Gli strumenti di digital forensics sono disponibili in molte categorie, quindi la scelta esatta dello strumento dipende da dove e come lo vuoi usare. Ecco alcune categorie generali per darvi un’idea della varietà che rientra sotto l’ombrello degli strumenti di digital forensics:

• Database forensics
• Email analysis
• Audio/video forensics
• Internet browsing analysis
• Network forensics
• Memory forense della memoria
• Analisi dei file
• Cattura di dischi e dati
• Forensi del computer
• Forensi delle immagini digitali

Anche se questo non è un elenco esaustivo, vi dà un quadro di ciò che costituisce gli strumenti di digital forensics e di ciò che si può fare con essi. A volte più strumenti sono raggruppati in un unico toolkit per aiutarvi a sfruttare il potenziale degli strumenti correlati.

Inoltre, è importante notare che queste categorie possono a volte confondersi a seconda delle competenze del personale, delle condizioni del laboratorio, della disponibilità di attrezzature, delle leggi esistenti e degli obblighi contrattuali. Per esempio, i tablet senza SIM card sono considerati computer, quindi avrebbero bisogno di strumenti di computer forensics e non di strumenti di mobile forensics.

Ma indipendentemente da queste variazioni, ciò che è importante è che gli strumenti di digital forensics offrono una vasta quantità di possibilità per ottenere informazioni durante un’indagine. È anche importante notare che il panorama della digital forensics è altamente dinamico con nuovi strumenti e caratteristiche che vengono rilasciati regolarmente per tenere il passo con i costanti aggiornamenti dei dispositivi.

Scegliere lo strumento giusto

Viste le molte opzioni, non è facile selezionare lo strumento giusto che si adatti alle vostre esigenze. Ecco alcuni aspetti da considerare mentre si prende la decisione.

Livello di competenza

Il livello di competenza è un fattore importante quando si seleziona uno strumento di digital forensics. Alcuni strumenti richiedono solo un set di competenze di base, mentre altri possono richiedere conoscenze avanzate. Una buona regola empirica è quella di valutare le competenze che si hanno rispetto a quelle richieste dallo strumento, in modo da poter scegliere lo strumento più potente che si ha la competenza per operare.

Output

Gli strumenti non sono costruiti allo stesso modo, quindi anche all’interno della stessa categoria, gli output variano. Alcuni strumenti restituiscono solo dati grezzi, mentre altri producono un rapporto completo che può essere immediatamente condiviso con personale non tecnico. In alcuni casi, i dati grezzi da soli sono sufficienti in quanto le informazioni possono comunque passare attraverso un’ulteriore elaborazione, mentre in altri, avere un rapporto formattato può rendere il vostro lavoro più facile.

Costo

Inutile dire che il costo è un fattore importante in quanto la maggior parte dei dipartimenti hanno vincoli di bilancio. Un aspetto da tenere a mente qui – gli strumenti più economici potrebbero non avere tutte le caratteristiche che volete, perché è così che gli sviluppatori mantengono i costi bassi. Invece di scegliere uno strumento basato solo sul costo, considerate di trovare un equilibrio tra costo e caratteristiche mentre fate la vostra scelta.

Focus

Un altro aspetto chiave è l’area di focalizzazione dello strumento, dato che diversi compiti di solito richiedono strumenti diversi. Per esempio, gli strumenti per esaminare un database sono molto diversi da quelli necessari per esaminare una rete. La pratica migliore è quella di creare una lista completa di requisiti di funzionalità prima dell’acquisto. Come detto prima, alcuni strumenti possono coprire più funzionalità in un unico kit che potrebbe essere un affare migliore che trovare strumenti separati per ogni compito.

Accessori aggiuntivi

Alcuni strumenti possono avere bisogno di accessori aggiuntivi per funzionare e anche questo è qualcosa che deve essere preso in considerazione. Per esempio, alcuni strumenti di network forensics possono richiedere hardware specifico o supporti avviabili via software. Quindi assicuratevi di controllare i requisiti hardware e software prima di acquistare.

