Digitale forensische tools zijn er in vele categorieën, dus de exacte keuze van een tool hangt af van waar en hoe je het wilt gebruiken. Hier zijn enkele brede categorieën om u een idee te geven van de verscheidenheid die onder de paraplu van digitale forensische tools valt:

• Database forensisch onderzoek
• Email analyse
• Audio/video forensisch onderzoek
• Internet browsing analyse
• Netwerk forensisch onderzoek
• Geheugen forensisch onderzoek
• Bestand analyse
• Schijf en data capture
• Computer forensisch onderzoek
• Digitale beeld forensisch onderzoek

Hoewel dit geen uitputtende lijst is, het geeft u een beeld van wat digitale forensische tools zijn en wat u ermee kunt doen.

Ook is het belangrijk op te merken dat deze categorieën soms vaag kunnen zijn, afhankelijk van de vaardigheden van het personeel, de omstandigheden in het lab, de beschikbaarheid van apparatuur, bestaande wetten en contractuele verplichtingen. Zo worden tablets zonder SIM-kaart beschouwd als computers, zodat zij computer-forensisch gereedschap nodig hebben en geen mobiel-forensisch gereedschap.

Maar ongeacht deze variaties is het belangrijk dat digitaal forensisch gereedschap een enorme hoeveelheid mogelijkheden biedt om informatie te verkrijgen tijdens een onderzoek. Het is ook belangrijk op te merken dat het landschap van digitaal forensisch onderzoek zeer dynamisch is met nieuwe tools en functies die regelmatig worden uitgebracht om gelijke tred te houden met de constante updates van apparaten.

Het kiezen van de juiste tool

Gezien de vele opties, is het niet eenvoudig om de juiste tool te selecteren die aan uw behoeften voldoet. Hier zijn enkele aspecten waarmee u rekening moet houden bij het maken van de beslissing.

Kwalificatieniveau

Kwalificatieniveau is een belangrijke factor bij het selecteren van een digitale forensische tool. Sommige tools vereisen slechts een basiskennis, terwijl andere geavanceerde kennis vereisen. Een goede vuistregel is om de vaardigheden die u hebt te vergelijken met wat de tool vereist, zodat u de krachtigste tool kunt kiezen die u kunt bedienen.

Uitvoer

Tools zijn niet hetzelfde gebouwd, dus zelfs binnen dezelfde categorie zal de uitvoer verschillen. Sommige tools leveren alleen ruwe gegevens, terwijl andere een compleet rapport opleveren dat direct kan worden gedeeld met niet-technisch personeel. In sommige gevallen zijn ruwe gegevens alleen al voldoende, omdat de informatie dan nog verder verwerkt moet worden, terwijl in andere gevallen een geformatteerd rapport het werk kan vergemakkelijken.

Kosten

Natuurlijk zijn de kosten een belangrijke factor, omdat de meeste afdelingen te maken hebben met budgettaire beperkingen. De goedkoopste tools hebben misschien niet alle functies die u wilt, omdat ontwikkelaars zo de kosten laag houden. In plaats van een tool te kiezen op basis van de kosten alleen, overweeg een balans tussen kosten en mogelijkheden bij het maken van je keuze.

Focus

Een ander belangrijk aspect is het focusgebied van de tool, omdat verschillende taken meestal verschillende tools vereisen. Hulpmiddelen voor het onderzoeken van een database zijn bijvoorbeeld heel anders dan die voor het onderzoeken van een netwerk. Het beste is om een volledige lijst van eisen op te stellen alvorens tot aankoop over te gaan. Zoals eerder gezegd, kunnen sommige tools meerdere functies in één kit omvatten, wat een betere deal kan zijn dan het vinden van aparte tools voor elke taak.

Aanvullende accessoires

Sommige tools kunnen aanvullende accessoires nodig hebben om te werken en dit is iets waar ook rekening mee moet worden gehouden. Voor sommige forensische netwerkinstrumenten is bijvoorbeeld specifieke hardware of een softwarematig opstartbaar medium nodig. Zorg er dus voor dat u de hardware- en softwarevereisten controleert voordat u tot aanschaf overgaat.

