Digitale Forensik-Tools gibt es in vielen Kategorien, so dass die genaue Wahl des Tools davon abhängt, wo und wie Sie es einsetzen wollen. Hier sind einige grobe Kategorien, um Ihnen eine Vorstellung von der Vielfalt zu geben, die unter das Dach der digitalen Forensik-Tools fällt:

• Datenbank-Forensik
• E-Mail-Analyse
• Audio-/Video-Forensik
• Internet-Browsing-Analyse
• Netzwerk-Forensik
• Memory Forensik
• Dateianalyse
• Festplatten- und Datenerfassung
• Computerforensik
• Digitale Bildforensik

Diese Liste ist zwar nicht vollständig, gibt sie Ihnen ein Bild davon, was digitale Forensik-Tools ausmacht und was Sie mit ihnen tun können. Manchmal werden mehrere Tools in einem einzigen Toolkit zusammengefasst, um Ihnen zu helfen, das Potenzial verwandter Tools auszuschöpfen.

Auch ist es wichtig zu beachten, dass diese Kategorien manchmal verschwimmen können, abhängig von den Fähigkeiten des Personals, den Laborbedingungen, der Verfügbarkeit von Ausrüstung, bestehenden Gesetzen und vertraglichen Verpflichtungen. Zum Beispiel werden Tablets ohne SIM-Karten als Computer betrachtet, so dass sie Computerforensik-Werkzeuge und keine mobilen Forensik-Werkzeuge benötigen würden.

Aber unabhängig von diesen Variationen ist es wichtig, dass digitale Forensik-Werkzeuge eine große Menge an Möglichkeiten bieten, um Informationen während einer Untersuchung zu gewinnen. Es ist auch wichtig zu beachten, dass die Landschaft der digitalen Forensik sehr dynamisch ist und regelmäßig neue Tools und Funktionen veröffentlicht werden, um mit den ständigen Aktualisierungen der Geräte Schritt zu halten.

Auswahl des richtigen Tools

Angesichts der vielen Optionen ist es nicht einfach, das richtige Tool auszuwählen, das Ihren Bedürfnissen entspricht. Hier sind einige Aspekte, die Sie bei der Entscheidung berücksichtigen sollten.

Skill level

Skill level ist ein wichtiger Faktor bei der Auswahl eines digitalen Forensik-Tools. Einige Tools erfordern nur grundlegende Kenntnisse, während andere fortgeschrittene Kenntnisse voraussetzen. Eine gute Faustregel ist es, die eigenen Fähigkeiten mit den Anforderungen des Tools abzugleichen, damit Sie das leistungsfähigste Tool auswählen können, das Sie auch bedienen können.

Output

Werkzeuge sind nicht gleich aufgebaut, so dass selbst innerhalb der gleichen Kategorie der Output variiert. Einige Tools liefern nur Rohdaten, während andere einen vollständigen Bericht ausgeben, der sofort an nicht-technisches Personal weitergegeben werden kann. In einigen Fällen reichen die Rohdaten aus, da die Informationen ohnehin weiterverarbeitet werden müssen, während in anderen Fällen ein formatierter Bericht die Arbeit erleichtern kann.

Kosten

Natürlich sind die Kosten ein wichtiger Faktor, da die meisten Abteilungen Budgetbeschränkungen haben. Ein Aspekt, den Sie hier beachten sollten, ist, dass die billigsten Tools möglicherweise nicht alle Funktionen haben, die Sie wünschen, da die Entwickler so die Kosten niedrig halten. Anstatt ein Tool nur aufgrund der Kosten auszuwählen, sollten Sie bei Ihrer Wahl ein Gleichgewicht zwischen Kosten und Funktionen finden.

Fokus

Ein weiterer wichtiger Aspekt ist der Fokusbereich des Tools, da unterschiedliche Aufgaben in der Regel unterschiedliche Tools erfordern. So sind beispielsweise Werkzeuge für die Untersuchung einer Datenbank ganz anders als für die Untersuchung eines Netzwerks. Am besten ist es, vor dem Kauf eine vollständige Liste der Funktionsanforderungen zu erstellen. Wie bereits erwähnt, können einige Tools mehrere Funktionen in einem einzigen Kit abdecken, was ein besseres Geschäft sein kann, als für jede Aufgabe ein eigenes Tool zu finden.

Zusätzliches Zubehör

Einige Tools benötigen zusätzliches Zubehör, um zu funktionieren, und das ist etwas, das ebenfalls berücksichtigt werden muss. Zum Beispiel können einige Netzwerk-Forensik-Tools spezielle Hardware oder Software-bootfähige Medien erfordern. Überprüfen Sie also vor dem Kauf die Hardware- und Softwareanforderungen.