Ecco 20 dei migliori strumenti gratuiti che vi aiuteranno a condurre un’indagine forense digitale. Che sia per un caso interno di risorse umane, un’indagine su un accesso non autorizzato a un server, o se volete semplicemente imparare una nuova abilità, queste suite e utility vi aiuteranno a condurre analisi forensi della memoria, analisi forensi del disco rigido, esplorazione di immagini forensi, imaging forense e forensi mobile. Come tali, tutte forniscono la capacità di riportare informazioni approfondite su ciò che è “sotto il cofano” di un sistema.

Questa non è affatto una lista estesa e potrebbe non coprire tutto ciò di cui avete bisogno per la vostra indagine. Potreste anche aver bisogno di utility aggiuntive come visualizzatori di file, generatori di hash e editor di testo – controllate 101 Free Admin Tools per alcuni di questi.

I miei articoli su Top 10 Free Troubleshooting Tools for SysAdmins, Top 20 Free Network Monitoring and Analysis Tools for Sys Admins e Top 20 Free File Management Tools for Sys Admins potrebbero anche essere utili poiché contengono un sacco di strumenti che possono essere utilizzati per le indagini digitali forensi (es.g. BackTrack e la suite SysInternals o la suite di strumenti NirSoft).

Anche se avete già sentito parlare di alcuni di questi strumenti, sono sicuro che troverete una o due gemme in questa lista.

01 SANS SIFT

Il SANS Investigative Forensic Toolkit (SIFT) è un Live CD basato su Ubuntu che include tutti gli strumenti necessari per condurre un’approfondita indagine forense o di risposta agli incidenti. Supporta l’analisi dei formati di prova Expert Witness Format (E01), Advanced Forensic Format (AFF) e RAW (dd). SIFT include strumenti come log2timeline per generare una linea temporale dai log di sistema, Scalpel per l’intaglio dei file di dati, Rifiuti per esaminare il cestino, e molto altro.

Quando si avvia per la prima volta l’ambiente SIFT, vi suggerisco di esplorare la documentazione sul desktop per aiutarvi ad abituarvi a quali strumenti sono disponibili e come usarli. C’è anche una buona spiegazione di dove trovare le prove su un sistema. Usate la barra dei menu in alto per aprire uno strumento, o lanciatelo manualmente da una finestra di terminale.

Caratteristiche principali

• Sistema di base a 64 bit
• Auto-aggiornamento del pacchetto DFIR e personalizzazioni
• Compatibilità incrociata con Linux e Windows.
• Supporto esteso per il filesystem
• Opzione di installare il sistema standalone

02 CrowdStrike CrowdResponse

CrowdResponse è un’applicazione console leggera che può essere utilizzata come parte di uno scenario di risposta agli incidenti per raccogliere informazioni contestuali come un elenco di processi, attività programmate o Shim Cache. Utilizzando le firme YARA incorporate è anche possibile eseguire la scansione dell’host alla ricerca di malware e segnalare eventuali indicatori di compromissione.

Per eseguire CrowdsResponse, estrarre il file ZIP e lanciare un prompt dei comandi con privilegi di amministrazione. Naviga alla cartella dove risiede il processo CrowdResponse*.exe e inserisci i tuoi parametri di comando. Come minimo, devi includere il percorso di uscita e lo ‘strumento’ che vuoi usare per raccogliere i dati. Per un elenco completo degli ‘strumenti’, inserisci CrowdResponse64.exe nel prompt dei comandi e verrà visualizzato un elenco dei nomi degli strumenti supportati e dei parametri di esempio.

Una volta esportati i dati di cui hai bisogno, puoi usare CRconvert.exe per convertire i dati da XML a un altro formato di file come CSV o HTML.

Caratteristiche principali

• Comprende tre moduli – elenco di directory, modulo di esecuzione attiva e modulo di elaborazione YARA.
• Visualizza le informazioni sulle risorse dell’applicazione
• Verifica la firma digitale dell’eseguibile del processo.
• Scansiona la memoria, i file dei moduli caricati e i file su disco di tutti i processi in esecuzione

03 Volatility

Volatility è un framework di memory forensics per la risposta agli incidenti e l’analisi del malware che permette di estrarre artefatti digitali dai dump della memoria volatile (RAM). Utilizzando Volatility è possibile estrarre informazioni sui processi in esecuzione, sui socket di rete aperti e sulle connessioni di rete, sulle DLL caricate per ogni processo, sugli hives del registro cache, sugli ID dei processi e altro ancora.