Hier zijn 20 van de beste gratis tools die u zullen helpen bij het uitvoeren van een digitaal forensisch onderzoek. Of het nu voor een interne personeelszaak is, een onderzoek naar ongeautoriseerde toegang tot een server, of als je gewoon een nieuwe vaardigheid wilt leren, deze suites en hulpprogramma’s helpen je bij het uitvoeren van geheugen forensische analyse, harde schijf forensische analyse, forensische beeldverkenning, forensische beeldvorming en mobiel forensisch onderzoek. Als zodanig bieden ze allemaal de mogelijkheid om diepgaande informatie terug te brengen over wat er “onder de motorkap” van een systeem zit.

Dit is zeker geen uitgebreide lijst en dekt misschien niet alles wat u nodig heeft voor uw onderzoek. Misschien heeft u ook aanvullende programma’s nodig, zoals file viewers, hash generators en tekst editors – kijk bij 101 Free Admin Tools voor een aantal van deze.

Mijn artikelen over Top 10 Free Troubleshooting Tools for SysAdmins, Top 20 Free Network Monitoring and Analysis Tools for Sys Admins en Top 20 Free File Management Tools for Sys Admins kunnen ook van pas komen omdat ze een hoop tools bevatten die gebruikt kunnen worden voor Digitaal Forensisch Onderzoek (e.g.

Zelfs als je al van sommige van deze tools gehoord hebt, ben ik er zeker van dat je een juweeltje of twee in deze lijst zult vinden.

01 SANS SIFT

De SANS Investigative Forensic Toolkit (SIFT) is een Ubuntu gebaseerde Live CD die alle tools bevat die je nodig hebt om een diepgaand forensisch onderzoek of incident response onderzoek uit te voeren. Het ondersteunt de analyse van Expert Witness Format (E01), Advanced Forensic Format (AFF), en RAW (dd) bewijsformaten. SIFT bevat tools zoals log2timeline voor het genereren van een tijdlijn uit systeem logs, Scalpel voor data file carving, Rifiuti voor het onderzoeken van de prullenbak, en nog veel meer.

Wanneer u voor het eerst opstart in de SIFT-omgeving, stel ik voor dat u de documentatie op de desktop verkent om u te helpen gewend te raken aan welke tools beschikbaar zijn en hoe u ze moet gebruiken. Er is ook een goede uitleg over waar u bewijsmateriaal kunt vinden op een systeem. Gebruik de bovenste menubalk om een tool te openen, of start het handmatig vanuit een terminal venster.

Key features

• 64-bit basis systeem
• Auto-DFIR pakket update en aanpassingen
• Cross compatibiliteit met Linux en Windows.
• Uitgebreide ondersteuning voor bestandssystemen
• Optie om het standalone systeem te installeren

02 CrowdStrike CrowdResponse

CrowdResponse is een lichtgewicht console-applicatie die kan worden gebruikt als onderdeel van een incident response scenario om contextuele informatie te verzamelen, zoals een proceslijst, geplande taken, of Shim Cache. Met behulp van ingebedde YARA-handtekeningen kunt u uw host ook scannen op malware en rapporteren als er aanwijzingen zijn dat de host is gecompromitteerd.

Om CrowdsResponse uit te voeren, pakt u het ZIP-bestand uit en start u een opdrachtprompt met beheerdersbevoegdheden. Navigeer naar de map waar het CrowdResponse*.exe proces zich bevindt en voer uw opdrachtparameters in. U moet ten minste het uitvoerpad en de ‘tool’ die u wilt gebruiken om gegevens te verzamelen. Voor een volledige lijst van ‘tools’, voer CrowdResponse64.exe in de opdrachtprompt en het zal een lijst met ondersteunde toolnamen en voorbeeldparameters tevoorschijn brengen.

Als je eenmaal de gegevens hebt geëxporteerd die je nodig hebt, kun je CRconvert.exe gebruiken om de gegevens van XML naar een ander bestandsformaat zoals CSV of HTML te converteren.