Hier sind 20 der besten kostenlosen Tools, die Ihnen bei der Durchführung einer digitalen forensischen Untersuchung helfen. Egal, ob es sich um einen internen Fall aus dem Personalwesen handelt, um eine Untersuchung des unbefugten Zugriffs auf einen Server oder wenn Sie einfach nur eine neue Fertigkeit erlernen wollen, diese Suiten und Dienstprogramme helfen Ihnen bei der forensischen Analyse von Speicher, Festplatten, forensischen Bildern und mobilen Geräten. Als solche bieten sie alle die Möglichkeit, tiefgreifende Informationen darüber zu erhalten, was sich „unter der Haube“ eines Systems befindet.

Diese Liste ist keineswegs vollständig und deckt möglicherweise nicht alles ab, was Sie für Ihre Untersuchung benötigen. Möglicherweise benötigen Sie auch zusätzliche Hilfsprogramme wie Dateibetrachter, Hash-Generatoren und Texteditoren – schauen Sie sich 101 Free Admin Tools für einige davon an.

Meine Artikel Top 10 Free Troubleshooting Tools for SysAdmins, Top 20 Free Network Monitoring and Analysis Tools for Sys Admins und Top 20 Free File Management Tools for Sys Admins könnten ebenfalls nützlich sein, da sie eine Reihe von Tools enthalten, die für digitalforensische Untersuchungen verwendet werden können (z.z. B. BackTrack und die SysInternals Suite oder die NirSoft Suite).

Selbst wenn Sie von einigen dieser Tools schon einmal gehört haben, bin ich zuversichtlich, dass Sie die eine oder andere Perle in dieser Liste finden werden.

01 SANS SIFT

Das SANS Investigative Forensic Toolkit (SIFT) ist eine auf Ubuntu basierende Live-CD, die alle Tools enthält, die Sie für eine tiefgreifende forensische oder Incident-Response-Untersuchung benötigen. Es unterstützt die Analyse von Expert Witness Format (E01), Advanced Forensic Format (AFF) und RAW (dd)-Beweisformaten. SIFT enthält Werkzeuge wie log2timeline zum Erzeugen einer Zeitleiste aus Systemprotokollen, Scalpel zum Zerlegen von Datendateien, Rifiuti zum Untersuchen des Papierkorbs und vieles mehr.

Wenn Sie zum ersten Mal in die SIFT-Umgebung booten, schlage ich vor, dass Sie sich mit der Dokumentation auf dem Desktop beschäftigen, um sich mit den verfügbaren Werkzeugen und deren Verwendung vertraut zu machen. Es gibt auch eine gute Erklärung, wo man Beweise auf einem System finden kann. Verwenden Sie die obere Menüleiste, um ein Werkzeug zu öffnen, oder starten Sie es manuell aus einem Terminalfenster.

Hauptmerkmale

• 64-Bit-Basissystem
• Auto-DFIR-Paketaktualisierung und Anpassungen
• Cross-Kompatibilität mit Linux und Windows.
• Erweiterte Dateisystemunterstützung
• Option zur Installation des Standalone-Systems

02 CrowdStrike CrowdResponse

CrowdResponse ist eine leichtgewichtige Konsolenanwendung, die als Teil eines Incident-Response-Szenarios verwendet werden kann, um kontextbezogene Informationen wie eine Prozessliste, geplante Aufgaben oder Shim Cache zu sammeln. Mit eingebetteten YARA-Signaturen können Sie Ihren Host auch auf Malware scannen und melden, wenn es Anzeichen für eine Kompromittierung gibt.

Um CrowdsResponse auszuführen, extrahieren Sie die ZIP-Datei und starten Sie eine Eingabeaufforderung mit Administratorrechten. Navigieren Sie zu dem Ordner, in dem sich der CrowdResponse*.exe-Prozess befindet, und geben Sie Ihre Befehlsparameter ein. Sie müssen mindestens den Ausgabepfad und das „Tool“ angeben, das Sie zur Datenerfassung verwenden möchten. Für eine vollständige Liste der ‚Tools‘ geben Sie CrowdResponse64.exe in die Eingabeaufforderung ein und es wird eine Liste der unterstützten Tool-Namen und Beispielparameter angezeigt.

Nachdem Sie die benötigten Daten exportiert haben, können Sie CRconvert.exe verwenden, um die Daten von XML in ein anderes Dateiformat wie CSV oder HTML zu konvertieren.