Se state usando la versione eseguibile standalone per Windows di Volatility, basta mettere volatility-2.x.standalone.exe in una cartella e aprire una finestra del prompt dei comandi. Dal prompt dei comandi, navigate fino alla posizione del file eseguibile e digitate “volatility-2.x.standalone.exe -f <FILENAME> -profile=<PROFILENAME><PLUGINNAME>” senza virgolette – FILENAME sarebbe il nome del file di memory dump che volete analizzare, PROFILENAME sarebbe la macchina su cui è stato fatto il memory dump e PLUGINNAME sarebbe il nome del plugin che volete usare per estrarre le informazioni.

Nota: nell’esempio sopra sto usando il plugin ‘connscan’ per cercare nel dump di memoria fisica informazioni sulla connessione TCP.

Caratteristiche principali

• Supporta un’ampia varietà di formati di file di esempio.
• Esegue su Windows, Linux e Mac
• Esce con algoritmi veloci ed efficienti per analizzare i dump di RAM da sistemi di grandi dimensioni.
• La sua API estensibile e scrivibile apre nuove possibilità di estensione e innovazione.

04 The Sleuth Kit (+Autopsy)

Lo Sleuth Kit è un toolkit forense digitale open source che può essere usato per eseguire analisi approfondite di vari file system. Autopsy è essenzialmente una GUI che si trova sopra The Sleuth Kit. Viene fornito con caratteristiche come l’analisi della timeline, il filtraggio Hash, l’analisi del file system e la ricerca di parole chiave, con la possibilità di aggiungere altri moduli per una funzionalità estesa.

Nota: Puoi usare The Sleuth Kit se stai usando una macchina Linux e Autopsy se stai usando una macchina Windows.

Quando lanci Autopsy, puoi scegliere di creare un nuovo caso o caricarne uno esistente. Se scegli di creare un nuovo caso, dovrai caricare un’immagine forense o un disco locale per iniziare l’analisi. Una volta che il processo di analisi è completo, usa i nodi sul pannello di sinistra per scegliere quali risultati visualizzare.

Caratteristiche principali

• Visualizza gli eventi di sistema attraverso un’interfaccia grafica.
• Offre analisi di registro, file LNK e email.
• Supporta i formati di file più comuni
• Estrae i dati da SMS, registri delle chiamate, contatti, Tango e Words with Friends, e li analizza.

05 FTK Imager

FTK Imager è uno strumento di anteprima e imaging dei dati che permette di esaminare file e cartelle su dischi rigidi locali, unità di rete, CD/DVD, e rivedere il contenuto di immagini forensi o memory dump. Usando FTK Imager puoi anche creare hash SHA1 o MD5 dei file, esportare file e cartelle da immagini forensi su disco, rivedere e recuperare file che sono stati cancellati dal Cestino (a condizione che i loro blocchi di dati non siano stati sovrascritti), e montare un’immagine forense per visualizzarne il contenuto in Windows Explorer.

Nota: esiste una versione portatile di FTK Imager che vi permetterà di eseguirla da un disco USB.

Quando si lancia FTK Imager, andare su ‘File > Add Evidence Item…’ per caricare una prova da esaminare. Per creare un’immagine forense, vai a ‘File > Create Disk Image…’ e scegli la fonte di cui vuoi fare l’immagine forense.

Caratteristiche principali

• Viene fornito con capacità di anteprima dei dati per vedere in anteprima file/cartelle e il contenuto.
• Supporta il montaggio delle immagini
• Utilizza CPU multi-core per parallelizzare le azioni.
• Accede a un database condiviso di casi, così un singolo database centrale è sufficiente per un singolo caso.

06 Linux ‘dd’

dd viene fornito di default sulla maggior parte delle distribuzioni Linux disponibili oggi (ad esempio Ubuntu, Fedora). Questo strumento può essere utilizzato per vari compiti forensi digitali come la cancellazione forense di un disco (azzeramento di un disco) e la creazione di un’immagine grezza di un disco.

Nota: dd è uno strumento molto potente che può avere effetti devastanti se non utilizzato con cura. Si raccomanda di sperimentare in un ambiente sicuro prima di usare questo strumento nel mondo reale.

