Top 20 Trending Computer Forensics Tools von 2018
- Einführung
- Was sind Computerforensik-Tools?
- Was ist die Arbeit eines forensischen Ermittlers?
- Klassifizierung forensischer Tools
- Volatilität
- EnCase
- MailXaminer
- FTK
- REGA
- Bulk Extractor
- Oxygen Forensics
- FireEye RedLine
- Autopsy
- Wireshark
- USB Write Blocker
- X-Ways Forensics
- DumpZilla
- ExifTool
- Binwalk
- Hashdeep
- Volafox
- Chkrootkit
- SIFT
- CAINE
- Wie profitieren eine Organisation und ein IT-Sicherheitsexperte davon?
- Fazit
Einführung
Das Wort “Forensik” bezieht sich auf die Techniken, die von den Ermittlern zur Aufklärung eines Verbrechens verwendet werden. Jede Erfindung hat ihre Vor- und Nachteile. Computer und elektronische Geräte haben sich viel schneller entwickelt und werden in modernen Verbrechen eingesetzt. Die Kunst der Untersuchung eines Verbrechens, durchgeführt mit oder unter Beteiligung von Computern, wird Computerforensik genannt. Um genau zu sein, handelt es sich um die Technik, mit der Beweise aus den Geräten extrahiert und aufbewahrt und anschließend vor Gericht vorgelegt werden. Computer sind Ziel und Waffe zugleich. Angreifer haben sich weiterentwickelt, sie verwenden ausgeklügelte Computersysteme, um solche abscheulichen Phishing-Verbrechen zu begehen (Hier ist eine Ressource, die Sie durch Cyber-Sicherheitsangriffe navigieren wird). Das Ziel kann ein Heimsystem, ein Unternehmensnetzwerk oder sogar alle Computer sein, mit denen sie eine Verbindung herstellen können. Mit dieser zunehmenden Kriminalitätsrate, an der Computer beteiligt sind, ist die Sammlung von Beweisen zu einem wichtigen Bestandteil geworden. Dies erfordert erfahrene Computer-Forensiker.
Was sind Computerforensik-Tools?
Dies sind die Tools, die von Programmierern entwickelt wurden, um die Sammlung digitaler Beweise zu unterstützen. Diese Tools haben sich weiterentwickelt und können alle Arten von Aktivitäten ausführen – von der Grundstufe bis zum Fortgeschrittenen. Forensische Tools können anhand der von ihnen ausgeführten Aufgabe kategorisiert werden.
-
Netzwerk-Forensik-Tools
-
Datenbank-Analyse-Tools
-
Dateianalyse-Tools
-
Registry-Analyse-Tools
-
E-Mail-Analyse-Tools
-
Betriebssystemanalyse-Tools
-
Festplatten- und Datenerfassung
Wir werden später in diesem Artikel ausführlich über 20 forensische Tools sprechen.
Was ist die Arbeit eines forensischen Ermittlers?
Die Hauptaufgabe eines forensischen Ermittlers besteht darin, die Datenbeweise zu finden und zu bewahren. Er sollte sich mit den zu befolgenden Verfahren und Protokollen auskennen:
Am Tatort,
-
Beweiserhebung und -bearbeitung
Sie sammeln und bewahren physische Beweise auf und dokumentieren ihre Aktivitäten.
Im Labor,
-
Evidenzanalyse
Sie untersuchen, was sie gesammelt haben.
Sie versuchen zu rekonstruieren, was passiert ist.
Vor Gericht
-
Beweispräsentation und Berichterstattung
Befolgen Sie strenge Standards, damit ihre Arbeit für das Gericht akzeptabel ist. Sie können gerufen werden, um über ihre Ergebnisse und Methoden auszusagen.
Klassifizierung forensischer Tools
Volatilität
Volatilität ist ein Open-Source-Framework zur Durchführung der Forensik für flüchtigen Speicher. Es ist in Python geschrieben und unterstützt fast alle 32- und 64-Bit-Maschinen. Die vollständige Liste der von
Es kann Aufklärung über Prozesslisten, Ports, Netzwerkverbindungen, Registrierungsdateien, DLLs, Crash-Dumps und zwischengespeicherte Sektoren durchführen. Es kann auch System-Hibernation-Dateien analysieren und auch auf das Vorhandensein von Root-Kits prüfen. Sie können das Volatilitätsframework von https://code.google.com/archive/p/volatility/downloads
Es ist bereits in Linux kali im Abschnitt Forensic vorhanden. Nachfolgend finden Sie eine Momentaufnahme der Volatilität.