Hauptmerkmale

• Kommt mit drei Modulen – Verzeichnisauflistung, aktives Laufmodul und YARA Verarbeitungsmodul.
• Zeigt Informationen zu den Anwendungsressourcen an
• Überprüft die digitale Signatur der ausführbaren Datei des Prozesses.
• Scannt den Speicher, geladene Moduldateien und Dateien auf der Festplatte aller aktuell laufenden Prozesse

03 Volatility

Volatility ist ein Memory-Forensik-Framework für Incident Response und Malware-Analyse, mit dem Sie digitale Artefakte aus Dumps des flüchtigen Speichers (RAM) extrahieren können. Mit Volatility können Sie Informationen über laufende Prozesse, offene Netzwerk-Sockets und Netzwerkverbindungen, für jeden Prozess geladene DLLs, zwischengespeicherte Registry-Hives, Prozess-IDs und mehr extrahieren.

Wenn Sie die eigenständige ausführbare Windows-Version von Volatility verwenden, legen Sie einfach volatility-2.x.standalone.exe in einen Ordner und öffnen Sie ein Eingabeaufforderungsfenster. Navigieren Sie in der Eingabeaufforderung zu dem Ort, an dem sich die ausführbare Datei befindet, und geben Sie „volatility-2.x.standalone.exe -f <FILENAME> -profile=<PROFILENAME><PLUGINNAME>“ ohne Anführungszeichen – FILENAME wäre der Name der Speicherabbilddatei, die Sie analysieren möchten, PROFILENAME wäre der Rechner, auf dem der Speicherauszug gemacht wurde, und PLUGINNAME wäre der Name des Plugins, das Sie zum Extrahieren der Informationen verwenden möchten.

Hinweis: Im obigen Beispiel verwende ich das Plugin „connscan“, um den physischen Speicherauszug nach TCP-Verbindungsinformationen zu durchsuchen.

Hauptmerkmale

• Unterstützt eine Vielzahl von Beispieldateiformaten.
• Läuft unter Windows, Linux und Mac
• Mit schnellen und effizienten Algorithmen zur Analyse von RAM-Dumps von großen Systemen.
• Seine erweiterbare und skriptfähige API eröffnet neue Möglichkeiten für Erweiterungen und Innovationen.

04 Das Sleuth Kit (+Autopsy)

Das Sleuth Kit ist ein Open-Source-Toolkit für die digitale Forensik, mit dem eine tiefgreifende Analyse von verschiedenen Dateisystemen durchgeführt werden kann. Autopsy ist im Wesentlichen eine grafische Benutzeroberfläche, die auf dem Sleuth Kit aufsetzt. Es kommt mit Funktionen wie Timeline-Analyse, Hash-Filterung, Dateisystem-Analyse und Schlüsselwort-Suche aus der Box, mit der Möglichkeit, andere Module für erweiterte Funktionalität hinzuzufügen.

Hinweis: Sie können The Sleuth Kit verwenden, wenn Sie einen Linux-Rechner einsetzen, und Autopsy, wenn Sie einen Windows-Rechner einsetzen.

Wenn Sie Autopsy starten, können Sie wählen, ob Sie einen neuen Fall erstellen oder einen bestehenden laden wollen. Wenn Sie sich dafür entscheiden, einen neuen Fall zu erstellen, müssen Sie ein forensisches Image oder einen lokalen Datenträger laden, um die Analyse zu starten. Sobald der Analyseprozess abgeschlossen ist, können Sie mithilfe der Knoten auf der linken Seite auswählen, welche Ergebnisse angezeigt werden sollen.

Hauptfunktionen

• Anzeige von Systemereignissen über eine grafische Oberfläche.
• Angebot von Registry-, LNK-Dateien- und E-Mail-Analysen.
• Unterstützt die meisten gängigen Dateiformate
• Extrahiert Daten aus SMS, Anrufprotokollen, Kontakten, Tango und Words with Friends und analysiert diese.

05 FTK Imager

FTK Imager ist ein Datenvorschau- und Imaging-Tool, mit dem Sie Dateien und Ordner auf lokalen Festplatten, Netzlaufwerken, CDs/DVDs untersuchen und den Inhalt von forensischen Images oder Speicherabzügen überprüfen können. Mit FTK Imager können Sie auch SHA1- oder MD5-Hashes von Dateien erstellen, Dateien und Ordner aus forensischen Images auf die Festplatte exportieren, Dateien, die aus dem Papierkorb gelöscht wurden, überprüfen und wiederherstellen (vorausgesetzt, ihre Datenblöcke wurden nicht überschrieben) und ein forensisches Image mounten, um seinen Inhalt im Windows Explorer zu betrachten.

