Narzędzia do cyfrowego kryminalistyki występują w wielu kategoriach, więc dokładny wybór narzędzia zależy od tego, gdzie i jak chcesz go użyć. Oto kilka szerokich kategorii, aby dać Ci wyobrażenie o różnorodności, która mieści się pod parasolem cyfrowych narzędzi kryminalistycznych:

• Bazy danych
• Analiza poczty elektronicznej
• Audio/wideo
• Analiza przeglądania Internetu
• Analiza sieci
• Memory
• Analiza plików
• Przechwytywanie dysków i danych
• Komputerowa analiza śledcza
• Komputerowa analiza śledcza obrazów cyfrowych

Nie jest to lista wyczerpująca, daje ona obraz tego, co stanowi narzędzia cyfrowej kryminalistyki i co można z nimi zrobić. Czasami wiele narzędzi jest łączonych w jeden zestaw narzędzi, aby pomóc w wykorzystaniu potencjału powiązanych narzędzi.

Należy również zauważyć, że te kategorie mogą się czasem rozmywać w zależności od umiejętności personelu, warunków panujących w laboratorium, dostępności sprzętu, obowiązujących przepisów i zobowiązań umownych. Na przykład tablety bez karty SIM są uważane za komputery, więc wymagają narzędzi informatyki śledczej, a nie mobilnych narzędzi kryminalistycznych.

Ale niezależnie od tych różnic, ważne jest to, że narzędzia cyfrowej kryminalistyki oferują ogromną ilość możliwości pozyskiwania informacji podczas dochodzenia. Ważne jest również, aby zauważyć, że krajobraz cyfrowej kryminalistyki jest bardzo dynamiczny, a nowe narzędzia i funkcje są wydawane regularnie, aby nadążyć za ciągłymi aktualizacjami urządzeń.

Wybór odpowiedniego narzędzia

Zważywszy na wiele opcji, nie jest łatwo wybrać odpowiednie narzędzie, które będzie pasować do Twoich potrzeb. Oto kilka aspektów, które należy rozważyć przy podejmowaniu decyzji.

Poziom umiejętności

Poziom umiejętności jest ważnym czynnikiem przy wyborze narzędzia do cyfrowej kryminalistyki. Niektóre narzędzia wymagają jedynie podstawowego zestawu umiejętności, podczas gdy inne mogą wymagać zaawansowanej wiedzy. Dobrą zasadą jest ocena posiadanych umiejętności w porównaniu z tym, czego wymaga narzędzie, dzięki czemu można wybrać najpotężniejsze narzędzie, które posiada kompetencje do obsługi.

Wyjście

Narzędzia nie są zbudowane w ten sam sposób, więc nawet w obrębie tej samej kategorii, wyniki będą się różnić. Niektóre narzędzia zwrócą tylko surowe dane, podczas gdy inne stworzą kompletny raport, który może być natychmiast udostępniony personelowi nietechnicznemu. W niektórych przypadkach, same surowe dane są wystarczające, ponieważ informacje mogą i tak przejść przez więcej przetwarzania, podczas gdy w innych, posiadanie sformatowanego raportu może ułatwić pracę.

Koszt

Nie trzeba dodawać, że koszt jest ważnym czynnikiem, ponieważ większość działów ma ograniczenia budżetowe. Jeden aspekt, o którym należy pamiętać – najtańsze narzędzia mogą nie mieć wszystkich funkcji, które chcesz, ponieważ w ten sposób programiści utrzymują koszty na niskim poziomie. Zamiast wybierać narzędzie tylko na podstawie kosztów, należy rozważyć równowagę pomiędzy kosztami i funkcjami podczas dokonywania wyboru.

Focus

Kolejnym kluczowym aspektem jest obszar zainteresowania narzędzia, ponieważ różne zadania zazwyczaj wymagają różnych narzędzi. Na przykład, narzędzia do badania bazy danych są bardzo różne od tych potrzebnych do badania sieci. Najlepszą praktyką jest stworzenie kompletnej listy wymagań dotyczących funkcji przed zakupem. Jak wspomniano wcześniej, niektóre narzędzia mogą obejmować wiele funkcji w jednym zestawie, co może być lepszym rozwiązaniem niż znalezienie oddzielnych narzędzi do każdego zadania.

