Top 20 Trending Computer Forensics Tools of 2018
- introduktion
- vad är computer forensics tools?
- Vad är en rättsmedicinsk utredares arbete?
- klassificering av rättsmedicinska verktyg
- volatilitet
- EnCase
- MailXaminer
- FTK
- REGA
- Bulk Extractor
- Oxygen Forensics
- FireEye RedLine
- obduktion
- Wireshark
- USB-Skrivblockerare
- X-Ways Forensics
- DumpZilla
- ExifTool
- Binwalk
- Hashdeep
- Volafox
- Chkrootkit
- SIFT
- CAINE
- hur gynnar det en organisation och en IT-säkerhetsexpert?
- slutsats
introduktion
ordet “Forensics” hänvisar till de tekniker som används av utredarna för att lösa ett brott. Varje uppfinning har sina fördelar och nackdelar. Datorer och elektroniska enheter har utvecklats mycket snabbare och används i moderna brott. Konsten att utreda ett brott, utförs med eller involverar datorer, kallas dator kriminalteknik. För att vara exakt är det tekniken som används för att extrahera och bevara bevis från enheterna och därefter presentera det i domstolen. Datorer är både ett mål och ett vapen. Angripare har utvecklats, de använder sofistikerade datorsystem för att begå sådana avskyvärda phishing-brott (här är en resurs som kommer att navigera dig genom cybersäkerhetsattacker). Målet kan vara ett hemsystem, företagsnätverk eller till och med alla datorer som de kan ansluta till det. Med denna ökande brottsfrekvens som involverar datorer har bevisinsamling blivit en viktig del. Detta kräver expert dator rättsmedicinska proffs.
vad är computer forensics tools?
dessa är de verktyg som har utvecklats av programmerare för att underlätta digital bevisuppsamling. Dessa verktyg har utvecklats och kan utföra alla typer av aktiviteter– från grundläggande till avancerad nivå. Rättsmedicinska verktyg kan kategoriseras utifrån den uppgift de utför.
-
nätverk rättsmedicinska verktyg
-
Databasanalysverktyg
-
verktyg för filanalys
-
Registeranalysverktyg
-
verktyg för e-postanalys
-
OS analysis tools
-
Disk och data capture
vi kommer att diskutera om 20 rättsmedicinska verktyg i detalj senare i den här artikeln.
Vad är en rättsmedicinsk utredares arbete?
en kriminalteknisk utredares huvuduppgift är att hitta och bevara databeviset. Han borde vara väl insatt i de förfaranden och protokoll som ska följas:
på brottsplatsen,
-
insamling och hantering av bevis
de samlar in och bevarar fysiska bevis och dokumenterar sina aktiviteter.
i laboratoriet,
-
Evidensanalys
de undersöker vad de har samlat.
de försöker rekonstruera vad som hände.
i domstol
-
Bevispresentation och rapportering
följ strikta normer så att deras arbete är acceptabelt för domstolen. De kan kallas för att vittna om deras resultat och metoder.
klassificering av rättsmedicinska verktyg
volatilitet
volatilitet är ett ramverk med öppen källkod som används för att utföra flyktigt minne kriminalteknik. Den är skriven i Python och stöder nästan alla 32 och 64bit maskiner. Fullständig lista över system som stöds av volatilitet finns på http://www.volatilityfoundation.org/faq
det kan utföra rekognosering på processlistor, portar, nätverksanslutningar, registerfiler, DLL-filer, kraschdumpar och cachade sektorer. Det kan också analysera system viloläge filer och kan kontrollera om root kit närvaro samt. Du kan ladda ner volatilitetsramen från https://code.google.com/archive/p/volatility/downloads
det finns redan i Linux kali under rättsmedicinsk sektion. Nedan är en ögonblicksbild av volatilitet.
EnCase
Encase är ett mångsidigt kriminaltekniskt utredningsverktyg. Det kan hjälpa rättsmedicinska utredare under hela utredningens livscykel:
-
Forensic triage: prioritera filerna för undersökningsbasis volatilitet och få andra parametrar.
-
samla in: insamling av digitala data utan att äventyra integriteten.