Hinweis: Es gibt eine portable Version von FTK Imager, mit der Sie das Programm von einem USB-Datenträger aus starten können.

Wenn Sie FTK Imager starten, gehen Sie zu ‚Datei > Asservat hinzufügen…‘, um ein Beweisstück zur Überprüfung zu laden. Um ein forensisches Image zu erstellen, gehen Sie zu ‚Datei > Disk-Image erstellen…‘ und wählen Sie die Quelle aus, die Sie forensisch sichern möchten.

Hauptmerkmale

• Kommt mit Datenvorschau-Fähigkeit, um Dateien/Ordner sowie deren Inhalt in der Vorschau anzuzeigen.
• Unterstützt Image-Mounting
• Nutzt Multi-Core-CPUs, um Aktionen zu parallelisieren.
• Zugriff auf eine gemeinsame Falldatenbank, so dass eine einzige zentrale Datenbank für einen einzelnen Fall ausreicht.

06 Linux ‚dd‘

dd wird standardmäßig auf den meisten heute verfügbaren Linux-Distributionen (z.B. Ubuntu, Fedora) mitgeliefert. Dieses Werkzeug kann für verschiedene digitale forensische Aufgaben verwendet werden, wie z. B. das forensische Löschen eines Laufwerks (Zero-Out eines Laufwerks) und das Erstellen eines Rohabbilds eines Laufwerks.

Hinweis: dd ist ein sehr mächtiges Werkzeug, das verheerende Auswirkungen haben kann, wenn es nicht mit Vorsicht verwendet wird. Es wird empfohlen, dass Sie in einer sicheren Umgebung experimentieren, bevor Sie dieses Werkzeug in der realen Welt einsetzen.

Tipp: Eine modifizierte Version von dd ist unter http://sourceforge.net/projects/dc3dd/ erhältlich – dc3dd enthält zusätzliche Funktionen, die speziell für Aufgaben der digitalen Forensik hinzugefügt wurden.

Um dd zu benutzen, öffnen Sie einfach ein Terminal-Fenster und geben dd gefolgt von einer Reihe von Befehlsparametern ein (welche Befehlsparameter, hängt natürlich davon ab, was Sie tun wollen). Die grundlegende dd-Syntax für das forensische Löschen eines Laufwerks lautet:

dd if=/dev/zero of=/dev/sdb1 bs=1024
wobei if = Eingabedatei, of = Ausgabedatei, bs = Bytegröße

Hinweis: Ersetzen Sie /dev/sdb1 durch den Laufwerksnamen des Laufwerks, das Sie forensisch löschen wollen, und 1024 durch die Größe der Byteblöcke, die Sie herausschreiben wollen.

Die grundlegende dd-Syntax zum Erstellen eines forensischen Abbilds eines Laufwerks lautet:

dd if=/dev/sdb1 of=/home/andrew/newimage.dd bs=512 conv=noerror,sync

wobei if = Eingabedatei (oder in diesem Fall Laufwerk), of = Ausgabedatei, bs = Bytegröße, conv = Konvertierungsoptionen

Tipp: Für zusätzliche Informationen zur Verwendung geben Sie in einem Terminalfenster „man dd“ ohne Anführungszeichen ein, um das Hilfehandbuch für den Befehl dd aufzurufen.

Hauptfunktionen

• Dupliziert Daten über Dateien, Geräte, Partitionen und Volumes hinweg.
• Unterstützt die Sicherung und Wiederherstellung des Master-Boot-Records.
• Es kann Daten leicht modifizieren
• Muss mit Vorsicht verwendet werden, da es einen Datenträger komplett löschen kann.

07 CAINE

CAINE (Computer Aided INvestigative Environment) ist eine Linux Live CD, die eine Fülle von digitalen forensischen Werkzeugen enthält. Zu den Funktionen gehören eine benutzerfreundliche GUI, halbautomatische Berichterstellung und Werkzeuge für Mobile Forensik, Netzwerkforensik, Datenrettung und mehr.

Wenn Sie in die CAINE Linux-Umgebung booten, können Sie die digitalen Forensik-Tools über die CAINE-Oberfläche (Verknüpfung auf dem Desktop) oder über die Verknüpfung jedes Tools im Ordner ‚Forensic Tools‘ in der Anwendungsmenüleiste starten.

Hauptmerkmale

• Kommt mit einer benutzerfreundlichen Oberfläche, die viele Open-Source-Forensik-Tools vereint.
• Hält sich an das von den italienischen Gesetzen festgelegte Untersuchungsverfahren.
• Seine Umgebung ist für eine tiefgreifende forensische Analyse optimiert
• Erzeugt Berichte, die leicht zu bearbeiten und zu exportieren sind.