Suggerimento: Una versione modificata di dd è disponibile da http://sourceforge.net/projects/dc3dd/ – dc3dd include caratteristiche aggiuntive che sono state aggiunte specificamente per compiti di acquisizione digitale forense.

Per usare dd, basta aprire una finestra di terminale e digitare dd seguito da una serie di parametri di comando (quali parametri di comando dipendono ovviamente da ciò che si vuole fare). La sintassi di base di dd per pulire forensicamente un disco è:

dd if=/dev/zero of=/dev/sdb1 bs=1024
dove if = file di input, of = file di output, bs = dimensione del byte

Nota: sostituite /dev/sdb1 con il nome del disco che volete pulire forensicamente e 1024 con la dimensione dei blocchi di byte che volete scrivere.

La sintassi base di dd per creare un’immagine forense di un disco è:

dd if=/dev/sdb1 of=/home/andrew/newimage.dd bs=512 conv=noerror,sync

dove if = file di input (o in questo caso disco), of = file di output, bs = dimensione dei byte, conv = opzioni di conversione

Tip: Per ulteriori informazioni sull’uso, da una finestra di terminale, digitate “man dd” senza virgolette per visualizzare il manuale di aiuto per il comando dd.

Caratteristiche principali

• Duplica i dati attraverso file, dispositivi, partizioni e volumi.
• Supporta il backup e il ripristino del master boot record.
• Può modificare i dati facilmente
• Deve essere usato con cautela perché può cancellare completamente un disco.

07 CAINE

CAINE (Computer Aided INvestigative Environment) è Linux Live CD che contiene una ricchezza di strumenti digitali forensi. Le caratteristiche includono una GUI facile da usare, la creazione semi-automatica di rapporti e strumenti per la Mobile Forensics, Network Forensics, Data Recovery e altro.

Quando si avvia l’ambiente CAINE Linux, è possibile lanciare gli strumenti di digital forensic dall’interfaccia CAINE (collegamento sul desktop) o dal collegamento di ogni strumento nella cartella ‘Forensic Tools’ nella barra dei menu delle applicazioni.

Caratteristiche principali

• Viene fornito con un’interfaccia user-friendly che riunisce molti strumenti forensi open-source.
• Aderisce alla procedura di indagine prevista dalle leggi italiane.
• Il suo ambiente è ottimizzato per analisi forensi approfondite
• Genera report facilmente modificabili ed esportabili.

08 ExifTool

ExifTool è un’applicazione a riga di comando usata per leggere, scrivere o modificare le informazioni sui metadati dei file. È veloce, potente e supporta una vasta gamma di formati di file (sebbene i tipi di file immagine siano la sua specialità). ExifTool può essere usato per analizzare le proprietà statiche dei file sospetti in un’indagine forense basata sull’host, per esempio.

Per usare ExifTool, basta trascinare il file da cui si vogliono estrarre i metadati sull’applicazione exiftool(-k).exe e si aprirà una finestra del prompt dei comandi con le informazioni visualizzate. In alternativa, rinominate exiftool(-k).exe in exiftool.exe ed eseguitelo dal prompt dei comandi.

Caratteristiche principali

• Supporta diversi formati di file, verbose e output hex dump basato su HTML.
• Copia le informazioni sui meta-dati tra i file
• Salva automaticamente l’immagine originale
• Converte l’output in molte lingue.

09 Free Hex Editor Neo

Free Hex Editor Neo è un editor esagonale di base che è stato progettato per gestire file molto grandi. Mentre molte delle caratteristiche aggiuntive si trovano nelle versioni commerciali di Hex Editor Neo, trovo questo strumento utile per caricare file di grandi dimensioni (ad esempio file di database o immagini forensi) ed eseguire azioni come l’intaglio manuale dei dati, la modifica dei file a basso livello, la raccolta di informazioni o la ricerca di dati nascosti.

Usa ‘File > Open’ per caricare un file in Hex Editor Neo. I dati appariranno nella finestra centrale dove è possibile iniziare a navigare attraverso l’esadecimale manualmente o premere CTRL + F per eseguire una ricerca.

Caratteristiche principali

• Rende facile trovare modelli di dati in file di grandi dimensioni
• Supporta l’elaborazione di più core
• Gestisce le ricerche di espressioni regolari attraverso i file
• Consente di fare rapidamente patch di file o mettere a punto qualsiasi aspetto dell’interfaccia utente.