Dodatkowe akcesoria

Niektóre narzędzia mogą wymagać dodatkowych akcesoriów do działania i jest to coś, co również należy wziąć pod uwagę. Na przykład, niektóre narzędzia do analizy śledczej sieci mogą wymagać określonego sprzętu lub nośnika startowego z oprogramowaniem. Upewnij się więc, że sprawdzisz wymagania sprzętowe i programowe przed zakupem.

Przedstawiamy 20 najlepszych darmowych narzędzi, które pomogą Ci w przeprowadzeniu cyfrowego śledztwa kryminalistycznego. Niezależnie od tego, czy chodzi o wewnętrzną sprawę kadrową, dochodzenie w sprawie nieautoryzowanego dostępu do serwera, czy po prostu chcesz nauczyć się nowej umiejętności, te pakiety i narzędzia pomogą Ci przeprowadzić analizę kryminalistyczną pamięci, analizę kryminalistyczną dysku twardego, eksplorację obrazu kryminalistycznego, obrazowanie kryminalistyczne i kryminalistykę mobilną. Jako takie, wszystkie one zapewniają możliwość uzyskania dogłębnych informacji o tym, co znajduje się „pod maską” systemu.

Nie jest to w żadnym wypadku obszerna lista i może nie obejmować wszystkiego, czego potrzebujesz do swojego dochodzenia. Możesz również potrzebować dodatkowych narzędzi, takich jak przeglądarki plików, generatory hash i edytory tekstu – sprawdź 101 Free Admin Tools dla niektórych z nich.

Moje artykuły na temat Top 10 Free Troubleshooting Tools for SysAdmins, Top 20 Free Network Monitoring and Analysis Tools for Sys Admins oraz Top 20 Free File Management Tools for Sys Admins mogą również okazać się przydatne, ponieważ zawierają wiele narzędzi, które mogą być wykorzystane w cyfrowych dochodzeniach kryminalistycznych (np.BackTrack i SysInternals Suite lub NirSoft Suite narzędzi).

Nawet jeśli słyszałeś o niektórych z tych narzędzi wcześniej, jestem pewien, że znajdziesz klejnot lub dwa wśród tej listy.

01 SANS SIFT

SANS Investigative Forensic Toolkit (SIFT) jest opartym na Ubuntu Live CD, który zawiera wszystkie narzędzia potrzebne do przeprowadzenia dogłębnego śledztwa kryminalistycznego lub odpowiedzi na incydent. Obsługuje on analizę formatów dowodowych Expert Witness Format (E01), Advanced Forensic Format (AFF) i RAW (dd). SIFT zawiera takie narzędzia, jak log2timeline do generowania osi czasu z logów systemowych, Scalpel do rzeźbienia w plikach danych, Rifiuti do badania kosza i wiele innych.

Podczas pierwszego uruchomienia środowiska SIFT proponuję zapoznać się z dokumentacją na pulpicie, która pomoże przyzwyczaić się do tego, jakie narzędzia są dostępne i jak ich używać. Znajduje się tam również dobre wyjaśnienie, gdzie znaleźć dowody w systemie. Użyj górnego paska menu, aby otworzyć narzędzie, lub uruchom je ręcznie z okna terminala.

Kluczowe cechy

• 64-bitowy system bazowy
• Auto-DFIR aktualizacja pakietów i dostosowanie
• Kompatybilność z Linuksem i Windows.
• Rozszerzona obsługa systemów plików
• Opcja instalacji systemu autonomicznego

02 CrowdStrike CrowdResponse

CrowdResponse jest lekką aplikacją konsolową, która może być używana jako część scenariusza reakcji na incydent do zbierania informacji kontekstowych, takich jak lista procesów, zaplanowane zadania lub Shim Cache. Korzystając z wbudowanych sygnatur YARA, można również skanować hosta w poszukiwaniu złośliwego oprogramowania i raportować, jeśli istnieją jakiekolwiek wskaźniki kompromitacji.

Aby uruchomić CrowdsResponse, rozpakuj plik ZIP i uruchom Wiersz poleceń z uprawnieniami administracyjnymi. Przejdź do folderu, w którym znajduje się proces CrowdResponse*.exe i wprowadź parametry polecenia. Jako minimum musisz podać ścieżkę wyjścia oraz „narzędzie”, którego chcesz użyć do zbierania danych. Aby uzyskać pełną listę 'narzędzi', wpisz CrowdResponse64.exe w wierszu poleceń, a pojawi się lista nazw obsługiwanych narzędzi i przykładowe parametry.