08 ExifTool

ExifTool ist eine Kommandozeilenanwendung, die zum Lesen, Schreiben oder Bearbeiten von Datei-Metadaten-Informationen verwendet wird. Es ist schnell, leistungsstark und unterstützt eine große Anzahl von Dateiformaten (obwohl Bilddateitypen seine Spezialität sind). ExifTool kann z. B. für die Analyse der statischen Eigenschaften verdächtiger Dateien in einer Host-basierten forensischen Untersuchung verwendet werden.

Um ExifTool zu verwenden, ziehen Sie einfach die Datei, aus der Sie Metadaten extrahieren möchten, per Drag & Drop auf die Anwendung exiftool(-k).exe und es öffnet sich ein Eingabeaufforderungsfenster mit den angezeigten Informationen. Alternativ können Sie exiftool(-k).exe in exiftool.exe umbenennen und von der Eingabeaufforderung aus starten.

Wichtige Funktionen

• Unterstützt verschiedene Dateiformate, ausführliche und HTML-basierte Hex-Dump-Ausgaben.
• Kopiert Metadaten-Informationen zwischen Dateien
• Sichert automatisch das Originalbild
• Konvertiert die Ausgabe in viele Sprachen.

09 Free Hex Editor Neo

Free Hex Editor Neo ist ein grundlegender Hex-Editor, der für die Bearbeitung sehr großer Dateien entwickelt wurde. Während viele der zusätzlichen Funktionen in den kommerziellen Versionen von Hex Editor Neo zu finden sind, finde ich dieses Tool nützlich, um große Dateien (z. B. Datenbankdateien oder forensische Bilder) zu laden und Aktionen wie manuelles Daten-Carving, Low-Level-Dateibearbeitung, Informationssammlung oder die Suche nach versteckten Daten durchzuführen.

Benutzen Sie ‚Datei > Öffnen‘, um eine Datei in Hex Editor Neo zu laden. Die Daten erscheinen im mittleren Fenster, wo Sie beginnen können, manuell durch die Hexadezimalzahlen zu navigieren oder STRG + F zu drücken, um eine Suche zu starten.

Hauptmerkmale

• Erleichtert das Auffinden von Datenmustern in großen Dateien
• Unterstützt die Verarbeitung mehrerer Kerne
• Verarbeitet reguläre Ausdrücke in Dateien
• Ermöglicht Ihnen, schnell Dateipatches zu erstellen oder jeden Aspekt der Benutzeroberfläche zu optimieren.

10 Bulk Extractor

bulk_extractor ist ein Werkzeug für die Computerforensik, das ein Disk-Image, eine Datei oder ein Verzeichnis von Dateien durchsucht und Informationen wie Kreditkartennummern, Domains, E-Mail-Adressen, URLs und ZIP-Dateien extrahiert. Die extrahierten Informationen werden in eine Reihe von Textdateien ausgegeben (die manuell überprüft oder mit anderen forensischen Tools oder Skripten analysiert werden können).

Tipp: In den ausgegebenen Textdateien finden Sie Einträge für Daten, die einer Kreditkartennummer, einer E-Mail-Adresse, einem Domainnamen usw. ähneln. Sie werden auch einen Dezimalwert in der ersten Spalte der Textdatei sehen, der, wenn er in Hex umgewandelt wird, als Zeiger auf der Festplatte verwendet werden kann, wo der Eintrag gefunden wurde (d.h. wenn Sie den Datenträger manuell analysieren würden, z. B. mit einem Hex-Editor, würden Sie zu diesem Hexadezimalwert springen, um die Daten zu betrachten).

Bulk_extractor gibt es als Kommandozeilen-Tool oder als GUI-Tool. Im obigen Beispiel habe ich das Bulk_extractor-Tool so eingestellt, dass es Informationen aus einem forensischen Bild extrahiert, das ich zuvor aufgenommen habe, und die Ergebnisse in einen Ordner namens „BE_Output“ ausgibt. Die Ergebnisse können dann im Bulk Extractor Viewer und in den oben erwähnten Ausgabe-Textdateien betrachtet werden.

Hauptmerkmale

• Verarbeitet verschiedene Teile des Datenträgers parallel.
• Automatisch erkennt, dekomprimiert und verarbeitet komprimierte Daten erneut.
• Extrahiert kritische Informationen wie Kreditkartendetails und E-Mail-Adressen aus digitalen Daten
• Kann zur Verarbeitung von Informationen über die meisten digitalen Medien verwendet werden.

