itp.

Oxygen Forensics

Oxygen Forensic Suite służy do zbierania dowodów cyfrowych z telefonów komórkowych i usług w chmurze używanych w telefonach. Pakiet może ominąć blokadę ekranu Androida, uzyskać historię lokalizacji, wyodrębnić dane z magazynów w chmurze, analizować połączenia i zapisy danych, wyszukiwać słowa kluczowe danych, odzyskiwać usunięte DANE i eksportować dane do różnych formatów plików. Obsługuje różne platformy mobilne, w tym Android, Sony, Blackberry i iPhone.

generuje łatwe do zrozumienia raporty dla łatwiejszej korelacji.

odwiedź oficjalną stronę, aby uzyskać więcej informacji: https://www.oxygen-forensic.com/en/

źródło obrazu: http://www.dataforensics.org

FireEye RedLine

RedLine był pierwotnie produktem organizacji Mandiant, później przejętej przez FireEye. Jest to darmowe narzędzie, które może być używane do wykonywania analizy pamięci i hosta pod kątem śladów infekcji lub jakiejkolwiek złośliwej aktywności.

może być używany do zbierania i korelowania informacji o uruchomionych procesach, dyskach pamięci, rejestrze, metadanych systemu plików, dziennikach zdarzeń, historii sieci i aktywności sieciowej. Może skrócić procesy za pomocą wskaźnika ryzyka złośliwego oprogramowania, a następnie zbadać je dalej.

Czytaj więcej tutaj: https://www.fireeye.com/services/freeware/redline.html

autopsja

autopsja jest cyfrowym oprogramowaniem kryminalistycznym o otwartym kodzie źródłowym, służy do prowadzenia badań na dysku twardym. Jest on używany przez różne organy ścigania, wojskowych i rządowych i korporacyjnych śledczych do prowadzenia dochodzeń cyfrowych. Firma zapewnia również niestandardowy rozwój i szkolenia, aby pomóc użytkownikom w pełni wykorzystać narzędzie. Jest obecny zarówno dla Windows, jak i Linuksa i jest Preinstalowany również w Kali Linux.

wersję windows można pobrać z: https://www.autopsy.com/download/

narzędzie jest zbudowane z myślą o łatwości użytkowania i rozszerzalności – użytkownik może dostosować narzędzie i może dodawać nowe funkcje, tworząc wtyczki. Autopsja ma obecnie 3 wersje, a wersja 2 opiera się na zestawie Sleuth do wykonywania analizy dysku.

więcej informacji o zestawie Sleuth można znaleźć pod adresem: https://www.sleuthkit.org/autopsy/

Wireshark

Wireshark służy do przechwytywania i analizy ruchu sieciowego. Odbywa się to za pomocą libPcap i winPcap, które przechwytują pakiety sieciowe. Pakiety sieciowe mogą być następnie analizowane pod kątem złośliwej aktywności. Narzędzie oferuje możliwość filtrowania ruchu za pomocą różnych filtrów, odbywa się to w oparciu o protokoły, obecność łańcuchów itp.

narzędzie można pobrać pod adresem: https://www.wireshark.org/download.html

USB Write Blocker

jak sama nazwa wskazuje, USB write blocker jest używany do Kryminalistycznego badania dysków pamięci. Maksymalnie może analizować 2TB. Jest to urządzenie sprzętowe w przeciwieństwie do reszty narzędzi, które są omawiane. Służy do klonowania i analizy pamięci masowej, zapewniając autentyczność danych.

Czytaj więcej o USB write blocker na: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/

X-Ways Forensics

X-ways jest niemieckim produktem i ma wiele funkcji, można go uznać za wyczerpujące narzędzie. Narzędzie nie korzysta z wielu zasobów w porównaniu do funkcji, które oferuje. Może być używany do-obrazowania i analizy dysków, analizy różnych formatów dysków, zarządzania sprawami, widoku rejestru, ekstrakcji metadanych itp.

aby uzyskać pełny zestaw funkcji, zapoznaj się z: http://www.x-ways.net/forensics/

DumpZilla

Dumpzilla służy do zbierania i analizowania informacji o przeglądarce, w tym historii przeglądarki. Narzędzie jest rozwijane w Pythonie 3.x i jest dostępny zarówno dla windows, jak i linux. Zakres dochodzenia nie ogranicza się do historii przeglądarki, obejmuje również pliki cookie, ustawienia proxy, formularze internetowe, zakładki, pamięć podręczną, dodatki, zapisane hasła itp.

ExifTool

ExifTool służy do zbierania i analizowania informacji metadanych z różnych obrazów, plików audio i PDF. Jest on dostępny zarówno w wersji wiersza poleceń, jak i GUI. Po prostu uruchom aplikację dla windows i przeciągnij & upuść pliki, które mają być analizowane. Lista formatów plików, które można analizować za pomocą tego narzędzia, jest wyczerpująca. Pełna lista dostępna jest na stronie: https://www.sno.phy.queensu.ca/~phil/exiftool/

narzędzie jest szybkie i niewielkie w porównaniu do dostarczonej funkcjonalności.

źródło obrazu: https://hvdwolf.github.io

Binwalk

Binwalk służy do przeszukiwania binarnego obrazu osadzonych plików .kod exe. Narzędzie jest w stanie wyodrębnić wszystkie pliki obecne w oprogramowaniu, aby przeprowadzić wyszukiwanie ciągów znaków. Narzędzie jest wystarczająco potężne, gdy w połączeniu z różnymi innymi narzędziami, i jest koniecznością w forensic investigator toolkit.