-
dekryptera: förmåga att analysera krypterade datafiler genom att dekryptera dem. Detta görs genom att använda mekanismer för återställning av lösenord.
-
Process: hjälper till att indexera bevisen och automatisera vanliga uppgifter så att tid kan spenderas på utredning snarare än processen.
-
undersök: det kan utföra utredning för nästan alla windows och mobila operativsystem.
-
rapport: skapa en rapport som kommer att tjäna alla publik. Rapporten måste ha rapporteringsmallar med olika Formatalternativ.
verktyget är inte gratis och priset kan begäras här: https://www.guidancesoftware.com/encase-forensic
MailXaminer
som namnet antyder används MailXaminer för att utföra e-postanalys. Det kan undersöka e-post från både webb-och applikationsbaserade e-postklienter. Det hjälper utredaren att samla in e-postbevis, ordna bevisen, söka i e-postmeddelandena med olika avancerade alternativ som Regex. Den har förmågan att upptäcka och rapportera obscena bildbilagor med hjälp av skintone-analys. Det kan stödja 20 + e-postformat och kan generera rapporten med bevis i önskat format. Detta kan hjälpa till att avsluta ärendet i en domstol.
detta är inte ett gratis verktyg men utvärderingsversionen kan laddas ner från: https://www.mailxaminer.com/
Bildkälla: https://lscnetwork.blog
FTK
FTK eller Forensic toolkit används för att skanna hårddisken och leta efter bevis. FTK är utvecklat av AccessData och har en fristående modul som heter FTK Imager. Den kan användas för att avbilda hårddisken, vilket säkerställer integriteten hos data med hashing. Det kan avbilda hårddisken i en enda fil för filer i flera sektioner, som senare kan förenas för att få en rekonstruerad bild. Utredare kan välja mellan GUI eller kommandoraden enligt bekvämlighet.
mer information om FTK kan nås på https://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGA används för att utföra Windows-registret analys. Freeware-versionen kan laddas ner från http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
det är en GUI-baserad applikation. Användaren kan skapa ett ärende och ladda registret. Registret kan sökas med filter eller manuellt med tidsstämplar. REGA funktioner:
– datainsamling: samla mål registerfiler för uppräkning och analys.
– återställning: Återställ registret för raderade nycklar.
– analys:
-
Windows-analys: Ägare, installationsdata etc.
-
Lagringsanalys: konton närvarande, kör kommandon, webbläsarhistorikanalys (webbadresser).
-
Nätverksanslutningsanalys: nätverksenhetsanslutningar etc.
-
Applikationsanalys: lista över automatiska körningar, applikationsanvändningshistorik etc.
-
SW-och HW-hantering: mjukvaru-och hårdvaruinstallationer, anslutningar för lagringsenheter.
– rapportering: skapa resultatrapporter i CSV-format.
verktyget är skrivet i C / C++ och finns på engelska, koreanska och japanska.
Bulk Extractor
Bulk extractor kan användas för att extrahera viktig information från filer och hårddiskar. Verktyget kan utföra en skanning oberoende av filhierarkin. Bulk Extractor kommer installerad i Kali Linux, det kan också installeras manuellt på andra operativsystem.
länk till Git: https://github.com/simsong/bulk_extractor
Bulk extractor skapar en utmatningskatalog som innehåller information om kreditkort, Internetdomäner, e-post, MAC-adresser, IP-adresser, bilder och videor, URL: er, telefonnummer, sökningar utförda etc.
Oxygen Forensics
Oxygen Forensic Suite används för att samla in digitala bevis från mobiltelefoner och molntjänster som används på telefoner. Sviten kan kringgå Android skärmlås, få Platshistorik, extrahera data från molnlager, analysera samtal och dataposter, söka data nyckelord, återställa raderade data och exportera data till olika filformat. Den stöder olika mobila plattformar inklusive Android, Sony, Blackberry och iPhone.
det genererar lätt att förstå rapporter för enklare korrelation.
besök officiell hemsida för mer info: https://www.oxygen-forensic.com/en/
Bildkälla: http://www.dataforensics.org
FireEye RedLine
RedLine var ursprungligen en produkt av Mandiant organisation, senare tas över av FireEye. Detta är ett gratisprogram verktyg som kan användas för att utföra minne och värd analys för spår av infektion, eller någon skadlig aktivitet.
den kan användas för att samla in och korrelera information om processer som körs, minnesenheter, register, filsystem metadata, händelseloggar, webbhistorik och nätverksaktivitet. Det kan kortlista processerna med malware risk index score, och sedan undersöka dem vidare.