11 DEFT

DEFT ist eine weitere Linux Live CD, die einige der beliebtesten freien und Open-Source-Computerforensik-Tools bündelt. Sie zielt darauf ab, bei Incident Response, Cyber Intelligence und Computerforensik-Szenarien zu helfen. Sie enthält unter anderem Tools für Mobile Forensik, Netzwerkforensik, Datenrettung und Hashing.

Wenn Sie mit DEFT booten, werden Sie gefragt, ob Sie die Live-Umgebung laden oder DEFT auf der Festplatte installieren wollen. Wenn Sie die Live-Umgebung laden, können Sie die Verknüpfungen in der Anwendungsmenüleiste verwenden, um die benötigten Tools zu starten.

Hauptmerkmale

• Enthält einen Dateimanager, der den Status eines Festplattenmounts anzeigt.
• Bietet vollständige Unterstützung für Android und iOS.
• Wird mit einigen Open-Source- und Closed-Source-Windows-Anwendungen geliefert, zu denen es in der Unix-Welt derzeit keine Alternative gibt.
• Eine Integritätsprüfung läuft, bevor ein Programm im abgesicherten Modus gestartet wird.

12 Xplico

Xplico ist ein Open Source Network Forensic Analysis Tool (NFAT), das darauf abzielt, Anwendungsdaten aus dem Internetverkehr zu extrahieren (z. B. kann Xplico eine E-Mail-Nachricht aus dem POP-, IMAP- oder SMTP-Verkehr extrahieren). Zu den Funktionen gehören u.a. die Unterstützung einer Vielzahl von Protokollen (z.B. HTTP, SIP, IMAP, TCP, UDP), TCP-Reassembly und die Möglichkeit, Daten in eine MySQL- oder SQLite-Datenbank auszugeben.

Nachdem Sie Xplico installiert haben, rufen Sie die Weboberfläche auf, indem Sie zu http://<IPADDRESS>:9876 navigieren und sich mit einem normalen Benutzerkonto anmelden. Das erste, was Sie tun müssen, ist einen Fall zu erstellen und eine neue Sitzung hinzuzufügen. Wenn Sie eine neue Sitzung erstellen, können Sie entweder eine PCAP-Datei laden (z. B. von Wireshark erworben) oder eine Live-Aufnahme starten. Sobald die Sitzung die Dekodierung beendet hat, verwenden Sie das Navigationsmenü auf der linken Seite, um die Ergebnisse anzuzeigen.

Hauptmerkmale

• Wird mit drei Modulen geliefert – einem Eingabemodul für die Dateneingabe, einem Ausgabemodul für die Dekodierung der Daten und deren Präsentation für den Endbenutzer und einem Dekodiermodul für die Dekodierung des einzelnen Netzwerkprotokolls.
• Unterstützt verschiedene Benutzeroberflächen
• Alle Module können über die Konfigurationsdatei geladen oder entladen werden.
• Es kann VoIP-Anrufe dekodieren.

13 LastActivityView

Ich habe LastActivityView kurz erwähnt, als ich die NirSoft-Suite von Tools in meinem Artikel Top 10 Free System Troubleshooting Tools for SysAdmins vorgestellt habe. Mit LastActivityView können Sie sehen, welche Aktionen von einem Benutzer durchgeführt wurden und welche Ereignisse auf dem Rechner aufgetreten sind. Alle Aktivitäten wie das Ausführen einer ausführbaren Datei, das Öffnen einer Datei/eines Ordners aus dem Explorer, ein Anwendungs- oder Systemabsturz oder ein Benutzer, der eine Software-Installation durchführt, werden protokolliert. Die Informationen können in eine CSV- / XML- / HTML-Datei exportiert werden. Dieses Tool ist nützlich, wenn Sie beweisen müssen, dass ein Benutzer (oder Konto) eine Aktion ausgeführt hat, die er angeblich nicht durchgeführt hat.

Wenn Sie LastActivityView starten, zeigt es sofort eine Liste der Aktionen an, die auf dem Rechner durchgeführt wurden, auf dem es ausgeführt wird. Sortieren Sie nach Aktionszeit oder verwenden Sie die Suchfunktion, um zu untersuchen, welche Aktionen auf dem Rechner ausgeführt wurden.

Hauptmerkmale

• Erfasst viele Benutzeraktionen wie das Öffnen und Schließen von Dateien, die Installation von Software und mehr.
• Sammelt Informationen aus dem Ereignisprotokoll und anderen Quellen.
• Sie müssen es nicht installieren oder ständig als Hintergrundprozess laufen lassen. Wenn Sie es einmal starten, erstellt es eine Zeitleiste der Ereignisse für Sie.
• Läuft nur unter Windows 200 und späteren Versionen.

