Top 20 Trending Computer Forensics Tools din 2018
- Introducere
- ce sunt instrumentele de criminalistică computerizată?
- care este activitatea unui investigator criminalist?
- clasificarea instrumentelor medico-legale
- volatilitate
- EnCase
- MailXaminer
- FTK
- REGA
- Bulk Extractor
- oxigen criminalistica
- FireEye RedLine
- autopsia
- Wireshark
- USB Write Blocker
- X-Ways Forensics
- DumpZilla
- ExifTool
- Binwalk
- Hashdeep
- Volafox
- Chkrootkit
- SIFT
- CAINE
- cum beneficiază o organizație și un expert în securitate IT?
- concluzie
Introducere
cuvântul “Forensics” se referă la tehnicile utilizate de anchetatori pentru a rezolva o crimă. Fiecare invenție are argumente pro și contra. Computerele și dispozitivele electronice au evoluat mult mai repede și sunt utilizate în crimele moderne. Arta investigării unei infracțiuni, efectuată cu sau care implică computere, se numește criminalistică computerizată. Pentru a fi mai precis, este tehnica utilizată pentru extragerea și păstrarea probelor din dispozitive și prezentarea ulterioară a acestora în instanța de judecată. Computerele sunt atât o țintă, cât și o armă. Atacatorii au evoluat, folosesc sisteme informatice sofisticate pentru a comite astfel de infracțiuni de phishing atroce (Iată o resursă care vă va naviga prin atacuri de securitate cibernetică). Ținta poate fi un sistem de acasă, o rețea corporativă sau chiar toate computerele pe care le pot conecta la acesta. Cu această rată tot mai mare a criminalității care implică calculatoare, colectarea probelor a devenit o parte vitală. Acest lucru necesită profesioniști experți în medicină legală.
ce sunt instrumentele de criminalistică computerizată?
acestea sunt instrumentele care au fost dezvoltate de programatori pentru a ajuta la colectarea dovezilor digitale. Aceste instrumente au evoluat și pot efectua tot felul de activități– de la nivel de bază la nivel avansat. Instrumentele medico-legale pot fi clasificate pe baza sarcinii pe care o îndeplinesc.
-
instrumente medico-legale de rețea
-
instrumente de analiză a bazelor de date
-
instrumente de analiză a fișierelor
-
instrumente de analiză a Registrului
-
instrumente de analiză a e-mailurilor
-
instrumente de analiză OS
-
captură de disc și date
vom discuta despre instrumentele criminalistice 20 în detaliu mai târziu în acest articol.
care este activitatea unui investigator criminalist?
sarcina majoră a unui investigator criminalistic este de a găsi și păstra dovezile datelor. El ar trebui să fie bine versat cu procedurile și protocoalele care trebuie urmate:
la locul crimei,
-
colectarea și manipularea probelor
ei adună și păstrează dovezi fizice și își documentează activitățile.
în laborator,
-
analiza dovezilor
ei examinează ceea ce au adunat.
ei încearcă să reconstruiască ceea ce sa întâmplat.
în instanță
-
prezentarea și raportarea dovezilor
urmați standarde stricte, astfel încât munca lor să fie acceptabilă pentru instanță. Ei pot fi chemați să depună mărturie despre constatările și metodele lor.
clasificarea instrumentelor medico-legale
volatilitate
volatilitatea este un cadru open source utilizat pentru a efectua criminalistica de memorie volatilă. Este scris în Python și acceptă aproape toate mașinile de 32 și 64 de biți. Lista completă a sistemelor suportate de volatilitate pot fi găsite la http://www.volatilityfoundation.org/faq
se poate efectua recunoaștere pe liste de proces, porturi, conexiuni de rețea, fișiere registry, DLL, haldele de avarie și sectoare cache. De asemenea, poate analiza fișierele de hibernare a sistemului și poate verifica prezența kitului root. Puteți descărca cadrul de volatilitate de la https://code.google.com/archive/p/volatility/downloads
este deja prezent în Linux kali în secțiunea criminalistică. Mai jos este un instantaneu al volatilității.
EnCase
Encase este un instrument multifuncțional de investigare criminalistică. Poate ajuta anchetatorii criminalistici pe tot parcursul ciclului de viață al investigației:
-
Triaj criminalistic: prioritizarea dosarelor pentru volatilitatea bazei de investigare și câțiva alți parametri.
-
colectare: colectarea datelor digitale fără a compromite integritatea.
-
decripta: abilitatea de a analiza fișierele de date criptate prin decriptarea lor. Acest lucru se face prin utilizarea mecanismelor de recuperare a parolei.
