Цифровата криминалистика е процес на съхранение, идентификация, извличане и документиране на компютърни доказателства, който може да се използва от съда. Има много инструменти, които ви помагат да направите този процес лесен и лесен. Тези приложения предоставят пълни доклади, които могат да се използват за правни процедури.
Следва подбран списък с цифрови съдебни инструменти с техните популярни функции и връзки към уебсайтове. Списъкът съдържа както софтуер с отворен код (безплатен), така и търговски (платен).
1) ProDiscover Forensic
ProDiscover Forensic е приложение за компютърна сигурност, което ви позволява да намерите всички данни на компютърния диск. Той може да защити доказателства и да създаде доклади за качеството за използване на правните процедури. Този инструмент ви позволява да извличате EXIF (Exchangeable Image File Format) информация от JPEG.webp файлове.
Характеристики :
- Този продукт поддържа файлови системи Windows, Mac и Linux.
- Можете бързо да преглеждате и търсите подозрителни файлове.
- Създава копие на целия предполагаем диск, за да запази оригиналните доказателства в безопасност.
- Този инструмент ви помага да видите историята на интернет.
- Можете да импортирате или експортирате изображения в .dd формат.
- Позволява ви да добавяте коментари към доказателства за вашия интерес.
- ProDiscover Forensic поддържа VMware за стартиране на заснето изображение.
Връзка : https://www.prodiscover.com
2) Sleuth Kit (+ аутопсия)
Sleuth Kit (+ аутопсия) е помощна програма, базирана на Windows, която улеснява криминалистичния анализ на компютърни системи. Този инструмент ви позволява да разгледате вашия твърд диск и смартфон.
Характеристики :
- Можете да идентифицирате активността, като използвате графичен интерфейс ефективно.
- Това приложение осигурява анализ на имейли.
- Можете да групирате файлове по техния тип, за да намерите всички документи или изображения.
- Той показва миниатюра на изображения за бърз преглед на снимки.
- Можете да маркирате файлове с произволни имена на маркери.
- Комплектът Sleuth ви позволява да извличате данни от регистрите на повикванията, SMS, контактите и т.н.
- Помага ви да маркирате файлове и папки въз основа на пътя и името.
Връзка : https://www.sleuthkit.org
3) КАИН
CAINE е приложение, базирано на Ubuntu, което предлага пълна криминалистична среда, която предоставя графичен интерфейс. Този инструмент може да бъде интегриран в съществуващите софтуерни инструменти като модул. Той автоматично извлича времева линия от RAM.
Характеристики :
- Той поддържа цифровия изследовател по време на четирите фази на цифровото разследване.
- Той предлага удобен за потребителя интерфейс.
- Можете да персонализирате функциите на CAINE.
- Този софтуер предлага много удобни за потребителя инструменти.
Връзка : https://www.caine-live.net
4) ПАЛАДИН
PALADIN е инструмент, базиран на Ubuntu, който ви позволява да опростите редица криминалистични задачи. Той предоставя над 100 полезни инструмента за разследване на всякакви злонамерени материали. Този инструмент ви помага да опростите вашата съдебна задача бързо и ефективно.
Характеристики :
- Той предоставя както 64-битова, така и 32-битова версия.
- Този инструмент е наличен на USB устройство за палеца.
- Тази кутия с инструменти разполага с инструменти с отворен код, които ви помагат да търсите необходимата информация без усилие.
- Този инструмент има повече от 33 категории, които ви помагат при изпълнението на кибер съдебна задача.
Връзка : https://sumuri.com/software/paladin/
5) EnCase
Encase е приложение, което ви помага да възстановите доказателства от твърди дискове. Тя ви позволява да извършите задълбочен анализ на файлове, за да събирате доказателства като документи, снимки и т.н.
Характеристики :
- Можете да получавате данни от множество устройства, включително мобилни телефони, таблети и др.
- Тя ви позволява да изготвяте пълни доклади за поддържане на целостта на доказателствата.
- Можете бързо да търсите, идентифицирате, както и да приоритизирате доказателствата.
- Encase-forensic ви помага да отключите криптирани доказателства.
- Той автоматизира изготвянето на доказателства.
- Можете да извършите анализ на дълбочина и триаж (тежест и приоритет на дефектите).
Връзка : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT е компютърна криминалистична дистрибуция, базирана на Ubuntu. Той осигурява цифрово съдебно-медицинско съоръжение и съоръжение за разследване на инциденти.
Характеристики :
- Може да работи на 64-битова операционна система.
- Този инструмент помага на потребителите да използват паметта по-добре.
- Той автоматично актуализира пакета DFIR (Digital Forensics and Incident Response).
- Можете да го инсталирате чрез инсталатора на SIFT-CLI (интерфейс за команден ред).
- Този инструмент съдържа множество най-нови съдебни инструменти и техники.
Връзка : https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
FTK Imager е съдебен инструментариум, разработен от AccessData, който може да се използва за получаване на доказателства. Той може да създава копия на данни, без да прави промени в оригиналните доказателства. Този инструмент ви позволява да посочите критерии, като размер на файла, размер на пикселите и тип данни, за да намалите количеството на неподходящите данни.
Характеристики :
- Той осигурява подход, задвижван от съветника за откриване на киберпрестъпления.
- Тази програма предлага по-добра визуализация на данни с помощта на диаграма.
- Можете да възстановите пароли от повече от 100 приложения.
- Разполага с усъвършенствано и автоматизирано съоръжение за анализ на данни.
- FTK Imager ви помага да управлявате многократно използваеми профили за различни изисквания за разследване.
- Той поддържа усъвършенстване преди и след обработката.