Key features

• Komt met drie modules – directory-listing, actief draaiende module, en YARA-verwerkingsmodule.
• Toont informatie over applicatiebronnen
• Verifieert de digitale handtekening van de executable van het proces.
• Scant het geheugen, geladen modulebestanden en on-disk bestanden van alle momenteel draaiende processen

03 Volatility

Volatility is een geheugen forensisch raamwerk voor incident response en malware analyse waarmee u digitale artefacten kunt extraheren uit vluchtig geheugen (RAM) dumps. Met behulp van Volatility kunt u informatie extraheren over lopende processen, open netwerk sockets en netwerkverbindingen, DLL’s geladen voor elk proces, cache registry hives, proces ID’s, en nog veel meer.

Als u de standalone Windows-uitvoerbare versie van Volatility gebruikt, plaatst u volatility-2.x.standalone.exe in een map en opent u een opdrachtpromptvenster. Vanaf de opdrachtprompt navigeert u naar de locatie van het uitvoerbare bestand en typt u “volatility-2.x.standalone.exe -f <FILENAME> -profile=<PROFILENAME><PLUGINNAME>” zonder aanhalingstekens – FILENAME zou de naam zijn van het geheugendumpbestand dat u wenst te analyseren, PROFILENAME is de machine waarop de geheugendump is gemaakt en PLUGINNAME is de naam van de plugin die u wilt gebruiken om de informatie te extraheren.

Note: In het bovenstaande voorbeeld gebruik ik de ‘connscan’ plugin om de fysieke geheugendump te doorzoeken op TCP connectie informatie.

Kernmerken

• Ondersteunt een grote verscheidenheid aan bestandsformaten.
• Draait op Windows, Linux, en Mac
• Komt met snelle en efficiënte algoritmes om RAM dumps van grote systemen te analyseren.
• De uitbreidbare en scriptbare API opent nieuwe mogelijkheden voor uitbreiding en innovatie.

04 The Sleuth Kit (+Autopsy)

The Sleuth Kit is een open source digitale forensische toolkit die kan worden gebruikt om diepgaande analyses van diverse bestandssystemen uit te voeren. Autopsy is in wezen een GUI die bovenop The Sleuth Kit zit. Het wordt geleverd met functies als Timeline Analysis, Hash Filtering, File System Analysis en Keyword Searching out of the box, met de mogelijkheid om andere modules toe te voegen voor uitgebreide functionaliteit.

Aanwijzing: u kunt The Sleuth Kit gebruiken als u een Linux-box gebruikt en Autopsy als u een Windows-box gebruikt.

Als u Autopsy start, kunt u ervoor kiezen om een nieuwe zaak te maken of een bestaande zaak te laden. Als u ervoor kiest een nieuwe zaak aan te maken, moet u een forensische image of een lokale schijf laden om de analyse te starten. Zodra het analyseproces is voltooid, kunt u met de knooppunten in het linkerdeelvenster kiezen welke resultaten u wilt bekijken.

Kernfuncties

• Systeemgebeurtenissen weergeven via een grafische interface.
• Kan register-, LNK-bestanden-, en e-mailanalyses uitvoeren.
• Ondersteunt de meest gangbare bestandsformaten
• Haalt gegevens uit SMS, oproeplogs, contacten, Tango en Words with Friends, en analyseert deze.

05 FTK Imager

FTK Imager is een data preview en imaging tool waarmee u bestanden en mappen op lokale harde schijven, netwerkschijven, CD’s/DVD’s kunt onderzoeken, en de inhoud van forensische images of geheugendumps kunt bekijken. Met FTK Imager kunt u ook SHA1 of MD5 hashes van bestanden maken, bestanden en mappen van forensische images exporteren naar schijf, bestanden bekijken en herstellen die zijn verwijderd uit de Prullenbak (mits hun gegevensblokken niet zijn overschreven), en een forensisch image mounten om de inhoud ervan te bekijken in Windows Verkenner.