Po wyeksportowaniu potrzebnych danych, możesz użyć CRconvert.exe, aby przekonwertować dane z XML do innego formatu pliku, takiego jak CSV lub HTML.

Kluczowe cechy

• Dostępny z trzema modułami – listą katalogów, modułem aktywnego działania i modułem przetwarzania YARA.
• Wyświetla informacje o zasobach aplikacji
• Weryfikuje cyfrowy podpis wykonywalnego procesu.
• Skanuje pamięć, załadowane pliki modułów i pliki na dysku wszystkich aktualnie uruchomionych procesów

03 Volatility

Volatility to narzędzie do analizy pamięci, które pozwala na wydobycie cyfrowych artefaktów ze zrzutów pamięci lotnej (RAM). Używając Volatility można wydobyć informacje o uruchomionych procesach, otwartych gniazdach sieciowych i połączeniach sieciowych, DLL załadowanych dla każdego procesu, zbuforowanych ulach rejestru, identyfikatorach procesów i wiele więcej.

Jeśli używasz samodzielnej wersji programu Volatility w systemie Windows, umieść program volatility-2.x.standalone.exe w folderze i otwórz okno wiersza poleceń. W wierszu poleceń przejdź do lokalizacji pliku wykonywalnego i wpisz „volatility-2.x.standalone.exe -f <FILENAME> -profile=<PROFILENAME><PLUGINNAME>” bez cudzysłowów – FILENAME to nazwa pliku zrzutu pamięci, który chcemy przeanalizować, PROFILENAME będzie nazwą maszyny, na której został wykonany zrzut pamięci, a PLUGINNAME będzie nazwą wtyczki, której chcesz użyć do wyodrębnienia informacji.

Uwaga: W powyższym przykładzie używam wtyczki 'connscan' do przeszukiwania zrzutu pamięci fizycznej w poszukiwaniu informacji o połączeniu TCP.

Kluczowe cechy

• Obsługuje szeroką gamę formatów przykładowych plików.
• Działa w systemach Windows, Linux i Mac
• Zawiera szybkie i wydajne algorytmy do analizy zrzutów pamięci RAM z dużych systemów.
• Jego rozszerzalne i skryptowalne API otwiera nowe możliwości dla rozszerzeń i innowacji.

04 The Sleuth Kit (+Autopsja)

The Sleuth Kit jest otwartym zestawem narzędzi do cyfrowej kryminalistyki, który może być używany do przeprowadzania dogłębnej analizy różnych systemów plików. Autopsja jest zasadniczo GUI, który siedzi na szczycie Sleuth Kit. Posiada takie funkcje jak analiza osi czasu, filtrowanie haseł, analiza systemu plików i wyszukiwanie słów kluczowych, z możliwością dodania innych modułów dla rozszerzenia funkcjonalności.

Uwaga: Możesz użyć The Sleuth Kit, jeśli używasz Linuksa, a Autopsji, jeśli używasz Windowsa.

Gdy uruchamiasz Autopsję, możesz wybrać, czy stworzyć nową sprawę, czy załadować istniejącą. W przypadku wybrania opcji tworzenia nowej sprawy konieczne będzie załadowanie obrazu kryminalistycznego lub dysku lokalnego w celu rozpoczęcia analizy. Po zakończeniu procesu analizy użyj węzłów w lewym panelu, aby wybrać wyniki do wyświetlenia.

Kluczowe cechy

• Wyświetla zdarzenia systemowe za pomocą interfejsu graficznego.
• Oferuje analizy rejestru, plików LNK i poczty elektronicznej.
• Obsługuje większość popularnych formatów plików
• Wyciąga dane z SMS-ów, logów połączeń, kontaktów, Tango i Words with Friends, a następnie analizuje je.