Läs mer här: https://www.fireeye.com/services/freeware/redline.html
obduktion
obduktion är en öppen källkod digital rättsmedicinsk programvara, den används för att genomföra hårddiskundersökningar. Det används av olika brottsbekämpande organ, militära och statliga och företagsutredare för att genomföra digitala utredningar. Företaget tillhandahåller också anpassad utveckling och utbildning för att hjälpa användarna att dra full nytta av verktyget. Det finns för både Windows och Linux, och är förinstallerat i Kali Linux också.
windows-versionen kan laddas ner från: https://www.autopsy.com/download/
verktyget är byggt för enkel användning och för att ge utbyggbarhet – användaren kan anpassa verktyget, och kan lägga till nya funktioner genom att skapa plug-ins. Obduktion har 3 versioner från och med nu och version 2 förlitar sig på Sleuth Kit för att utföra diskanalys.
ytterligare information om Sleuth kit finns på: https://www.sleuthkit.org/autopsy/
Wireshark
Wireshark används för att fånga och analysera nätverkstrafik. Detta görs med hjälp av libPcap och winPcap som fångar nätverkspaketen. Nätverkspaketen kan sedan analyseras för skadlig aktivitet. Verktyget erbjuder möjligheten att filtrera trafiken med olika filter, det görs baserat på protokoll, strängnärvaro etc.
verktyget kan laddas ner på: https://www.wireshark.org/download.html
USB-Skrivblockerare
som namnet antyder används USB-skrivblockerare för rättsmedicinsk undersökning av lagringsenheter. Det maximala det kan analysera är 2 TB. Det är en hårdvaruenhet i motsats till resten av verktygen som diskuteras. Det används för att klona och analysera lagring, vilket säkerställer dataäkthet.
Läs mer om USB skriv blockerare på: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
X-Ways Forensics
X-ways är en tysk produkt och har många funktioner, det kan betraktas som ett uttömmande verktyg. Verktyget använder inte många resurser jämfört med de funktioner det erbjuder. Den kan användas för – diskavbildning och analys, analys av olika diskformat, ärendehantering, registervy, metadatautvinning etc.
för fullständig uppsättning funktioner se: http://www.x-ways.net/forensics/
DumpZilla
Dumpzilla används för att samla in och analysera webbläsarinformation, inklusive webbläsarhistorik. Verktyget är utvecklat i Python 3.x och är tillgänglig för både windows och linux. Undersökningsomfånget är inte begränsat till webbläsarhistorik, det innehåller också cookies, proxyinställningar, webbformulär, bokmärken, cache, tillägg, sparade lösenord etc.
ExifTool
ExifTool används för att samla in och analysera metadatainformation från olika bilder, ljud och PDF-filer. Det är både Tillgänglig i kommandoraden och GUI versioner. Kör bara programmet för windows och dra & släpp filerna som ska analyseras. Listan över filformat som kan analyseras med detta verktyg är uttömmande. Den fullständiga listan finns på: https://www.sno.phy.queensu.ca/~phil/exiftool/
verktyget är snabbt och litet i storlek jämfört med den funktionalitet som tillhandahålls.
Bildkälla: https://hvdwolf.github.io
Binwalk
Binwalk används för att söka en binär bild av inbäddade filer i .exe-kod. Verktyget kan extrahera alla filer som finns i firmware för att utföra en strängsökning. Verktyget är tillräckligt kraftfullt när det kombineras med olika andra verktyg, och är ett måste i en rättsmedicinsk utredare verktygslåda.