Aantekening: er is een draagbare versie van FTK Imager waarmee u het vanaf een USB-schijf kunt uitvoeren.

Wanneer u FTK Imager start, gaat u naar ‘Bestand > Bewijsstuk toevoegen…’ om een bewijsstuk te laden voor beoordeling. Om een forensische image te maken, gaat u naar ‘File > Create Disk Image…’ en kiest u de bron die u forensisch wilt image.

Key features

• Komt met data preview mogelijkheid om zowel bestanden/mappen als de inhoud ervan te bekijken.
• Supports image mounting
• Gebruikt multi-core CPU’s om acties te parallelliseren.
• Toegang tot een gedeelde case database, dus een enkele centrale database is genoeg voor een enkele case.

06 Linux ‘dd’

dd wordt standaard geleverd op de meerderheid van de Linux distributies die vandaag de dag beschikbaar zijn (bijv. Ubuntu, Fedora). Dit gereedschap kan worden gebruikt voor verschillende digitale forensische taken, zoals het forensisch wissen van een schijf (zero-ing out van een schijf) en het maken van een raw image van een schijf.

Note: dd is een zeer krachtig gereedschap dat verwoestende effecten kan hebben als het niet voorzichtig wordt gebruikt. Het wordt aanbevolen dat u in een veilige omgeving experimenteert voordat u dit gereedschap in de echte wereld gebruikt.

Tip: Een aangepaste versie van dd is beschikbaar bij http://sourceforge.net/projects/dc3dd/ – dc3dd bevat extra functies die speciaal zijn toegevoegd voor digitale forensische acquisitietaken.

Om dd te gebruiken, open je gewoon een terminalvenster en typ je dd gevolgd door een reeks opdrachtparameters (welke opdrachtparameters dat zijn, hangt uiteraard af van wat je wilt doen). De basissyntaxis van dd voor het forensisch wissen van een schijf is:

dd if=/dev/zero of=/dev/sdb1 bs=1024
waar if = invoerbestand, of = uitvoerbestand, bs = bytegrootte

Note: Vervang /dev/sdb1 door de schijfnaam van de schijf die u forensisch wilt wissen en 1024 door de grootte van de byteblokken die u wilt wegschrijven.

De basis dd syntax voor het maken van een forensische image van een schijf is:

dd if=/dev/sdb1 of=/home/andrew/newimage.dd bs=512 conv=noerror,sync

waarin if = invoerbestand (of in dit geval schijf), of = uitvoerbestand, bs = byte-grootte, conv = conversie opties

Tip: Voor meer gebruiksinfo, typ “man dd” zonder aanhalingstekens in een terminalvenster om de help-handleiding voor het dd commando op te roepen.

Key features

• Dupliceert gegevens over bestanden, apparaten, partities en volumes.
• Ondersteunt master boot record backup en restore.
• Het kan gemakkelijk gegevens wijzigen
• Moet met voorzichtigheid worden gebruikt omdat het een schijf volledig kan wissen.

07 CAINE

CAINE (Computer Aided INvestigative Environment) is Linux Live CD die een schat aan digitale forensische tools bevat. De functies omvatten een gebruikersvriendelijke GUI, semi-geautomatiseerde rapportcreatie en tools voor Mobile Forensics, Network Forensics, Data Recovery en meer.

Wanneer u CAINE Linux opstart, kunt u de digitale forensische tools starten vanuit de CAINE interface (snelkoppeling op het bureaublad) of vanuit de snelkoppeling van elke tool in de map ‘Forensic Tools’ op de menubalk van de toepassingen.

Kernmerken

• Komt met een gebruikersvriendelijke interface die veel open-source forensische tools samenbrengt.
• voldoet aan de onderzoeksprocedure die is vastgelegd in de Italiaanse wetgeving.
• De omgeving is geoptimaliseerd voor diepgaande forensische analyse
• Genereert rapporten die gemakkelijk kunnen worden bewerkt en geëxporteerd.