14 DSi USB Write Blocker

DSi USB Write Blocker ist ein softwarebasierter Schreibblocker, der den Schreibzugriff auf USB-Geräte verhindert. Dies ist bei einer Untersuchung wichtig, um zu verhindern, dass die Metadaten oder Zeitstempel verändert und die Beweise ungültig gemacht werden.

Wenn Sie DSi USB Write Blocker starten, wird ein Fenster angezeigt, in dem Sie den USB Write Blocker aktivieren oder deaktivieren können. Sobald Sie Änderungen vorgenommen und die Anwendung beendet haben, können Sie den Status über das Vorhängeschloss-Symbol in der Taskleiste im Auge behalten. Wenn Sie eine Analyse eines USB-Laufwerks durchführen, aktivieren Sie zuerst den USB Write Blocker und schließen dann das USB-Laufwerk an.

Wenn Sie nach einer Kommandozeilen-Alternative suchen, schauen Sie sich ‚USB Write Blocker for ALL Windows‘ an. Dieses Tool funktioniert, indem es einen Registry-Eintrag aktualisiert, um zu verhindern, dass USB-Laufwerke beschrieben werden. Um das Tool auszuführen, führen Sie einfach die Batch-Datei aus und wählen die Option 1, um die USB-Anschlüsse in einen schreibgeschützten Modus zu versetzen.

Hauptmerkmale

• Wandelt einen USB-Stick in einen lesbaren Modus um, um jegliches Löschen/Verändern von Daten zu verhindern.
• Läuft hauptsächlich unter Windows, obwohl Sie einige Änderungen vornehmen können, um es auf der neuesten Version von iOS laufen zu lassen.
• Gibt Ihnen die Möglichkeit, den Status dieser Anwendung in Ihrer Taskleiste zu sehen.

15 FireEye RedLine

RedLine bietet die Möglichkeit, eine Speicher- und Datei-Analyse eines bestimmten Hosts durchzuführen. Es sammelt Informationen über laufende Prozesse und Treiber aus dem Speicher und erfasst Dateisystem-Metadaten, Registrierungsdaten, Ereignisprotokolle, Netzwerkinformationen, Dienste, Aufgaben und den Internetverlauf, um ein umfassendes Bedrohungsprofil zu erstellen.

Wenn Sie RedLine starten, haben Sie die Wahl zwischen Daten sammeln und Daten analysieren. Wenn Sie nicht bereits eine Speicherabbilddatei zur Verfügung haben, müssen Sie einen Collector erstellen, um Daten von der Maschine zu sammeln, und diesen Prozess bis zum Abschluss durchlaufen lassen. Sobald Sie eine Speicherabbilddatei zur Hand haben, können Sie mit der Analyse beginnen.

Hauptfunktionen

• Hilft zu erkennen, wann eine kompromittierte Datei eingeführt wurde und wie sie im System/Netzwerk verbleibt.
• Verwenden Sie Whitelist-Indikatoren, um bekannte Daten herauszufiltern.
• Sammelt Informationen von laufenden Prozessen, Dateien, Images und Registrierungsdaten.

16 PlainSight

PlainSight ist eine Live-CD auf Basis von Knoppix (einer Linux-Distribution), mit der Sie digitale forensische Aufgaben durchführen können, wie z. B. das Betrachten von Internetverläufen, das Auslesen von Daten, das Sammeln von Informationen über die Nutzung von USB-Geräten, das Untersuchen von physischen Speicherabzügen, das Extrahieren von Passwort-Hashes und mehr.

Wenn Sie PlainSight starten, erscheint ein Fenster, in dem Sie auswählen können, ob Sie einen Scan durchführen, eine Datei laden oder den Assistenten starten möchten. Geben Sie eine Auswahl ein, um den Datenextraktions- und Analyseprozess zu starten.

Hauptfunktionen

• Wiederherstellung vieler Dateitypen wie jpg, png, pdf, mov, wav, zip, rar, exe und mehr.
• Verwendet einen Spider, um Systeme zu scannen, die sensible Daten enthalten.
• Speichert Ergebnisse im HTML- oder reinen Textformat.
• Läuft von CD oder USB.

17 HxD

HxD ist einer meiner persönlichen Favoriten. Es ist ein benutzerfreundlicher Hex-Editor, mit dem Sie Low-Level-Bearbeitungen und -Veränderungen auf einer Raw-Disk oder im Hauptspeicher (RAM) durchführen können. HxD wurde mit Blick auf Benutzerfreundlichkeit und Leistung entwickelt und kann problemlos mit großen Dateien umgehen. Zu den Funktionen gehören Suchen und Ersetzen, Exportieren, Prüfsummen/Digests, ein eingebauter Dateischredder, Verkettung oder Aufteilung von Dateien, Erstellung von Statistiken und mehr.