-
proces: ajută la indexarea dovezilor și la automatizarea sarcinilor comune, astfel încât timpul să poată fi cheltuit mai degrabă pentru investigație decât pentru proces.
-
investigați: poate efectua investigații pentru aproape toate sistemele de operare windows și mobile.
-
raport: creați un raport care va servi tuturor audienței. Raportul trebuie să aibă șabloane de raportare cu diferite opțiuni de format.
instrumentul nu este gratuit și prețul poate fi solicitat aici: https://www.guidancesoftware.com/encase-forensic
MailXaminer
după cum sugerează și numele, MailXaminer este utilizat pentru a efectua analize de e-mail. Se poate examina e-mailuri de la ambele web și clienții de e-mail bazate pe aplicații. Ajută investigatorul să colecteze dovezi prin e-mail, să aranjeze dovezile, să caute e-mailurile folosind diverse opțiuni avansate, cum ar fi Regex. Are capacitatea de a detecta și raporta atașamente obscene de imagine utilizând analiza skintone. Poate suporta peste 20 de formate de e-mail și poate genera raportul cu dovezi în formatul necesar. Acest lucru poate ajuta la închiderea cauzei într-o instanță de judecată.
acesta nu este un instrument gratuit, dar versiunea de evaluare poate fi descărcată de pe: https://www.mailxaminer.com/
sursa imaginii: https://lscnetwork.blog
FTK
FTK sau Forensic toolkit este folosit pentru a scana hard disk și să caute dovezi. FTK este dezvoltat de AccessData și are un modul independent numit FTK Imager. Poate fi folosit pentru a imagina hard diskul, asigurând integritatea Datelor folosind hashing. Se poate imagine hard disk într-un singur fișier pentru fișiere în mai multe secțiuni, care pot fi mai târziu s-au alăturat pentru a obține o imagine reconstruit. Anchetatorii pot alege între GUI sau linia de comandă ca pe comoditate.
mai multe informații despre FTK pot fi accesate la https://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGA este utilizat pentru efectuarea analizei registry windows. Versiunea freeware poate fi descărcat de la http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
este o aplicație bazată pe GUI. Utilizatorul poate crea un caz și încărca registrul. Registrul poate fi căutat folosind filtre sau manual folosind marcajele de timp. Caracteristici REGA:
– colectarea datelor: colectați fișierele de registru țintă pentru enumerare și analiză.
– recuperare: Recuperare registru pentru chei șterse.
– analiză:
-
analiza Windows: Proprietar, date de instalare etc.
-
analiza stocării: conturile prezente, comenzile rulate, analiza istoricului browserului (URL-uri).
-
analiza conexiunii la rețea: conexiuni de unitate de rețea etc.
-
analiza aplicațiilor: lista rulărilor automate, istoricul utilizării aplicațiilor etc.
-
managementul SW și HW: instalații Software și hardware, conexiuni dispozitive de stocare.
– raportare: creați rapoarte de rezultate în formate CSV.
instrumentul este scris în C/C++ și este disponibil în limbile engleză, coreeană și japoneză.
Bulk Extractor
Bulk extractor poate fi utilizat pentru extragerea informațiilor importante din fișiere și hard disk-uri. Instrumentul poate efectua o scanare indiferent de ierarhia fișierelor. Bulk Extractor vine instalat în Kali Linux, acesta poate fi, de asemenea, instalat manual pe alte sisteme de operare.
Link către Git: https://github.com/simsong/bulk_extractor
Bulk extractor creează un director de ieșire care include informații despre card de credit, domenii de Internet, e-mailuri, adrese MAC, adrese IP, imagini și clipuri video, URL-uri, numere de telefon, căutări efectuate, etc.
oxigen criminalistica
oxigen medico-legale Suite este folosit pentru a aduna dovezi digitale de la telefoane mobile și servicii cloud utilizate pe telefoane. Suita poate ocoli blocarea ecranului Android, obține istoricul locațiilor, extrage date din depozitele cloud, analizează înregistrările apelurilor și datelor, caută cuvinte cheie de date, recuperează datele șterse și exportă date în diferite formate de fișiere. Aceasta susține diverse platforme mobile, inclusiv Android, Sony, Blackberry și iPhone.
generează rapoarte ușor de înțeles pentru o corelare mai ușoară.
vizitați site-ul oficial pentru mai multe informații: https://www.oxygen-forensic.com/en/
sursa imaginii: http://www.dataforensics.org
FireEye RedLine
RedLine a fost inițial produsul Organizației Mandiant, preluat ulterior de FireEye. Acesta este un instrument freeware care poate fi folosit pentru a efectua analize de memorie și gazdă pentru urme de infecție sau orice activitate rău intenționată.