08 ExifTool

ExifTool is een command-line applicatie die wordt gebruikt om bestand metadata informatie te lezen, schrijven of bewerken. Het is snel, krachtig en ondersteunt een groot aantal bestandsformaten (hoewel afbeeldingsbestanden zijn specialiteit zijn). ExifTool kan bijvoorbeeld worden gebruikt voor het analyseren van de statische eigenschappen van verdachte bestanden in een forensisch onderzoek op basis van hosts.

Om ExifTool te gebruiken, sleept u gewoon het bestand waaruit u metadata wilt extraheren naar de toepassing exiftool(-k).exe en het zal een opdrachtpromptvenster openen met de weergegeven informatie. Als alternatief, hernoem exiftool(-k).exe naar exiftool.exe en voer het uit vanaf de opdrachtprompt.

Key features

• Ondersteunt verschillende bestandsformaten, verbose, en HTML-gebaseerde hex dump outputs.
• Kopieert meta-data informatie tussen bestanden
• Maakt automatisch een back-up van de originele afbeelding
• Converteert uitvoer in vele talen.

09 Free Hex Editor Neo

Free Hex Editor Neo is een basis hex editor die is ontworpen om zeer grote bestanden te verwerken. Hoewel veel van de extra functies te vinden zijn in de commerciële versies van Hex Editor Neo, vind ik dit gereedschap nuttig voor het laden van grote bestanden (bijvoorbeeld database-bestanden of forensische beelden) en het uitvoeren van acties zoals het handmatig snijden van gegevens, het bewerken van bestanden op laag niveau, het verzamelen van informatie, of het zoeken naar verborgen gegevens.

Gebruik ‘Bestand > Openen’ om een bestand in Hex Editor Neo te laden. De gegevens verschijnen in het middelste venster waar u handmatig door de hex kunt navigeren of op CTRL + F kunt drukken om een zoekopdracht uit te voeren.

Kernfuncties

• Maakt het gemakkelijk om datapatronen in grote bestanden te vinden
• Supports multiple core processing
• Handelt reguliere expressie zoekopdrachten in bestanden
• Maakt het mogelijk om snel bestandspatches te maken of elk aspect van de gebruikersinterface aan te passen.

10 Bulk Extractor

bulk_extractor is een forensisch computerprogramma dat een schijfimage, bestand of map met bestanden scant en daaruit informatie extraheert zoals creditcardnummers, domeinen, e-mailadressen, URL’s en ZIP-bestanden. De informatie wordt opgeslagen in een reeks tekstbestanden (die handmatig kunnen worden bekeken of geanalyseerd met andere forensische tools of scripts).

Tip: In de tekstbestanden vindt u gegevens die lijken op een creditcardnummer, e-mailadres, domeinnaam, enz. U ziet ook een decimale waarde in de eerste kolom van het tekstbestand dat, wanneer het wordt omgezet in hex, kan worden gebruikt als de wijzer op schijf waar de invoer werd gevonden (d.w.z. als u de schijf handmatig zou analyseren met bijvoorbeeld een hex-editor, zou u naar deze hexadecimale waarde springen om de gegevens te bekijken).

Bulk_extractor wordt geleverd als een command-line tool of een GUI-tool. In het bovenstaande voorbeeld heb ik de bulk extractor tool ingesteld om informatie te extraheren uit een forensische afbeelding die ik eerder heb genomen en de resultaten te exporteren naar een map genaamd “BE_Output”. De resultaten kunnen vervolgens worden bekeken in de Bulk Extractor Viewer en de hierboven genoemde tekstbestanden.

Key features

• Verwerkt verschillende delen van de schijf parallel.
• Detecteert, decomprimeert en verwerkt gecomprimeerde gegevens automatisch.
• Haalt kritieke informatie zoals creditcardgegevens en e-mailadressen uit digitale gegevens
• Kan worden gebruikt om informatie over de meeste digitale media te verwerken.

11 DEFT

DEFT is nog een Linux Live CD die enkele van de populairste vrije en open source computer forensische tools bundelt die beschikbaar zijn. Het is bedoeld om te helpen bij Incident Response, Cyber Intelligence en Computer Forensics scenario’s. Het bevat onder andere tools voor Mobile Forensics, Network Forensics, Data Recovery en Hashing.