10 Bulk Extractor

bulk_extractor è uno strumento forense che analizza un’immagine del disco, un file o una directory di file ed estrae informazioni come numeri di carte di credito, domini, indirizzi e-mail, URL e file ZIP. Le informazioni estratte vengono emesse in una serie di file di testo (che possono essere esaminati manualmente o analizzati utilizzando altri strumenti forensi o script).

Suggerimento: all’interno dei file di testo in uscita troverete voci per dati che assomigliano a un numero di carta di credito, indirizzo e-mail, nome di dominio, ecc. Vedrete anche un valore decimale nella prima colonna del file di testo che, una volta convertito in esadecimale, può essere usato come puntatore sul disco dove la voce è stata trovata (cioè se si stesse analizzando il disco manualmente usando un editor esadecimale, per esempio, si passerebbe a questo valore esadecimale per visualizzare i dati).

Bulk_extractor è disponibile come strumento a riga di comando o come strumento GUI. Nell’esempio qui sopra ho impostato lo strumento bulk extractor per estrarre informazioni da un’immagine forense che ho preso in precedenza e inviare i risultati in una cartella chiamata “BE_Output”. I risultati possono quindi essere visualizzati nel Bulk Extractor Viewer e nei file di testo di output menzionati sopra.

Caratteristiche principali

• Elaborazione di diverse parti del disco in parallelo.
• Rileva automaticamente, decomprime e rielabora i dati compressi.
• Estrae informazioni critiche come i dettagli delle carte di credito e gli indirizzi email dai dati digitali
• Può essere usato per elaborare informazioni sulla maggior parte dei media digitali.

11 DEFT

DEFT è un altro Linux Live CD che raggruppa alcuni dei più popolari strumenti forensi gratuiti e open source disponibili. Ha lo scopo di aiutare negli scenari di Incident Response, Cyber Intelligence e Computer Forensics. Tra gli altri, contiene strumenti per Mobile Forensics, Network Forensics, Data Recovery e Hashing.

Quando si avvia usando DEFT, viene chiesto se si desidera caricare l’ambiente live o installare DEFT su disco. Se si carica l’ambiente live si possono usare le scorciatoie sulla barra dei menu dell’applicazione per lanciare gli strumenti necessari.

Caratteristiche principali

• Include un file manager che viene fornito con uno stato di montaggio del disco.
• Offre pieno supporto per Android e iOS.
• Comprende alcune applicazioni open-source e closed-source per Windows che attualmente non hanno alternative nel mondo Unix.
• Un controllo di integrità viene eseguito prima di avviare qualsiasi programma in modalità sicura.

12 Xplico

Xplico è uno strumento di analisi forense di rete (NFAT) open source che mira ad estrarre i dati delle applicazioni dal traffico internet (ad esempio Xplico può estrarre un messaggio e-mail dal traffico POP, IMAP o SMTP). Le caratteristiche includono il supporto per una moltitudine di protocolli (ad esempio HTTP, SIP, IMAP, TCP, UDP), riassemblaggio TCP e la capacità di emettere dati in un database MySQL o SQLite, tra gli altri.

Una volta installato Xplico, accedi all’interfaccia web navigando su http://<IPADDRESS>:9876 e facendo il login con un normale account utente. La prima cosa che devi fare è creare un caso e aggiungere una nuova sessione. Quando crei una nuova sessione puoi caricare un file PCAP (acquisito da Wireshark per esempio) o iniziare una cattura dal vivo. Una volta che la sessione ha finito la decodifica, usa il menu di navigazione sulla sinistra per visualizzare i risultati.

Caratteristiche principali

• Viene fornito con tre moduli – un modulo di input per l’inserimento dei dati, un modulo di output per decodificare i dati e presentarli all’utente finale, e moduli di decodifica per decodificare il singolo protocollo di rete.
• Supporta diverse interfacce utente
• Tutti i moduli possono essere caricati o scaricati attraverso il file di configurazione.
• Può decodificare le chiamate VoIP.