05 FTK Imager

FTK Imager to narzędzie do podglądu i obrazowania danych, które pozwala na badanie plików i folderów na lokalnych dyskach twardych, dyskach sieciowych, płytach CD/DVD, a także przeglądanie zawartości obrazów kryminalistycznych lub zrzutów pamięci. Za pomocą FTK Imager można również tworzyć skorowidze plików SHA1 lub MD5, eksportować pliki i foldery z obrazów kryminalistycznych na dysk, przeglądać i odzyskiwać pliki usunięte z Kosza (pod warunkiem, że ich bloki danych nie zostały nadpisane) oraz montować obrazy kryminalistyczne w celu przeglądania ich zawartości w Eksploratorze Windows.

Uwaga: Istnieje przenośna wersja programu FTK Imager, która pozwala na uruchomienie go z dysku USB.

Po uruchomieniu FTK Imager, przejdź do 'Plik > Dodaj element dowodowy…' aby załadować element dowodowy do przeglądu. Aby utworzyć obraz kryminalistyczny, przejdź do 'File > Create Disk Image…' i wybierz źródło, które chcesz poddać obróbce kryminalistycznej.

Kluczowe cechy

• Posiada możliwość podglądu danych do podglądu plików/folderów, jak również zawartości w nich.
• Obsługuje montowanie obrazów
• Używa wielordzeniowych procesorów do równoległego wykonywania działań.
• Dostęp do współdzielonej bazy danych, więc pojedyncza centralna baza danych wystarcza dla pojedynczej sprawy.

06 Linux 'dd'

ddd jest domyślnie zainstalowany w większości dostępnych obecnie dystrybucji Linuksa (np. Ubuntu, Fedora). To narzędzie może być używane do różnych zadań kryminalistycznych, takich jak kryminalistyczne wymazywanie dysku (zerowanie dysku) i tworzenie surowego obrazu dysku.

Uwaga: dd jest bardzo potężnym narzędziem, które może mieć niszczące skutki, jeśli nie jest używane ostrożnie. Zalecane jest eksperymentowanie w bezpiecznym środowisku przed użyciem tego narzędzia w prawdziwym świecie.

Porada: Zmodyfikowana wersja dd jest dostępna na stronie http://sourceforge.net/projects/dc3dd/ – dc3dd zawiera dodatkowe funkcje, które zostały dodane specjalnie do zadań związanych z pozyskiwaniem danych cyfrowych na potrzeby kryminalistyki.

Aby użyć dd, po prostu otwórz okno terminala i wpisz dd, a następnie zestaw parametrów polecenia (które parametry polecenia będą oczywiście zależały od tego, co chcesz zrobić). Podstawowa składnia dd do wymazywania dysku to:

dd if=/dev/zero of=/dev/sdb1 bs=1024
gdzie if = plik wejściowy, of = plik wyjściowy, bs = rozmiar bajtu

Uwaga: Zastąp /dev/sdb1 nazwą dysku, który chcesz wymazać, a 1024 rozmiarem bloków bajtów, które chcesz wypisać.

Podstawowa składnia dd do tworzenia obrazu dysku to:

dd if=/dev/sdb1 of=/home/andrew/newimage.dd bs=512 conv=noerror,sync

gdzie if = plik wejściowy (lub w tym przypadku dysk), of = plik wyjściowy, bs = rozmiar bajtu, conv = opcje konwersji

Wskazówka: Aby uzyskać dodatkowe informacje o użyciu, w oknie terminala wpisz „man dd” bez cudzysłowów, aby wyświetlić podręcznik pomocy dla polecenia dd.

Kluczowe cechy

• Duplikuje dane w plikach, urządzeniach, partycjach i woluminach.
• Obsługuje tworzenie kopii zapasowych i przywracanie głównego rekordu startowego.
• Może łatwo modyfikować dane
• Musi być używany z ostrożnością, ponieważ może całkowicie wymazać dysk.

07 CAINE

CAINE (Computer Aided INvestigative Environment) jest linuksowym Live CD, który zawiera bogactwo cyfrowych narzędzi kryminalistycznych. Funkcje obejmują przyjazny dla użytkownika GUI, półautomatyczne tworzenie raportów oraz narzędzia dla Mobile Forensics, Network Forensics, Data Recovery i inne.

Po uruchomieniu systemu CAINE Linux można uruchomić narzędzia kryminalistyczne z interfejsu CAINE (skrót na pulpicie) lub ze skrótu do każdego narzędzia w folderze „Forensic Tools” na pasku menu aplikacji.