Wanneer u DEFT gebruikt, wordt u gevraagd of u de live-omgeving wilt laden of DEFT op schijf wilt installeren. Als u de live-omgeving laadt, kunt u de snelkoppelingen op de menubalk van de toepassing gebruiken om de vereiste hulpprogramma’s te starten.

Kernfuncties

• Inclusief een bestandsbeheerder die de status van een schijfmount weergeeft.
• Biedt volledige ondersteuning voor Android en iOS.
• Komt met een paar open-source en closed-source Windows-toepassingen die momenteel geen alternatief hebben in de Unix-wereld.
• Er wordt een integriteitscontrole uitgevoerd voordat een programma in de veilige modus wordt gestart.

12 Xplico

Xplico is een open source Network Forensic Analysis Tool (NFAT) dat als doel heeft om applicatiegegevens uit internetverkeer te extraheren (Xplico kan bijvoorbeeld een e-mailbericht extraheren uit POP, IMAP of SMTP verkeer). Tot de mogelijkheden behoren ondersteuning van een groot aantal protocollen (bijv. HTTP, SIP, IMAP, TCP, UDP), TCP reassembly, en de mogelijkheid om gegevens te exporteren naar een MySQL of SQLite database, onder andere.

Als u Xplico hebt geïnstalleerd, kunt u de webinterface openen door te navigeren naar http://<IPADDRESS>:9876 en in te loggen met een normale gebruikersaccount. Het eerste wat u moet doen is een case aanmaken en een nieuwe sessie toevoegen. Wanneer u een nieuwe sessie aanmaakt, kunt u ofwel een PCAP-bestand laden (bijvoorbeeld verkregen van Wireshark) of een live capture starten. Zodra de sessie klaar is met decoderen, kunt u het navigatiemenu aan de linkerkant gebruiken om de resultaten te bekijken.

Kernmerken

• Komt met drie modules – een invoermodule voor gegevensinvoer, een uitvoermodule voor het decoderen van gegevens en het presenteren ervan aan de eindgebruiker, en decoderingsmodules voor het decoderen van het afzonderlijke netwerkprotocol.
• Ondersteunt verschillende gebruikersinterfaces
• Alle modules kunnen worden geladen of ontladen via het configuratiebestand.
• Het kan VoIP-oproepen decoderen.

13 LastActivityView

Ik heb LastActivityView kort aangestipt toen ik wees op de NirSoft suite van tools in mijn Top 10 Gratis Systeem Probleem Oplossing Tools voor SysAdmins artikel. LastActivityView laat je toe om te zien welke acties werden ondernomen door een gebruiker en welke gebeurtenissen zich voordeden op de machine. Alle activiteiten zoals het uitvoeren van een uitvoerbaar bestand, het openen van een bestand/map vanuit Verkenner, een applicatie- of systeemcrash of een gebruiker die een software-installatie uitvoert, zullen worden gelogd. De informatie kan worden geëxporteerd naar een CSV / XML / HTML-bestand. Deze tool is handig wanneer u moet bewijzen dat een gebruiker (of account) een actie heeft uitgevoerd waarvan hij of zij zei dat het niet het geval was.

Wanneer u LastActivityView start, wordt onmiddellijk een lijst weergegeven van acties die zijn ondernomen op de machine waarop het wordt uitgevoerd. Sorteer op actietijd of gebruik de zoekknop om te onderzoeken welke acties op de machine zijn ondernomen.

Kernfuncties

• Registreert vele gebruikersacties zoals het openen en sluiten van bestanden, software-installatie en meer.
• Verzamelt informatie uit het gebeurtenislogboek en andere bronnen.
• Je hoeft het niet te installeren of het altijd als achtergrondproces te laten draaien. Wanneer u het eenmaal start, maakt het een tijdlijn van gebeurtenissen voor u.
• Draait alleen op Windows 200 en latere versies.