Hashdeep
Hashdeep används för att generera, matcha och utföra hash revision. Andra program kommer att rapportera om en hash matchas eller missas, men Hashdeep kan ge en detaljerad bild av helheten. Det kan hjälpa oss att identifiera matchade filer, missade filer, hitta hash kollisioner och olika andra attribut av hashar. Håll detta med dig eftersom filernas integritet är av yttersta vikt i dessa fall.
Volafox
Volafox används för MAC OS X-minnesanalys. Det kan hjälpa till att hitta kärntillägg, samla kärninformation, uppgiftslista, upptäcka krokar, nätverkslista, dumpa en fil från minnet, presentera startinformation och många andra detaljer. Detta är ett måste om undersökningsmålet är en MAC OS X.
Chkrootkit
detta program används för att bestämma närvaron av rootkits på ett system. Programmet kan identifiera närvaron av mer än 60 rootkits. Detta kommer att vara till stor hjälp för att analysera malware infektion och fall av nätverk kompromiss. Nya rootkits skrivs för att kringgå detekteringsmekanismen, men rootkit-skrivning är en konst som är svår att behärska.
SIFT
SANS Investigation forensic toolkit är en VM som är förladdad med de verktyg som krävs för att utföra kriminalteknisk analys. Det är perfekt för nybörjare, eftersom det sparar – verktygsfynd, nedladdning och installationstid.
Bildkälla: https://www.andreafortuna.org/
CAINE
CAINE är en öppen källkod Linux-distribution som har utvecklats speciellt för digital forensics. Den har användarvänligt grafiskt gränssnitt och verktyg. Se den här länken för djupare inblick i CAINE: https://www.caine-live.net/
Bildkälla: https://www.caine-live.net/
hur gynnar det en organisation och en IT-säkerhetsexpert?
skadliga aktiviteter sker dagligen i organisationer. Någon klickade på en skadlig länk, installerade en skadlig programvara, besökte phishing eller skadliga webbplatser etc. Det är utredarnas ansvar att komma till grundorsaken till problemet och se till att kontrollerna är på plats så att händelsen inte händer igen. En malware incident kan få ett företags nätverk ner till knäna och därmed en utredning krävs. Vad händer om en anställd avgår från ett företag eller anklagas för företagsspionage. I sådana fall behöver organisationer utredare för att utföra de digitala djupa dyken, för att få fram sanningen.
det tar tid och erfarenhet att bli expert på kriminalteknik. Utredaren bör ha kritisk kunskap om objektet som undersöks. Varje miss i samlingen eller analysen kan ha allvarlig inverkan på ärendet. Extrem försiktighet måste vidtas av experten för att identifiera, bevara och rapportera bevisen. Därför är det inte lätt att bli expert på rättsmedicin, men stora pengar betalas inte för enkla saker. Detta är en nischfärdighet som kräver förståelse för varje bit av systemet och hur man använder det som bevis. Det finns också specialkurser inom området, om man är intresserad. Vissa företag erbjuder utbildning för sina produkter som används över hela världen. En av produkterna är Encase. Företaget erbjuder certifiering för Encase certified Forensic Investigator (också överväga att kolla in detta perfekta paket med information för cissp-certifiering).
slutsats
artikeln innehåller några av de populära rättsmedicinska verktygen. Verktygen är inte ordnade med avseende på prioritet, eftersom de tjänar olika syften. Vissa är speciellt utformade för hårddiskanalys, andra för mobila undersökningar och så vidare. Om du är ny på rättsmedicin kan du börja med enskilda verktyg och ta ett djupt dyk i var och en. Du kan också börja med den förbyggda VM och distributioner som CAINE så att du kan spara tid och lära dig mer. Se till att du relaterar informationen som identifieras med verkliga scenarier; t.ex. infektion sprids via en skadlig lagringsenhet ansluten eller en CNC-anslutning skapad i nätverken. Du kan också söka efter fler rättsmedicinska verktyg och experimentera. Som brottslingar blir avancerade med varje brott; företagen utvecklar mer sofistikerade verktyg som kan påskynda utredningen, om de används av experter. Poängen som ska noteras här är att oavsett hur avancerat verktyget blir, krävs det ett expertöga för att identifiera logiken och korrelera fakta.
Klicka här för att få fart på din karriär inom cybersäkerhet