Hashdeep

Hashdeep jest używany do generowania, dopasowywania i wykonywania kontroli hash. Inne programy będą raportować, czy hash jest dopasowany lub pominięty, ale Hashdeep może zapewnić szczegółowy widok ogólnego obrazu. Może pomóc nam zidentyfikować dopasowane pliki, pominięte pliki, znaleźć kolizje skrótów i różne inne atrybuty skrótów. Zachowaj to przy sobie, ponieważ integralność plików ma w tych przypadkach ogromne znaczenie.

Volafox

Volafox jest używany do analizy pamięci systemu MAC OS X. Może pomóc w znalezieniu rozszerzeń jądra, zbieraniu informacji o jądrze, listowaniu zadań, wykrywaniu hooków, listowaniu sieci, wyrzucaniu pliku z pamięci, prezentowaniu informacji o rozruchu i wielu innych szczegółów. Jest to konieczne, jeśli celem dochodzenia jest MAC OS X.

Chkrootkit

ten program jest używany do określenia obecności rootkitów w systemie. Program jest w stanie zidentyfikować obecność ponad 60 rootkitów. Będzie to bardzo pomocne w analizie infekcji złośliwym oprogramowaniem i przypadków naruszenia sieci. Nowe rootkity są pisane, aby ominąć mechanizm wykrywania, ale pisanie rootkitów jest sztuką, którą trudno opanować.

SIFT

SANS Investigation forensic toolkit to maszyna wirtualna, która jest wstępnie załadowana narzędziami wymaganymi do przeprowadzenia analizy sądowej. Jest idealny dla początkujących, ponieważ oszczędza-znalezienie narzędzia, pobranie i czas instalacji.

źródło obrazu: https://www.andreafortuna.org/

CAINE

CAINE jest otwartoźródłową dystrybucją Linuksa, która została opracowana specjalnie dla kryminalistyki cyfrowej. Posiada przyjazny dla użytkownika interfejs graficzny i narzędzia. Zapoznaj się z tym linkiem, aby uzyskać głębszy wgląd w CAINE: https://www.caine-live.net/

źródło obrazu: https://www.caine-live.net/

jakie są korzyści dla organizacji i eksperta ds. bezpieczeństwa IT?

złośliwe działania zdarzają się codziennie w organizacjach. Ktoś kliknął złośliwy link, zainstalował złośliwe oprogramowanie, odwiedził phishing lub złośliwe strony internetowe itp. Obowiązkiem śledczych jest dotarcie do głównej przyczyny problemu i upewnienie się, że kontrole są na miejscu, aby incydent nie powtórzył się. Incydent ze złośliwym oprogramowaniem może powalić sieć firmową na kolana, a zatem wymagane jest dochodzenie. Co się stanie, jeśli pracownik zrezygnuje z firmy lub zostanie oskarżony o szpiegostwo korporacyjne? W takich przypadkach organizacje potrzebują badaczy do przeprowadzenia cyfrowych głębokich nurkowań, aby wydobyć prawdę.

aby zostać ekspertem w dziedzinie kryminalistyki, potrzeba czasu i doświadczenia. Badacz powinien mieć krytyczną wiedzę na temat badanego obiektu. Każde pominięcie w kolekcji lub analizie może mieć poważny wpływ na sprawę. Ekspert musi zachować szczególną ostrożność w identyfikacji, przechowywaniu i zgłaszaniu dowodów. Stąd, staje się ekspertem w dziedzinie kryminalistyki nie jest łatwe, ale duże pieniądze nie są wypłacane za łatwe rzeczy. Jest to niszowa umiejętność, która wymaga zrozumienia każdego kawałka systemu i wykorzystania go jako dowodu. Istnieją również specjalistyczne kursy w tej dziedzinie, jeśli ktoś jest zainteresowany. Niektóre firmy oferują szkolenia dla swoich produktów używanych na całym świecie. Jednym z produktów jest Encase. Firma oferuje certyfikację Encase certified Forensic Investigator (należy również rozważyć sprawdzenie tej doskonałej paczki informacji do certyfikacji cissp).

wniosek

artykuł zawiera kilka popularnych narzędzi kryminalistycznych. Narzędzia nie są rozmieszczone w odniesieniu do priorytetu, ponieważ służą różnym celom. Niektóre są specjalnie zaprojektowane do analizy dysku twardego, niektóre do badań mobilnych i tak dalej. W przypadku, gdy jesteś nowy w technikach kryminalistycznych, możesz zacząć od poszczególnych narzędzi, szczegółowo analizując każde z nich. Możesz również zacząć od gotowej maszyny wirtualnej i dystrybucji takich jak CAINE, aby zaoszczędzić czas i dowiedzieć się więcej. Upewnij się, że informacje identyfikowane z rzeczywistymi scenariuszami; np. rozprzestrzenianie się infekcji przez podłączone złośliwe urządzenie pamięci masowej lub połączenie CNC utworzone w sieciach. Możesz także szukać więcej narzędzi kryminalistycznych i eksperymentować. Gdy przestępcy są coraz bardziej zaawansowani z każdym przestępstwem; firmy opracowują bardziej wyrafinowane narzędzia, które mogą przyspieszyć dochodzenie, jeśli zostaną wykorzystane przez ekspertów. Należy zauważyć, że bez względu na to, jak zaawansowane staje się narzędzie, wymaga eksperta, aby zidentyfikować logikę i skorelować fakty.

Kliknij tutaj, aby rozpocząć karierę w cyberbezpieczeństwie