Връзка : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Улавяне на RAM с магнит
Magnet RAM записва паметта на заподозрян компютър. Тя позволява на следователите да възстановяват и анализират ценни предмети, които се намират в паметта.
Характеристики :
- Можете да стартирате това приложение, като същевременно сведете до минимум презаписаните данни в паметта.
- Тя ви позволява да експортирате заснетите данни от паметта и да ги качите в инструменти за анализ като магнит AXIOM и магнит IEF.
- Това приложение поддържа широка гама от операционни системи Windows.
- Улавянето на RAM с магнит поддържа придобиване на RAM.
Връзка : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways е софтуер, който осигурява работна среда за компютърни съдебни експерти. Тази програма поддържа клониране на дискове и изображения. Тя ви позволява да си сътрудничите с други хора, които имат този инструмент.
Характеристики :
- Той има способността да чете разделянето и структурите на файловата система вътре в .dd файлове с изображения.
- Можете да получите достъп до дискове, RAID (излишен масив от независим диск) и др.
- Той автоматично идентифицира загубени или изтрити дялове.
- Този инструмент може лесно да открива NTFS (Нова технологична файлова система) и ADS (Алтернативни потоци от данни).
- X-Ways Forensics поддържа отметки или пояснения.
- Той има способността да анализира отдалечени компютри.
- Можете да преглеждате и редактирате двоични данни с помощта на шаблони.
- Той осигурява защита от запис при поддържане на автентичността на данните.
Връзка : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark е инструмент, който анализира мрежов пакет. Може да се използва за тестване на мрежата и отстраняване на неизправности. Този инструмент ви помага да проверявате различен трафик, преминаващ през вашата компютърна система.
Характеристики :
- Той осигурява богат VoIP (Voice over Internet Protocol) анализ.
- Файловете за улавяне, компресирани с gzip, могат лесно да бъдат декомпресирани.
- Изходът може да бъде експортиран в XML (разширяем език за маркиране), CSV (разделени със запетая стойности) файл или обикновен текст.
- Данните на живо могат да бъдат прочетени от мрежата, синьо зъб, банкомат, USB и др.
- Поддръжка за дешифриране на множество протоколи, които включват IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) и WEP (Wired Equivalent Privacy).
- Можете да приложите интуитивен анализ, правила за оцветяване към пакета.
- Позволява ви да четете или пишете файл във всякакъв формат.
Връзка : https://www.wireshark.org
11) Recon Recon
Registry Recon е инструмент за компютърна криминалистика, използван за извличане, възстановяване и анализ на данни от системния регистър от ОС Windows. Тази програма може да се използва за ефективно определяне на външни устройства, които са били свързани към всеки компютър.
Характеристика:
- Той поддържа Windows XP, Vista, 7, 8, 10 и други операционни системи.
- Този инструмент автоматично възстановява ценни NTFS данни.
- Можете да го интегрирате с помощния инструмент на Microsoft Disk Manager.
- Бързо монтирайте всички VSC (Volume Shadow Copies) VSCs на диск.
- Тази програма възстановява активната база данни на системния регистър.
Връзка : https://arsenalrecon.com/products/
12) Рамка за променливост
Volatility Framework е софтуер за анализ на паметта и криминалистика. Той ви помага да тествате състоянието на изпълнение на системата, като използвате данните, намерени в RAM. Това приложение ви позволява да си сътрудничите със съотборниците си.
Характеристики :
- Той има API, който ви позволява бързо да търсите PTE (Вписване в таблицата на страниците).
- Volatility Framework поддържа KASLR (рандомизация на оформлението на адресното пространство на ядрото).
- Този инструмент предоставя многобройни приставки за проверка на работата на Mac файлове.
- Той автоматично изпълнява команда Failure, когато услугата не успее да се стартира няколко пъти.
Връзка : https://www.volatilityfoundation.org
13) Xplico
Xplico е приложение за съдебен анализ с отворен код. Той поддържа HTTP (Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol) и др.
Характеристики :
- Можете да получите изходните си данни в базата данни SQLite или MySQL база данни.
- Този инструмент ви дава сътрудничество в реално време.
- Няма ограничение за размера на въвеждането на данни или броя на файловете.
- Можете лесно да създадете всякакъв вид диспечер, за да организирате извлечените данни по полезен начин.
- Той поддържа както IPv4, така и IPv6.
- Можете да извършите резервно DNS търсене от DNS пакети с входни файлове.
- Xplico предоставя PIPI (Port Independent Protocol Identification) функция за поддръжка на цифрова криминалистика.
Връзка : https://www.xplico.org
14) e-fense
E-fense е инструмент, който ви помага да отговорите на компютърната криминалистика и нуждите на киберсигурността. Тя ви позволява да откривате файлове от всяко устройство в един лесен за използване интерфейс.
Характеристики :
- Той осигурява защита от злонамерено поведение, хакерство и нарушения на правилата.
- Можете да придобиете интернет история, памет и заснемане на екрана от система на USB устройство за палеца.
- Този инструмент има лесен за използване интерфейс, който ви позволява да постигнете целта си за разследване.
- E-fense поддържа многопоточност, което означава, че можете да изпълнявате повече от една нишка едновременно.
Връзка : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike е цифров криминалистичен софтуер, който осигурява разузнаване на заплахите, защита на крайните точки и др. Той може бързо да открива и възстановява инциденти с киберсигурност. Можете да използвате този инструмент за намиране и блокиране на нападатели в реално време.
Характеристики :
- Този инструмент ви помага да управлявате системните уязвимости.
- Той може автоматично да анализира зловреден софтуер.
- Можете да защитите вашия виртуален, физически и облачен център за данни.
Връзка : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/