14 DSi USB Write Blocker

DSi USB Write Blocker is een software-gebaseerde schrijfblokkering die schrijftoegang tot USB-apparaten voorkomt. Dit is belangrijk in een onderzoek om te voorkomen dat de metadata of tijdstempels worden gewijzigd en het bewijsmateriaal ongeldig wordt gemaakt.

Wanneer u DSi USB Write Blocker uitvoert, verschijnt er een venster waarmee u de USB Write Blocker kunt in- of uitschakelen. Zodra u wijzigingen hebt aangebracht en de toepassing hebt afgesloten, kunt u de status in de gaten houden via het hangslotpictogram in de taakbalk. Wanneer u een analyse van een USB-stick uitvoert, schakelt u eerst de USB Write Blocker in en sluit u vervolgens de USB-stick aan.

Als u op zoek bent naar een opdrachtregel-alternatief, kijk dan eens naar ‘USB Write Blocker for ALL Windows’. Dit hulpprogramma werkt door het bijwerken van een registervermelding om te voorkomen dat er naar USB-stations wordt geschreven. Om de tool uit te voeren, voert u gewoon het batchbestand uit en selecteert u optie 1 om de USB-poorten in de alleen-lezen modus te zetten.

Key features

• Verandert een USB-stick in een leesbare modus om te voorkomen dat gegevens worden verwijderd/gewijzigd.
• Draait meestal op Windows, hoewel u enkele wijzigingen kunt aanbrengen om het op de nieuwste versie van iOS uit te voeren.
• Geeft u de mogelijkheid om de status van deze toepassing in uw taakbalk te zien.

15 FireEye RedLine

RedLine biedt de mogelijkheid om geheugen- en bestandsanalyses van een specifieke host uit te voeren. Het verzamelt informatie over actieve processen en stuurprogramma’s uit het geheugen, en verzamelt metagegevens over het bestandssysteem, registergegevens, gebeurtenislogboeken, netwerkinformatie, services, taken en internetgeschiedenis om een algemeen profiel van de dreigingsanalyse op te bouwen.

Wanneer u RedLine start, krijgt u de keuze om gegevens te verzamelen of gegevens te analyseren. Tenzij u al een geheugendumpbestand beschikbaar hebt, zult u een verzamelprogramma moeten maken om gegevens van de machine te verzamelen en dat proces tot het einde toe laten doorlopen. Zodra u een geheugendumpbestand bij de hand hebt, kunt u met uw analyse beginnen.

Kernfuncties

• Helpt te identificeren wanneer een gecompromitteerd bestand is geïntroduceerd en hoe het in het systeem/netwerk blijft.
• Gebruik witte lijstindicatoren om bekende gegevens uit te filteren.
• Verzamelt informatie van uitgevoerde processen, bestanden, afbeeldingen en registergegevens.

16 PlainSight

PlainSight is een Live CD gebaseerd op Knoppix (een Linux distributie) waarmee je digitale forensische taken kunt uitvoeren, zoals het bekijken van internet histories, data carving, het verzamelen van informatie over het gebruik van USB apparaten, het onderzoeken van fysieke geheugendumps, het extraheren van wachtwoord hashes, en meer.

Wanneer u PlainSight opstart, verschijnt er een venster waarin u wordt gevraagd te selecteren of u een scan wilt uitvoeren, een bestand wilt laden of de wizard wilt uitvoeren.

Kernfuncties

• Verwijdert vele bestandstypen zoals jpg, png, pdf, mov, wav, zip, rar, exe, en meer.
• Gebruikt een spider om systemen te scannen die gevoelige data bevatten.
• Slaat resultaten op in HTML of platte tekst formaten.
• Uitgevoerd vanaf een CD of USB.

17 HxD

HxD is een van mijn persoonlijke favorieten. Het is een gebruiksvriendelijke hex editor waarmee je low-level bewerkingen en wijzigingen kunt uitvoeren op een ruwe schijf of in het hoofdgeheugen (RAM). HxD is ontworpen met gebruiksgemak en prestaties in het achterhoofd en kan zonder problemen grote bestanden aan. De functies omvatten zoeken en vervangen, exporteren, checksums/digests, een ingebouwde file shredder, aaneenschakelen of splitsen van bestanden, genereren van statistieken en meer.