13 LastActivityView

Ho toccato brevemente LastActivityView quando ho indicato la suite di strumenti NirSoft nel mio articolo Top 10 Free System Troubleshooting Tools for SysAdmins. LastActivityView permette di visualizzare quali azioni sono state intraprese da un utente e quali eventi si sono verificati sulla macchina. Qualsiasi attività come l’esecuzione di un file eseguibile, l’apertura di un file/cartella da Explorer, un’applicazione o un crash di sistema o un utente che esegue l’installazione di un software verrà registrato. Le informazioni possono essere esportate in un file CSV / XML / HTML. Questo strumento è utile quando hai bisogno di provare che un utente (o un account) ha eseguito un’azione che ha detto di non aver fatto.

Quando lanci LastActivityView, inizierà immediatamente a visualizzare un elenco di azioni intraprese sulla macchina su cui viene eseguito. Ordina per tempo di azione o usa il pulsante di ricerca per iniziare a indagare quali azioni sono state fatte sulla macchina.

Caratteristiche principali

• Registra molte azioni dell’utente come l’apertura e la chiusura di file, l’installazione di software e altro.
• Raccoglie informazioni dal registro eventi e da altre fonti.
• Non è necessario installarlo o eseguirlo come processo in background in ogni momento. Quando lo lanci una volta, creerà una linea temporale di eventi per te.
• Esegue solo su Windows 200 e versioni successive.

14 DSi USB Write Blocker

DSi USB Write Blocker è un blocco di scrittura basato su software che impedisce l’accesso in scrittura ai dispositivi USB. Questo è importante in un’indagine per evitare di modificare i metadati o i timestamp e invalidare le prove.

Quando si esegue DSi USB Write Blocker, appare una finestra che permette di attivare o disattivare USB Write Blocker. Una volta apportate le modifiche e usciti dall’applicazione, è possibile tenere d’occhio lo stato dall’icona del lucchetto nella barra delle applicazioni. Quando si esegue un’analisi di un drive USB, abilitare prima USB Write Blocker e poi collegare il drive USB.

Se si cerca un’alternativa a riga di comando, controllare ‘USB Write Blocker for ALL Windows’. Questo strumento funziona aggiornando una voce di registro per impedire che le unità USB vengano scritte. Per eseguire lo strumento, è sufficiente eseguire il file batch e selezionare l’opzione 1 per mettere le porte USB in modalità di sola lettura.

Caratteristiche principali

• Converte una chiavetta USB in una modalità leggibile per prevenire qualsiasi cancellazione/modifica dei dati.
• Esegue principalmente su Windows, anche se è possibile effettuare alcune modifiche per eseguirlo sull’ultima versione di iOS.
• Dà la possibilità di vedere lo stato di questa applicazione nella barra delle applicazioni.

15 FireEye RedLine

RedLine offre la possibilità di eseguire analisi della memoria e dei file di un host specifico. Raccoglie informazioni sui processi e i driver in esecuzione dalla memoria e raccoglie metadati del file system, dati del registro, registri di eventi, informazioni di rete, servizi, attività e cronologia Internet per aiutare a costruire un profilo generale di valutazione delle minacce.

Quando si lancia RedLine, viene data una scelta tra raccogliere dati o analizzare dati. A meno che non abbiate già a disposizione un file di memory dump, dovrete creare un raccoglitore per raccogliere dati dalla macchina e lasciare che il processo venga portato a termine. Una volta che hai un file di memory dump a portata di mano puoi iniziare la tua analisi.

Caratteristiche principali

• Aiuta a identificare quando un file compromesso è stato introdotto e come persiste nel sistema/rete.
• Utilizza gli indicatori whitelist per filtrare i dati conosciuti.
• Raccoglie informazioni da processi in esecuzione, file, immagini e dati del registro.

16 PlainSight

PlainSight è un Live CD basato su Knoppix (una distribuzione Linux) che permette di eseguire attività di digital forensic come la visualizzazione delle cronologie internet, il data carving, la raccolta di informazioni sull’uso dei dispositivi USB, l’esame dei dump della memoria fisica, l’estrazione degli hash delle password e altro.

Quando si avvia PlainSight, appare una finestra che chiede di selezionare se si desidera eseguire una scansione, caricare un file o eseguire la procedura guidata. Inserisci una selezione per iniziare il processo di estrazione e analisi dei dati.

Caratteristiche principali

• Recupera molti tipi di file come jpg, png, pdf, mov, wav, zip, rar, exe e altri.
• Usa uno spider per scansionare i sistemi che contengono dati sensibili.
• Salva i risultati in formato HTML o testo semplice.
• Esegue da un CD o USB.