poate fi utilizat pentru a colecta și corela informații despre procesele care rulează, unitățile de memorie, Registrul, metadatele sistemului de fișiere, jurnalele de evenimente, istoricul web și activitatea rețelei. Se poate lista scurtă a proceselor folosind malware risk index score, și apoi să le investigheze în continuare.
citiți mai multe aici: https://www.fireeye.com/services/freeware/redline.html
autopsia
autopsia este un software criminalistic digital open source, este utilizat pentru efectuarea investigațiilor pe hard disk. Este folosit de diverse agenții de aplicare a legii, anchetatori militari și guvernamentali și corporativi pentru a efectua investigații digitale. Compania oferă, de asemenea, dezvoltare personalizată și instruire pentru a ajuta utilizatorii să profite din plin de instrument. Este prezent atât pentru Windows, cât și Pentru Linux și este preinstalat și în Kali Linux.
versiunea windows poate fi descărcată de pe: https://www.autopsy.com/download/
instrumentul este construit pentru ușurința de utilizare și pentru a oferi extensibilitate – utilizatorul poate personaliza instrumentul, și este capabil de a adăuga noi funcționalități prin crearea de plug-in-uri. Autopsia are 3 versiuni de acum și versiunea 2 se bazează pe kitul Sleuth pentru a efectua analiza discului.
mai multe informații despre trusa de detectiv sunt disponibile la: https://www.sleuthkit.org/autopsy/
Wireshark
Wireshark este utilizat pentru a capta și analiza traficul de rețea. Acest lucru se face folosind libPcap și winPcap care captează pachetele de rețea. Pachetele de rețea pot fi apoi analizate pentru activități rău intenționate. Instrumentul oferă posibilitatea de a filtra traficul folosind diverse filtre, se face pe baza protocoalelor, prezenței șirului etc.
instrumentul poate fi descărcat de la: https://www.wireshark.org/download.html
USB Write Blocker
după cum sugerează și numele, USB write blocker este utilizat pentru investigarea criminalistică a unităților de stocare. Maximul pe care îl poate analiza este de 2 TB. Este un dispozitiv hardware, spre deosebire de restul instrumentelor care sunt discutate. Este folosit pentru a clona și analiza stocarea, asigurând autenticitatea datelor.
citiți mai multe despre blocatorul de scriere USB la: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
X-Ways Forensics
x-ways este un produs German și are o mulțime de caracteristici, poate fi considerat un instrument exhaustiv. Instrumentul nu utilizează multe resurse în comparație cu funcțiile pe care le oferă. Poate fi folosit pentru – imagistica și analiza discului, analiza diferitelor formate de disc, gestionarea cazurilor, vizualizarea registrului, extragerea metadatelor etc.
pentru setul complet de caracteristici consultați: http://www.x-ways.net/forensics/
DumpZilla
Dumpzilla este utilizat pentru a colecta și analiza informații despre browser, inclusiv istoricul browserului. Instrumentul este dezvoltat în Python 3.x și este disponibil atât pentru windows cât și pentru linux. Domeniul investigației nu se limitează la istoricul browserului, ci include și cookie-uri, setări proxy, formulare web, marcaje, cache, suplimente, parole salvate etc.
ExifTool
ExifTool este folosit pentru a aduna și analiza informații de metadate din diferite imagini, fișiere audio și PDF. Este disponibil atât în versiunile de linie de comandă, cât și în versiunile GUI. Pur și simplu executați aplicația pentru windows și trageți & aruncați fișierele care urmează să fie analizate. Lista formatelor de fișiere care pot fi analizate cu acest instrument este exhaustivă. Lista completă este disponibilă la: https://www.sno.phy.queensu.ca/~phil/exiftool/
instrumentul este rapid și de dimensiuni mici în comparație cu funcționalitatea furnizată.
sursa imaginii: https://hvdwolf.github.io
Binwalk
Binwalk este utilizat pentru căutarea unei imagini binare a fișierelor încorporate în .codul exe. Instrumentul este capabil să extragă toate fișierele prezente în firmware pentru a efectua o căutare șir. Instrumentul este suficient de puternic atunci când este cuplat cu diverse alte instrumente și este o necesitate într-un set de instrumente pentru investigatori medico-legali.
Hashdeep
Hashdeep este utilizat pentru a genera, potrivi și efectua auditul hash. Alte programe vor raporta dacă un hash este potrivit sau ratat, dar Hashdeep poate oferi o imagine detaliată a imaginii de ansamblu. Ne poate ajuta să identificăm fișiere potrivite, fișiere pierdute, să găsim coliziuni de hash și diverse alte atribute ale hash-urilor. Păstrați acest lucru cu dvs., deoarece integritatea fișierelor este de cea mai mare importanță în aceste cazuri.