Vanuit de HxD-interface start u uw analyse door een bestand te openen vanuit ‘Bestand > Openen’, een disk te laden vanuit ‘Extras > Open disk…’ of een RAM proces te laden vanuit ‘Extras > Open RAM…’

18 HELIX3 Free

HELIX3 is een Live CD gebaseerd op Linux dat is gemaakt om te worden gebruikt in Incident Response, Computer Forensics en E-Discovery scenario’s. Het zit vol met een hoop open source tools, variërend van hex editors tot data carving software tot password cracking utilities, en meer.

Note: De HELIX3 versie die je nodig hebt is 2009R1. Deze versie was de laatste gratis versie die beschikbaar was voordat HELIX werd overgenomen door een commerciële leverancier. HELIX3 2009R1 is nog steeds geldig en is een nuttige aanvulling op uw digitale forensische toolkit.

Wanneer u HELIX3 opstart, wordt u gevraagd of u de GUI-omgeving wilt laden of HELIX3 op schijf wilt installeren. Als u ervoor kiest om de GUI omgeving direct te laden (aanbevolen), verschijnt een Linux-gebaseerd scherm dat u de optie geeft om de grafische versie van de gebundelde tools te draaien.

Key features

• Data-folds worden gebruikt om verschillende geheugensecties te taggen.
• Komt met een RAM-editor.
• Exporteert gegevens naar vele formaten
• Maakt het gemakkelijk om bestanden te splitsen of samen te voegen.

19 Paladin Forensic Suite

Paladin Forensic Suite is een Live CD gebaseerd op Ubuntu die is volgepakt met een schat aan open source forensische tools. De meer dan 80 tools op deze Live CD zijn onderverdeeld in meer dan 25 categorieën, waaronder Imaging Tools, Malware Analysis, Social Media Analysis, Hashing Tools, etc.

Na het opstarten van Paladin Forensic Suite navigeert u naar het App Menu of klikt u op een van de pictogrammen in de taakbalk om aan de slag te gaan.

Note: Een handige Quick Start Guide voor Paladin Forensic Suite is beschikbaar om te bekijken of te downloaden van de Paladin website en van de taakbalk in Paladin zelf.

Kernfuncties

• Biedt volledig inzicht in uw netwerk.
• Verwijdert tijdelijke gegevens zoals internetgeschiedenis en geheugen en slaat dezelfde op in een USB drive.
• Werkt goed op Mac, Windows, en Linux.
• Ondersteunt veel open-source forensische toepassingen.

20 USB Historian

USB Historian ontleedt USB-informatie, voornamelijk uit het Windows-register, om u een lijst te geven van alle USB-drives die op de machine waren aangesloten. Het toont informatie zoals de naam van het USB-station, het serienummer, wanneer het werd aangekoppeld en door welke gebruikersaccount. Deze informatie kan zeer nuttig zijn wanneer u te maken hebt met een onderzoek waarbij u moet begrijpen of gegevens zijn gestolen, verplaatst of geopend.

Wanneer u USB Historian start, klikt u op het ‘+’-pictogram in het bovenste menu om de wizard voor het parseren van gegevens te starten. Selecteer de methode waarvan u de gegevens wilt ontleden (stationsletter, Windows- en gebruikersmap of afzonderlijke hives/bestanden) en selecteer vervolgens de gegevens die u wilt ontleden. Eenmaal voltooid ziet u informatie vergelijkbaar met die in de bovenstaande afbeelding.

Key features

• Ideaal voor degenen die te maken hebben met data- en identiteitsdiefstal.
• Parses the computer name to locate USB devices
• Offers a wizard-driven analysis.

Dus, dit zijn enkele van de top gratis tools die u kunt gebruiken voor forensisch onderzoek. We hopen dat u de lijst met plezier hebt gelezen en laat ons uw favoriete tool weten in het gedeelte met opmerkingen!