17 HxD

HxD è uno dei miei preferiti. È un editor esadecimale facile da usare che permette di eseguire modifiche di basso livello e di modificare un disco grezzo o la memoria principale (RAM). HxD è stato progettato con la facilità d’uso e le prestazioni in mente e può gestire file di grandi dimensioni senza problemi. Le caratteristiche includono ricerca e sostituzione, esportazione, checksum/digest, un frantumatore di file integrato, concatenazione o divisione di file, generazione di statistiche e altro.

Dall’interfaccia di HxD iniziate la vostra analisi aprendo un file da ‘File > Open’, caricando un disco da ‘Extras > Open disk…’ o caricando un processo RAM da ‘Extras > Open RAM…’

18 HELIX3 Free

HELIX3 è un Live CD basato su Linux che è stato costruito per essere utilizzato in scenari di Incident Response, Computer Forensics e E-Discovery. È imballato con un mucchio di strumenti open source che vanno dagli editor esadecimali al software di intaglio dei dati alle utility di cracking delle password, e altro ancora.

Nota: La versione di HELIX3 di cui hai bisogno è la 2009R1. Questa versione era l’ultima versione gratuita disponibile prima che HELIX fosse rilevata da un fornitore commerciale. HELIX3 2009R1 è ancora valido oggi e costituisce un’utile aggiunta al vostro toolkit di digital forensics.

Quando si avvia usando HELIX3, viene chiesto se si vuole caricare l’ambiente GUI o installare HELIX3 su disco. Se scegliete di caricare direttamente l’ambiente GUI (consigliato), apparirà una schermata basata su Linux che vi darà la possibilità di eseguire la versione grafica degli strumenti in bundle.

Caratteristiche principali

• Le pieghe di dati sono usate per etichettare diverse sezioni di memoria.
• Viene fornito con un editor di RAM.
• Esporta i dati in molti formati
• Rende facile dividere o concatenare i file.

19 Paladin Forensic Suite

Paladin Forensic Suite è un Live CD basato su Ubuntu che è ricco di strumenti forensi open source. Gli oltre 80 strumenti che si trovano su questo Live CD sono organizzati in oltre 25 categorie tra cui Strumenti di Imaging, Analisi del Malware, Analisi dei Social Media, Strumenti di Hashing, ecc.

Dopo aver avviato Paladin Forensic Suite, naviga nel menu delle applicazioni o clicca su una delle icone nella barra delle applicazioni per iniziare.

Nota: Una pratica guida rapida per Paladin Forensic Suite è disponibile per essere visualizzata o scaricata dal sito web di Paladin e dalla barra delle applicazioni all’interno di Paladin stesso.

Caratteristiche principali

• Fornisce una visibilità completa sulla tua rete.
• Acquisisce dati temporanei come la cronologia internet e la memoria e li memorizza in un drive USB.
• Funziona bene su Mac, Windows e Linux.
• Supporta molte applicazioni forensi open-source.

20 USB Historian

USB Historian analizza le informazioni USB, principalmente dal registro di Windows, per darvi una lista di tutte le unità USB che sono state collegate alla macchina. Mostra informazioni come il nome del drive USB, il numero di serie, quando è stato montato e da quale account utente. Queste informazioni possono essere molto utili quando hai a che fare con un’indagine in cui hai bisogno di capire se i dati sono stati rubati, spostati o consultati.

Quando avvii USB Historian, clicca sull’icona ‘+’ nel menu in alto per avviare la procedura guidata di analisi dei dati. Seleziona il metodo da cui vuoi analizzare i dati (Lettera di unità, Cartella di Windows e utenti o Hives/file individuali) e poi seleziona i rispettivi dati da analizzare. Una volta completato, vedrete informazioni simili a quelle mostrate nell’immagine qui sopra.

Caratteristiche principali

• Ideale per coloro che hanno a che fare con dati e furti di identità.
• Para il nome del computer per localizzare i dispositivi USB
• Offre un’analisi guidata.

Quindi, questi sono alcuni dei migliori strumenti gratuiti che potete usare per la forensics. Speriamo che ti sia piaciuto leggere la lista e facci sapere il tuo preferito nella sezione commenti!