EnCase
Encase ist ein vielseitiges forensisches Untersuchungswerkzeug. Es kann forensischen Ermittlern während des gesamten Untersuchungslebenszyklus helfen:
-
Forensische Triage: Priorisierung der Dateien für die Untersuchung, Volatilität und einige andere Parameter.
-
Sammeln: Sammlung digitaler Daten ohne Beeinträchtigung der Integrität.
-
Entschlüsseln: Möglichkeit, verschlüsselte Datendateien durch Entschlüsseln zu analysieren. Dies geschieht mithilfe von Mechanismen zur Kennwortwiederherstellung.
-
Prozess: Hilft bei der Indizierung der Beweise und bei der Automatisierung allgemeiner Aufgaben, sodass Zeit für die Untersuchung und nicht für den Prozess aufgewendet werden kann.
-
Untersuchen: Es kann Untersuchungen für fast alle Windows- und mobilen Betriebssysteme durchführen.
-
Bericht: Erstellen Sie einen Bericht, der alle Zielgruppen bedient. Der Bericht muss Berichtsvorlagen mit verschiedenen Formatoptionen enthalten.
Das Tool ist nicht kostenlos und der Preis kann hier angefordert werden: https://www.guidancesoftware.com/encase-forensic
MailXaminer
Wie der Name schon sagt, wird MailXaminer verwendet, um E-Mail-Analysen durchzuführen. Es kann E-Mails von Web- und anwendungsbasierten Mail-Clients untersuchen. Es hilft dem Ermittler beim Sammeln von E-Mail-Beweisen, beim Ordnen der Beweise und beim Durchsuchen der E-Mails mit verschiedenen erweiterten Optionen wie Regex. Es hat die Fähigkeit, obszöne Bildanhänge mithilfe der Hauttonanalyse zu erkennen und zu melden. Es kann mehr als 20 E-Mail-Formate unterstützen und den Bericht mit Beweisen im erforderlichen Format generieren. Dies kann helfen, den Fall vor Gericht abzuschließen.
Dies ist kein kostenloses Tool, aber die Testversion kann von heruntergeladen werden: https://www.mailxaminer.com/
Bildquelle: https://lscnetwork.blog
FTK
FTK oder Forensic Toolkit wird verwendet, um die Festplatte zu scannen und nach Beweisen zu suchen. FTK wird von AccessData entwickelt und verfügt über ein eigenständiges Modul namens FTK Imager. Es kann verwendet werden, um die Festplatte abzubilden und die Integrität der Daten mithilfe von Hashing sicherzustellen. Es kann die Festplatte in einer einzigen Datei für Dateien in mehreren Abschnitten abbilden, die später zusammengefügt werden können, um ein rekonstruiertes Bild zu erhalten. Sie können je nach Bequemlichkeit zwischen GUI oder Befehlszeile wählen.
Weitere Informationen zu FTK finden Sie unter https://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGA wird zur Durchführung von Windows-Registrierungsanalysen verwendet. Die Freeware-Version kann heruntergeladen werden von http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
Es ist eine GUI-basierte Anwendung. Der Benutzer kann einen Fall erstellen und die Registrierung laden. Die Registrierung kann mithilfe von Filtern oder manuell mithilfe von Zeitstempeln durchsucht werden. REGA-Funktionen:
– Datenerfassung: Sammeln Sie Zielregistrierungsdateien zur Aufzählung und Analyse.
– Wiederherstellung: Wiederherstellung der Registrierung für gelöschte Schlüssel.
– Analyse:
-
Windows-Analyse: Eigentümer, Installationsdaten usw.
-
Speicheranalyse: Konten vorhanden, Befehle ausführen, Analyse des Browserverlaufs (URLs).
-
Netzwerk verbindung analyse: netzwerk stick verbindungen, etc.