Kluczowe cechy

• Posiada przyjazny dla użytkownika interfejs, który łączy w sobie wiele narzędzi kryminalistycznych o otwartym kodzie źródłowym.
• Przestrzega procedury dochodzeniowej ustanowionej przez włoskie prawo.
• Jego środowisko jest zoptymalizowane do dogłębnej analizy kryminalistycznej
• Generuje raporty, które można łatwo edytować i eksportować.

08 ExifTool

ExifTool jest aplikacją wiersza poleceń używaną do odczytu, zapisu lub edycji informacji metadanych pliku. Jest szybki, wydajny i obsługuje wiele formatów plików (chociaż typy plików graficznych są jego specjalnością). ExifTool może być używany na przykład do analizowania statycznych właściwości podejrzanych plików w śledztwie kryminalistycznym opartym na hostach.

Aby użyć ExifTool, wystarczy przeciągnąć plik, z którego chcemy wyodrębnić metadane, na aplikację exiftool(-k).exe, a otworzy ona okno wiersza poleceń z wyświetlonymi informacjami. Alternatywnie, zmień nazwę exiftool(-k).exe na exiftool.exe i uruchom z wiersza poleceń.

Kluczowe cechy

• Obsługuje różne formaty plików, wyjście verbose i HTML-based hex dump.
• Kopiuje informacje meta-danych między plikami
• Automatycznie tworzy kopię zapasową oryginalnego obrazu
• Konwertuje dane wyjściowe w wielu językach.

09 Free Hex Editor Neo

Free Hex Editor Neo jest podstawowym edytorem hex, który został zaprojektowany do obsługi bardzo dużych plików. Podczas gdy wiele dodatkowych funkcji można znaleźć w komercyjnych wersjach Hex Editora Neo, ja uważam to narzędzie za przydatne do ładowania dużych plików (np. plików baz danych lub obrazów kryminalistycznych) i wykonywania czynności takich jak ręczne rzeźbienie danych, niskopoziomowa edycja plików, zbieranie informacji lub wyszukiwanie ukrytych danych.

Użyj 'Plik > Otwórz', aby załadować plik do Edytora Hex Neo. Dane pojawią się w środkowym oknie, w którym można rozpocząć ręczną nawigację po heksach lub nacisnąć CTRL + F, aby uruchomić wyszukiwanie.

Kluczowe cechy

• Ułatwia znajdowanie wzorców danych w dużych plikach
• Obsługuje przetwarzanie wielu rdzeni
• Obsługuje wyszukiwanie wyrażeń regularnych w plikach
• Umożliwia szybkie wprowadzanie poprawek do plików lub dostrajanie dowolnego aspektu interfejsu użytkownika.

10 Bulk Extractor

bulk_extractor jest narzędziem informatyki śledczej, które skanuje obraz dysku, plik lub katalog plików i wyodrębnia informacje, takie jak numery kart kredytowych, domeny, adresy e-mail, adresy URL i pliki ZIP. Wyodrębnione informacje są wyprowadzane do serii plików tekstowych (które mogą być przeglądane ręcznie lub analizowane za pomocą innych narzędzi lub skryptów kryminalistycznych).

Porada: W wyjściowych plikach tekstowych można znaleźć wpisy danych przypominających numer karty kredytowej, adres e-mail, nazwę domeny itp. W pierwszej kolumnie pliku tekstowego zobaczysz również wartość dziesiętną, która po konwersji do formatu heksadecymalnego może być użyta jako wskaźnik na dysku, gdzie dany wpis został znaleziony (np. jeśli analizowałbyś dysk ręcznie używając np. edytora heksadecymalnego, skoczyłbyś do tej wartości szesnastkowej aby zobaczyć dane).

Bulk_extractor jest dostępny jako narzędzie wiersza poleceń lub narzędzie GUI. W powyższym przykładzie ustawiłem narzędzie bulk extractor, aby wyodrębniło informacje z obrazu kryminalistycznego, który zrobiłem wcześniej i wysłało wyniki do folderu o nazwie „BE_Output”. Wyniki mogą być następnie przeglądane w programie Bulk Extractor Viewer oraz w wyjściowych plikach tekstowych wspomnianych powyżej.

Kluczowe cechy

• Przetwarza różne części dysku równolegle.
• Automatycznie wykrywa, dekompresuje i przetwarza skompresowane dane.
• Wyodrębnia krytyczne informacje, takie jak szczegóły kart kredytowych i adresy e-mail z danych cyfrowych
• Może być używany do przetwarzania informacji na większości nośników cyfrowych.