Volafox
Volafox este utilizat pentru analiza memoriei MAC OS X. Poate ajuta la găsirea extensiilor de kernel, colectarea informațiilor despre kernel, listarea sarcinilor, detectarea cârligelor, listarea rețelei, aruncarea unui fișier din memorie, prezentarea informațiilor de pornire și multe alte detalii. Aceasta este o trebuie să aibă în cazul în care ținta de anchetă este un MAC OS X.
Chkrootkit
acest program este utilizat pentru a determina prezența rootkit-uri pe un sistem. Programul este capabil să identifice prezența a peste 60 de rootkit-uri. Acest lucru va fi de mare ajutor în analiza infecției malware și a cazurilor de compromis în rețea. Rootkit-urile noi sunt scrise pentru a ocoli mecanismul de detectare, dar scrierea rootkit-ului este o artă greu de stăpânit.
SIFT
SANS Investigation forensic toolkit este un VM care este preîncărcat cu instrumentele necesare pentru a efectua analize medico-legale. Este perfect pentru incepatori, deoarece economisește-instrument de constatare, descărcarea și timpul de instalare.
sursa imaginii: https://www.andreafortuna.org/
CAINE
CAINE este o distribuție Linux open source care a fost dezvoltată special pentru criminalistica digitală. Are interfață grafică și instrumente ușor de utilizat. Consultați acest link pentru o perspectivă mai profundă asupra lui CAINE: https://www.caine-live.net/
sursa imaginii: https://www.caine-live.net/
cum beneficiază o organizație și un expert în securitate IT?
activitățile rău intenționate se întâmplă zilnic în organizații. Cineva a făcut clic pe un link rău intenționat, a instalat un software rău intenționat, a vizitat site-uri de phishing sau rău intenționate etc. Este responsabilitatea anchetatorilor să ajungă la cauza principală a problemei și să se asigure că există controale, astfel încât incidentul să nu se mai întâmple. Un incident malware poate aduce rețeaua unei companii în genunchi și, prin urmare, este necesară o investigație. Ce se întâmplă dacă un angajat demisionează dintr-o companie sau este acuzat de caz de spionaj corporativ. În astfel de cazuri, organizațiile au nevoie de anchetatori pentru a efectua scufundările digitale profunde, pentru a scoate la iveală adevărul.
este nevoie de timp și experiență pentru a deveni un expert în criminalistică. Investigatorul ar trebui să aibă cunoștințe critice despre obiectul investigat. Orice lipsă de colectare sau analiză poate avea un impact grav asupra cazului. Expertul trebuie să aibă grijă deosebită în identificarea, păstrarea și raportarea probelor. Prin urmare, a deveni expert în criminalistică nu este ușor, dar banii mari nu sunt plătiți pentru lucruri ușoare. Aceasta este o abilitate de nișă care necesită înțelegerea fiecărui bit al sistemului și modul de utilizare a acestuia ca dovadă. Există și cursuri de specialitate în domeniu, dacă cineva este interesat. Unele companii oferă instruire pentru produsele lor utilizate în întreaga lume. Unul dintre produse este Encase. Compania oferă certificare pentru Investigator criminalistic certificat Encase (luați în considerare, de asemenea, verificarea acestui pachet perfect de informații pentru certificarea cissp).
concluzie
articolul conține câteva dintre instrumentele medico-legale populare. Instrumentele nu sunt aranjate în funcție de prioritate, deoarece servesc unor scopuri diferite. Unele sunt concepute special pentru analiza hard disk, unele pentru investigații mobile și așa mai departe. În cazul în care sunteți nou la criminalistică, puteți începe cu instrumente individuale, făcând o scufundare profundă în fiecare. De asemenea, puteți începe cu VM-ul pre-construit și distribuțiile precum CAINE, astfel încât să puteți economisi timp și să aflați mai multe. Asigurați-vă că raportați informațiile identificate cu scenarii din lumea reală; de exemplu, răspândirea infecției printr-un dispozitiv de stocare rău intenționat conectat sau o conexiune CNC creată în rețele. De asemenea, puteți căuta mai multe instrumente medico-legale și puteți experimenta. Ca criminali sunt obtinerea avansate cu fiecare crimă; companiile dezvoltă instrumente mai sofisticate care pot accelera ancheta, dacă sunt utilizate de experți. Punctul de remarcat aici este că, indiferent cât de avansat devine instrumentul, este nevoie de un ochi expert pentru a identifica logica și a corela faptele.
Faceți clic aici pentru a vă relansa cariera în domeniul securității cibernetice