-
Anwendungsanalyse: Liste der automatischen Läufe, Anwendungsnutzungsverlauf usw.
-
SW- und HW-Management: Software- und Hardwareinstallationen, Speichergeräteanschlüsse.
– Reporting: Erstellen Sie Ergebnisberichte im CSV-Format.
Das Tool ist in C/ C ++ geschrieben und in Englisch, Koreanisch und Japanisch verfügbar.
Bulk Extractor
Bulk Extractor kann zum Extrahieren wichtiger Informationen aus Dateien und Festplatten verwendet werden. Das Tool kann einen Scan unabhängig von der Hierarchie der Dateien durchführen. Bulk Extractor ist in Kali Linux installiert, es kann auch manuell auf anderen Betriebssystemen installiert werden.
Link zu Git: https://github.com/simsong/bulk_extractor
Bulk Extractor erstellt ein Ausgabeverzeichnis, das Informationen zu Kreditkarten, Internetdomains, E-Mails, MAC-Adressen, IP-Adressen, Bildern und Videos, URLs, Telefonnummern, durchgeführten Suchen usw. enthält.
Oxygen Forensics
Oxygen Forensic Suite wird verwendet, um digitale Beweise von Mobiltelefonen und Cloud-Diensten zu sammeln, die auf Telefonen verwendet werden. Die Suite kann die Android-Bildschirmsperre umgehen, den Standortverlauf abrufen, Daten aus Cloud-Speichern extrahieren, Anruf- und Datensätze analysieren, Datenschlüsselwörter suchen, gelöschte Daten wiederherstellen und Daten in verschiedene Dateiformate exportieren. Es unterstützt verschiedene mobile Plattformen wie Android, Sony, Blackberry und iPhone.
Es generiert leicht verständliche Berichte für eine einfachere Korrelation.
Besuchen Sie die offizielle Website für weitere Informationen: https://www.oxygen-forensic.com/en/
Bildquelle: http://www.dataforensics.org
FireEye RedLine
RedLine war ursprünglich das Produkt von Mandiant Organization und wurde später von FireEye übernommen. Dies ist ein Freeware-Tool, mit dem Speicher- und Host-Analysen auf Spuren einer Infektion oder böswilliger Aktivitäten durchgeführt werden können.
Es kann verwendet werden, um Informationen über die laufenden Prozesse, Speicherlaufwerke, Registrierung, Dateisystem-Metadaten, Ereignisprotokolle, Webverlauf und Netzwerkaktivität zu sammeln und zu korrelieren. Es kann die Prozesse anhand des Malware Risk Index Score in die engere Wahl ziehen und sie dann weiter untersuchen.
Lesen Sie hier mehr: https://www.fireeye.com/services/freeware/redline.html
Autopsy
Autopsy ist eine digitale Open-Source-Forensik-Software, die zur Durchführung von Festplattenuntersuchungen verwendet wird. Es wird von verschiedenen Strafverfolgungsbehörden, Militär-, Regierungs- und Unternehmensermittlern zur Durchführung digitaler Ermittlungen verwendet. Das Unternehmen bietet auch kundenspezifische Entwicklung und Schulung an, damit die Benutzer das Tool voll ausnutzen können. Es ist sowohl für Windows als auch für Linux verfügbar und auch in Kali Linux vorinstalliert.
Die Windows-Version kann von: https://www.autopsy.com/download/
Das Tool ist für die Benutzerfreundlichkeit gebaut und Erweiterbarkeit bieten- Benutzer können das Tool anpassen, und ist in der Lage, neue Funktionen durch die Erstellung von Plug-Ins hinzuzufügen. Autopsy hat ab sofort 3 Versionen und Version 2 basiert auf dem Sleuth Kit, um eine Festplattenanalyse durchzuführen.
Weitere Informationen zum Sleuth Kit finden Sie unter: https://www.sleuthkit.org/autopsy/
Wireshark
Wireshark wird zur Erfassung und Analyse des Netzwerkverkehrs verwendet. Dies geschieht mit libPcap und WinPcap, die die Netzwerkpakete erfassen. Die Netzwerkpakete können dann auf schädliche Aktivitäten analysiert werden. Das Tool bietet die Möglichkeit, den Datenverkehr mit verschiedenen Filtern zu filtern, basierend auf Protokollen, Zeichenfolgenpräsenz usw.