11 DEFT

DEFT jest kolejnym Linux Live CD, który łączy niektóre z najbardziej popularnych darmowych i otwartych narzędzi informatyki śledczej. Ma on na celu pomoc w reagowaniu na incydenty, Cyber Intelligence i scenariuszach informatyki śledczej. Między innymi, zawiera narzędzia do mobilnej kryminalistyki, kryminalistyki sieciowej, odzyskiwania danych i haszowania.

Podczas uruchamiania systemu DEFT, zostaniesz zapytany, czy chcesz załadować środowisko rzeczywiste, czy zainstalować DEFT na dysku. Jeśli załadujesz środowisko rzeczywiste, możesz użyć skrótów na pasku menu aplikacji, aby uruchomić wymagane narzędzia.

Kluczowe cechy

• Zawiera menedżera plików, który jest dostarczany ze statusem montowania dysku.
• Oferuje pełne wsparcie dla Androida i iOS.
• Zawiera kilka aplikacji Windows o otwartym i zamkniętym kodzie źródłowym, które obecnie nie mają alternatywy w świecie Uniksa.
• Sprawdzenie integralności jest przeprowadzane przed uruchomieniem jakiegokolwiek programu w trybie bezpiecznym.

12 Xplico

Xplico jest narzędziem typu NFAT (Network Forensic Analysis Tool) o otwartym kodzie źródłowym, które ma na celu wyodrębnienie danych aplikacji z ruchu internetowego (np. Xplico może wyodrębnić wiadomość e-mail z ruchu POP, IMAP lub SMTP). HTTP, SIP, IMAP, TCP, UDP), reasemblację TCP oraz możliwość wyprowadzania danych m.in. do bazy danych MySQL lub SQLite.

Po zainstalowaniu Xplico przejdź do interfejsu WWW, przechodząc na stronę http://<IPADDRESS>:9876 i logując się na zwykłe konto użytkownika. Pierwszą rzeczą, którą musisz zrobić, jest utworzenie sprawy i dodanie nowej sesji. Kiedy tworzysz nową sesję, możesz załadować plik PCAP (uzyskany np. z Wiresharka) lub rozpocząć przechwytywanie na żywo. Gdy sesja zakończy się dekodowaniem, użyj menu nawigacyjnego po lewej stronie, aby wyświetlić wyniki.

Kluczowe cechy

• Zawiera trzy moduły – moduł wejściowy do wprowadzania danych, moduł wyjściowy do dekodowania danych i prezentowania ich użytkownikowi końcowemu oraz moduły dekodujące do dekodowania poszczególnych protokołów sieciowych.
• Obsługuje różne interfejsy użytkownika
• Wszystkie moduły mogą być ładowane lub rozładowywane poprzez plik konfiguracyjny.
• Może dekodować połączenia VoIP.

13 LastActivityView

Prótko wspomniałem o LastActivityView, wskazując na pakiet narzędzi NirSoft w moim artykule Top 10 Free System Troubleshooting Tools for SysAdmins. LastActivityView pozwala zobaczyć, jakie działania zostały podjęte przez użytkownika i jakie zdarzenia wystąpiły na komputerze. Wszelkie działania, takie jak uruchomienie pliku wykonywalnego, otwarcie pliku/folderu z poziomu Eksploratora, awaria aplikacji lub systemu, czy też wykonanie przez użytkownika instalacji oprogramowania, będą rejestrowane. Informacje mogą być wyeksportowane do pliku CSV / XML / HTML. To narzędzie jest przydatne, gdy trzeba udowodnić, że użytkownik (lub konto) wykonał czynność, o której mówił, że jej nie wykonał.

Po uruchomieniu LastActivityView natychmiast zacznie wyświetlać listę czynności wykonanych na maszynie, na której jest uruchomiony. Sortuj według czasu działania lub użyj przycisku wyszukiwania, aby zacząć badać, jakie działania zostały podjęte na komputerze.