Von der HxD-Oberfläche aus starten Sie Ihre Analyse, indem Sie eine Datei über ‚Datei > Öffnen‘ öffnen, eine Diskette über ‚Extras > Diskette öffnen…‘ oder einen RAM-Prozess über ‚Extras > RAM öffnen…‘

18 HELIX3 Free

HELIX3 ist eine auf Linux basierende Live-CD, die für den Einsatz in Incident Response, Computer Forensik und E-Discovery Szenarien entwickelt wurde. Sie ist vollgepackt mit einer Reihe von Open-Source-Tools, die von Hex-Editoren über Data-Carving-Software bis hin zu Dienstprogrammen zum Knacken von Passwörtern reichen.

Hinweis: Die HELIX3-Version, die Sie benötigen, ist 2009R1. Diese Version war die letzte frei verfügbare Version, bevor HELIX von einem kommerziellen Anbieter übernommen wurde. HELIX3 2009R1 ist auch heute noch gültig und stellt eine nützliche Ergänzung für Ihr digitales Forensik-Toolkit dar.

Wenn Sie mit HELIX3 booten, werden Sie gefragt, ob Sie die GUI-Umgebung laden oder HELIX3 auf Festplatte installieren möchten. Wenn Sie sich dafür entscheiden, die GUI-Umgebung direkt zu laden (empfohlen), erscheint ein Linux-basierter Bildschirm, der Ihnen die Möglichkeit gibt, die grafische Version der gebündelten Tools auszuführen.

Hauptmerkmale

• Datenfalten werden verwendet, um verschiedene Speicherbereiche zu markieren.
• Wird mit einem RAM-Editor geliefert.
• Exportiert Daten in viele Formate
• Erleichtert das Aufteilen oder Verketten von Dateien.

19 Paladin Forensic Suite

Paladin Forensic Suite ist eine Live-CD auf Basis von Ubuntu, die mit einer Fülle von Open-Source-Forensik-Tools ausgestattet ist. Die mehr als 80 Tools auf dieser Live-CD sind in über 25 Kategorien unterteilt, darunter Imaging-Tools, Malware-Analyse, Social-Media-Analyse, Hashing-Tools usw.

Nach dem Booten der Paladin Forensic Suite navigieren Sie zum App-Menü oder klicken auf eines der Symbole in der Taskleiste, um loszulegen.

Hinweis: Eine praktische Schnellstartanleitung für Paladin Forensic Suite steht auf der Paladin-Website sowie in der Taskleiste von Paladin selbst zum Ansehen oder Herunterladen bereit.

Hauptmerkmale

• Bietet vollständigen Einblick in Ihr Netzwerk.
• Erfasst temporäre Daten wie Internetverlauf und Speicher und speichert diese auf einem USB-Laufwerk.
• Funktioniert auf Mac, Windows und Linux.
• Unterstützt viele forensische Open-Source-Anwendungen.

20 USB Historian

USB Historian analysiert USB-Informationen, hauptsächlich aus der Windows-Registrierung, um Ihnen eine Liste aller USB-Laufwerke zu geben, die an den Rechner angeschlossen waren. Es zeigt Informationen wie den Namen des USB-Laufwerks, die Seriennummer, wann es eingebunden wurde und von welchem Benutzerkonto. Diese Informationen können sehr nützlich sein, wenn Sie mit einer Untersuchung zu tun haben, bei der Sie verstehen müssen, ob Daten gestohlen, verschoben oder darauf zugegriffen wurde.

Wenn Sie USB Historian starten, klicken Sie auf das „+“-Symbol im oberen Menü, um den Assistenten zum Analysieren von Daten zu starten. Wählen Sie aus, von welcher Methode Sie die Daten analysieren möchten (Laufwerksbuchstabe, Windows- und Benutzerordner oder einzelne Hives/Dateien) und wählen Sie dann die entsprechenden Daten zum Parsen aus.

Hauptmerkmale

• Ideal für alle, die mit Daten- und Identitätsdiebstahl zu tun haben.
• Parst den Computernamen, um USB-Geräte zu finden
• Bietet eine assistentengestützte Analyse.

So, das sind einige der besten kostenlosen Tools, die Sie für die Spurensicherung verwenden können. Wir hoffen, es hat Ihnen Spaß gemacht, die Liste durchzulesen und teilen Sie uns Ihren Favoriten in den Kommentaren mit!