Das Tool kann heruntergeladen werden unter: https://www.wireshark.org/download.html
USB Write Blocker
Wie der Name schon sagt, wird USB Write Blocker für die forensische Untersuchung von Speicherlaufwerken verwendet. Das Maximum, das es analysieren kann, ist 2 TB. Es ist ein Hardware-Gerät im Gegensatz zu den anderen Tools, die diskutiert werden. Es wird verwendet, um Speicher zu klonen und zu analysieren, um die Authentizität der Daten sicherzustellen.
Lesen Sie mehr über USB Write blocker unter: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
X-Ways Forensics
X-ways ist ein deutsches Produkt und verfügt über viele Funktionen. Das Tool verwendet im Vergleich zu den angebotenen Funktionen nicht viele Ressourcen. Es kann verwendet werden für- Disk Imaging und Analyse, Analyse von verschiedenen Disk-Formate, Case Management, Registry-Ansicht, Metadaten-Extraktion, etc.
Für den kompletten Funktionsumfang siehe: http://www.x-ways.net/forensics/
DumpZilla
Dumpzilla wird verwendet, um Browserinformationen, einschließlich des Browserverlaufs, zu sammeln und zu analysieren. Das Tool wurde in Python 3 entwickelt.x und ist für Windows und Linux verfügbar. Der Untersuchungsumfang beschränkt sich nicht nur auf den Browserverlauf, sondern umfasst auch Cookies, Proxy-Einstellungen, Webformulare, Lesezeichen, Cache, Add-Ons, gespeicherte Passwörter usw.
ExifTool
ExifTool wird verwendet, um Metadateninformationen aus verschiedenen Bildern, Audio- und PDF-Dateien zu sammeln und zu analysieren. Es ist sowohl in Befehlszeilen- als auch in GUI-Versionen verfügbar. Führen Sie einfach die Anwendung für Windows aus und ziehen Sie & Drop die Dateien, die analysiert werden sollen. Die Liste der Dateiformate, die mit diesem Tool analysiert werden können, ist vollständig. Die vollständige Liste finden Sie unter: https://www.sno.phy.queensu.ca/~phil/exiftool/
Das Tool ist schnell und klein im Vergleich zu den bereitgestellten Funktionen.
Bildquelle: https://hvdwolf.github.io
Binwalk
Binwalk wird zum Durchsuchen eines Binärbilds eingebetteter Dateien in verwendet .exe-Code. Das Tool kann alle in der Firmware vorhandenen Dateien extrahieren, um eine Zeichenfolgensuche durchzuführen. Das Tool ist leistungsstark genug, wenn es mit verschiedenen anderen Tools gekoppelt ist, und ist ein Muss in einem Forensic Investigator Toolkit.
Hashdeep
Hashdeep wird verwendet, um Hash-Audits zu generieren, abzugleichen und durchzuführen. Andere Programme melden, ob ein Hash übereinstimmt oder nicht, aber Hashdeep kann eine detaillierte Ansicht des Gesamtbildes liefern. Es kann uns helfen, übereinstimmende Dateien, verpasste Dateien, Hash-Kollisionen und verschiedene andere Attribute der Hashes zu identifizieren. Bewahren Sie dies bei sich auf, da die Integrität der Dateien in diesen Fällen von größter Bedeutung ist.
Volafox
Volafox wird für die MAC OS X-Speicheranalyse verwendet. Es kann bei der Suche nach Kernelerweiterungen, beim Sammeln von Kernelinformationen, beim Auflisten von Aufgaben, beim Erkennen von Hooks, beim Auflisten von Netzwerken, beim Speichern einer Datei aus dem Speicher, beim Präsentieren von Startinformationen und vielen anderen Details helfen.
Chkrootkit
Dieses Programm wird verwendet, um das Vorhandensein von Rootkits auf einem System zu bestimmen. Das Programm kann das Vorhandensein von mehr als 60 Rootkits identifizieren. Dies ist eine große Hilfe bei der Analyse von Malware-Infektionen und Fällen von Netzwerkkompromissen. Neue Rootkits werden geschrieben, um den Erkennungsmechanismus zu umgehen, aber das Schreiben von Rootkits ist eine Kunst, die schwer zu meistern ist.