Kluczowe cechy

• Zapisuje wiele działań użytkownika, takich jak otwieranie i zamykanie plików, instalowanie oprogramowania i inne.
• Zbiera informacje z dziennika zdarzeń i innych źródeł.
• Nie musisz go instalować ani uruchamiać jako proces w tle przez cały czas. Po uruchomieniu go raz, stworzy dla Ciebie oś czasu zdarzeń.
• Uruchamia się tylko na Windows 200 i nowszych wersjach.

14 DSi USB Write Blocker

DSi USB Write Blocker to programowa blokada zapisu, która zapobiega zapisowi na urządzeniach USB. Jest to ważne w śledztwie, aby zapobiec modyfikowaniu metadanych lub znaczników czasu i unieważnianiu dowodów.

Po uruchomieniu aplikacji DSi USB Write Blocker pojawia się okno umożliwiające włączenie lub wyłączenie blokady zapisu USB. Po wprowadzeniu zmian i zamknięciu aplikacji można obserwować jej stan za pomocą ikony kłódki na pasku zadań. Podczas przeprowadzania analizy dysku USB należy najpierw włączyć funkcję USB Write Blocker, a następnie podłączyć dysk USB.

Jeśli szukasz alternatywy w postaci wiersza poleceń, sprawdź „USB Write Blocker for ALL Windows”. Narzędzie to działa poprzez aktualizację wpisu w rejestrze, aby zapobiec zapisywaniu na dyskach USB. Aby uruchomić narzędzie, po prostu wykonaj plik wsadowy i wybierz opcję 1, aby przełączyć porty USB w tryb tylko do odczytu.

Kluczowe cechy

• Konwertuje pamięć USB w tryb do odczytu, aby zapobiec usuwaniu/modyfikacji danych.
• Uruchamia się głównie w systemie Windows, chociaż można dokonać pewnych zmian, aby uruchomić go na najnowszej wersji iOS.
• Daje możliwość zobaczenia statusu tej aplikacji na pasku zadań.

15 FireEye RedLine

RedLine oferuje możliwość przeprowadzenia analizy pamięci i plików określonego hosta. Zbiera on informacje o uruchomionych procesach i sterownikach z pamięci, a także gromadzi metadane systemu plików, dane rejestru, dzienniki zdarzeń, informacje o sieci, usługach, zadaniach i historii Internetu, aby pomóc w zbudowaniu ogólnego profilu oceny zagrożenia.

Po uruchomieniu RedLine, będziesz miał możliwość wyboru opcji Zbieraj dane lub Analizuj dane. Jeśli nie masz już pliku zrzutu pamięci, będziesz musiał utworzyć kolektor, który będzie zbierał dane z maszyny i pozwolić, by proces ten został zakończony. Gdy masz już plik zrzutu pamięci, możesz rozpocząć analizę.

Kluczowe cechy

• Pomaga zidentyfikować, kiedy skompromitowany plik został wprowadzony i jak utrzymuje się w systemie/sieci.
• Użyj wskaźników białej listy, aby odfiltrować znane dane.
• Zbiera informacje z uruchomionych procesów, plików, obrazów i danych rejestru.

16 PlainSight

PlainSight to Live CD oparty na Knoppixie (dystrybucja Linuksa), który pozwala na wykonywanie zadań z zakresu cyfrowego kryminalistyki, takich jak przeglądanie historii Internetu, rzeźbienie danych, zbieranie informacji o wykorzystaniu urządzeń USB, badanie zrzutów pamięci fizycznej, wyodrębnianie haseł i wiele innych.

Po uruchomieniu programu PlainSight, pojawia się okno z prośbą o wybranie, czy chcesz wykonać skanowanie, załadować plik lub uruchomić kreatora. Wprowadź wybór, aby rozpocząć proces ekstrakcji i analizy danych.

Kluczowe cechy

• Odzyskiwanie wielu typów plików, takich jak jpg, png, pdf, mov, wav, zip, rar, exe, i więcej.
• Używa pająka do skanowania systemów, które zawierają poufne dane.
• Zapisuje wyniki w formacie HTML lub zwykłego tekstu.
• Uruchamia się z płyty CD lub USB.

17 HxD

HxD jest jednym z moich osobistych faworytów. Jest to przyjazny dla użytkownika edytor hex, który pozwala na wykonywanie niskopoziomowej edycji i modyfikacji surowego dysku lub pamięci głównej (RAM). HxD został zaprojektowany z myślą o łatwości użycia i wydajności i bez problemu radzi sobie z dużymi plikami. Funkcje obejmują wyszukiwanie i zastępowanie, eksport, sumy kontrolne/digesty, wbudowaną niszczarkę plików, konkatenację lub dzielenie plików, generowanie statystyk i wiele innych.