SIFT
SANS Investigation Forensic Toolkit ist eine VM, die mit den für die forensische Analyse erforderlichen Tools vorinstalliert ist. Es ist perfekt für Anfänger, da es spart- Werkzeugsuche, Download und Installationszeit.
Bildquelle: https://www.andreafortuna.org/
CAINE
CAINE ist eine Open-Source-Linux-Distribution, die speziell für die digitale Forensik entwickelt wurde. Es verfügt über benutzerfreundliche grafische Oberfläche und Tools. Siehe diesen Link für einen tieferen Einblick in CAINE: https://www.caine-live.net/
Bildquelle: https://www.caine-live.net/
Wie profitieren eine Organisation und ein IT-Sicherheitsexperte davon?
Bösartige Aktivitäten passieren täglich in Organisationen. Jemand klickte auf einen bösartigen Link, installierte eine bösartige Software, besuchte Phishing- oder bösartige Websites usw. Es liegt in der Verantwortung der Ermittler, die Ursache des Problems zu ermitteln und sicherzustellen, dass Kontrollen vorhanden sind, damit der Vorfall nicht erneut auftritt. Ein Malware-Vorfall kann das Netzwerk eines Unternehmens in die Knie zwingen, und daher ist eine Untersuchung erforderlich. Was passiert, wenn ein Mitarbeiter aus einem Unternehmen zurücktritt oder wegen Unternehmensspionage angeklagt wird. In solchen Fällen benötigen Organisationen Ermittler, um die digitalen Tieftauchgänge durchzuführen und die Wahrheit ans Licht zu bringen.
Es braucht Zeit und Erfahrung, um ein Experte in der Forensik zu werden. Der Ermittler sollte über kritisches Wissen über das untersuchte Objekt verfügen. Jeder Fehler in der Sammlung oder Analyse kann schwerwiegende Auswirkungen auf den Fall haben. Der Experte muss bei der Identifizierung, Aufbewahrung und Meldung der Beweise äußerste Sorgfalt walten lassen. Daher ist es nicht einfach, Experte für Forensik zu werden, aber für einfache Dinge wird nicht viel Geld bezahlt. Dies ist eine Nischenfertigkeit, die das Verständnis jedes Bits des Systems erfordert und wie man es als Beweis verwendet. Es gibt auch spezielle Kurse in diesem Bereich, wenn man interessiert ist. Einige Unternehmen bieten Schulungen für ihre Produkte an, die weltweit eingesetzt werden. Eines der Produkte ist Encase. Das Unternehmen bietet eine Zertifizierung für Encase Certified Forensic Investigator an (sehen Sie sich auch dieses perfekte Informationspaket für die CISSP-Zertifizierung an).
Fazit
Der Artikel enthält einige der beliebtesten forensischen Tools. Die Werkzeuge sind nicht nach Priorität geordnet, da sie unterschiedlichen Zwecken dienen. Einige sind speziell für die Festplattenanalyse konzipiert, andere für mobile Untersuchungen und so weiter. Falls Sie neu in der Forensik sind, können Sie mit einzelnen Tools beginnen und tief in jedes einzelne eintauchen. Sie können auch mit der vorgefertigten VM und Distributionen wie CAINE beginnen, um Zeit zu sparen und mehr zu erfahren. Stellen Sie sicher, dass Sie die identifizierten Informationen mit realen Szenarien in Beziehung setzen. z. B. Infektion über ein böswilliges angeschlossenes Speichergerät oder eine in den Netzwerken hergestellte Netzwerkverbindung. Sie können auch nach weiteren forensischen Tools suchen und experimentieren. Da Kriminelle mit jedem Verbrechen fortgeschritten werden; unternehmen entwickeln ausgefeiltere Tools, die die Untersuchung beschleunigen können, wenn sie von Experten verwendet werden. Der Punkt, der hier zu beachten ist, ist, dass, egal wie fortgeschritten das Tool wird, es ein fachkundiges Auge erfordert, um die Logik zu identifizieren und die Fakten zu korrelieren.
Klicken Sie hier, um Ihre CyberSecurity-Karriere zu starten