Z interfejsu HxD rozpocznij analizę otwierając plik z 'File > Open', załadowanie dysku z 'Extras > Open disk…' lub załadowanie procesu RAM z 'Extras > Open RAM…'

18 HELIX3 Free

HELIX3 jest Live CD opartym na Linuksie, który został stworzony do użycia w scenariuszach Incident Response, Computer Forensics i E-Discovery. Zawiera mnóstwo narzędzi open source, począwszy od edytorów hex, poprzez oprogramowanie do rzeźbienia danych, aż po narzędzia do łamania haseł i wiele więcej.

Uwaga: Wersja HELIX3, której potrzebujesz to 2009R1. Ta wersja była ostatnią darmową wersją dostępną zanim HELIX został przejęty przez komercyjnego dostawcę. HELIX3 2009R1 jest nadal aktualny i stanowi użyteczny dodatek do zestawu narzędzi cyfrowego kryminalistyki.

Podczas uruchamiania systemu HELIX3 zostaniesz zapytany, czy chcesz załadować środowisko GUI, czy zainstalować HELIX3 na dysku. Jeśli zdecydujesz się załadować środowisko GUI bezpośrednio (zalecane), pojawi się ekran oparty na Linuksie, dając ci możliwość uruchomienia graficznej wersji dołączonych narzędzi.

Kluczowe cechy

• Fałdy danych są używane do oznaczania różnych sekcji pamięci.
• Dostarczany jest z edytorem RAM.
• Eksportuje dane do wielu formatów
• Ułatwia dzielenie lub konkatenację plików.

19 Paladin Forensic Suite

Paladin Forensic Suite to Live CD oparty na Ubuntu, który jest wypełniony bogactwem narzędzi kryminalistycznych open source. Ponad 80 narzędzi znajdujących się na tym Live CD jest zorganizowanych w ponad 25 kategoriach, w tym narzędzia do obrazowania, analizy złośliwego oprogramowania, analizy mediów społecznościowych, narzędzia do haszowania itp.

Po uruchomieniu Paladin Forensic Suite, przejdź do App Menu lub kliknij jedną z ikon na pasku zadań, aby rozpocząć.

Uwaga: Poręczna instrukcja szybkiego startu dla Paladin Forensic Suite jest dostępna do obejrzenia lub pobrania ze strony internetowej Paladin, jak również na pasku zadań w samym Paladin.

Kluczowe cechy

• Zapewnia pełną widoczność w sieci.
• Pobiera dane tymczasowe, takie jak historia Internetu i pamięć i przechowuje je w napędzie USB.
• Dobrze działa na Mac, Windows i Linux.
• Wspiera wiele aplikacji kryminalistycznych open-source.

20 USB Historian

USB Historian przetwarza informacje o USB, głównie z rejestru Windows, aby uzyskać listę wszystkich napędów USB, które były podłączone do maszyny. Wyświetla informacje takie jak nazwa napędu USB, numer seryjny, kiedy został zamontowany i przez jakie konto użytkownika. Informacje te mogą być bardzo przydatne podczas dochodzenia, w którym trzeba ustalić, czy dane zostały skradzione, przeniesione lub udostępnione.

Po uruchomieniu USB Historian, kliknij ikonę „+” w górnym menu, aby uruchomić kreatora parsowania danych. Wybierz metodę, z której chcesz sparsować dane (Drive Letter, Windows and Users Folder lub Individual Hives/Files), a następnie wybierz odpowiednie dane do sparsowania. Po zakończeniu zobaczysz informacje podobne do tych pokazanych na powyższym obrazku.

Kluczowe cechy

• Idealne dla tych, którzy mają do czynienia z danymi i kradzieżą tożsamości.
• Parsuje nazwę komputera, aby zlokalizować urządzenia USB
• Oferuje analizę prowadzoną przez kreatora.

Tak więc, są to jedne z najlepszych darmowych narzędzi, których możesz użyć do kryminalistyki. Mamy nadzieję, że podobało Ci się czytanie tej listy i daj nam znać o swoim ulubionym w sekcji komentarzy!