19 популярных инструментов компьютерного анализа
Компьютеры являются жизненно важным источником судебно-медицинских доказательств растущего числа преступлений. Хотя в последние годы киберпреступность неуклонно растет, даже традиционные преступники используют компьютеры как часть своей деятельности. Возможность надежного извлечения криминалистической информации из этих машин может иметь жизненно важное значение для поимки и судебного преследования этих преступников. Подробнее про компьютерную экспертизу можно узнать по ссылке.
Инструменты компьютерной криминалистики предназначены для обеспечения точности и надежности информации, извлекаемой с компьютеров. Из-за большого разнообразия различных типов компьютерных доказательств существует ряд различных типов инструментов компьютерной криминалистики, в том числе:
- Инструменты для сбора данных и дисков
- Просмотрщики файлов
- Инструменты анализа файлов
- Инструменты анализа реестра
- Инструменты интернет-анализа
- Инструменты анализа электронной почты
- Инструменты анализа мобильных устройств
- Инструменты сетевой криминалистики
- Инструменты криминалистической экспертизы баз данных
В каждой категории существует ряд различных инструментов. В этом списке перечислены некоторые из наиболее часто используемых инструментов компьютерной криминалистики.
Инструменты для сбора данных и дисков
Инструменты судебной экспертизы дисков и сбора данных сосредоточены на анализе системы и извлечении потенциальных криминалистических артефактов, таких как файлы, электронные письма и т. д. Это основная часть процесса компьютерной криминалистики и является основным направлением многих инструментов судебной экспертизы.
1. Autopsy/The Sleuth Kit
Autopsy/The Sleuth Kit, вероятно, являются наиболее известными и популярными инструментами криминалистической экспертизы. Эти инструменты предназначены для анализа образов дисков, выполнения углубленного анализа файловых систем и включают множество других функций. В результате они включают в себя функции многих категорий инструментов судебной экспертизы, упомянутых выше, и являются хорошей отправной точкой для компьютерного криминалистического расследования.
2. X-Ways Forensics
X-Ways Forensics – это коммерческая платформа цифровой криминалистики для Windows. Компания также предлагает более урезанную версию платформы под названием X-Ways Investigator.
Основным преимуществом платформы является то, что она спроектирована так, чтобы быть ресурсоэффективной и способной работать с USB-накопителем. Несмотря на это, она может похвастаться впечатляющим набором функций.
3. AccessData FTK
AccessData Forensics Toolkit (FTK) – это коммерческая платформа для цифровой криминалистики, которая хвастается своей скоростью анализа. Он утверждает, что является единственной платформой для криминалистической экспертизы, которая полностью использует многоядерные компьютеры. Кроме того, FTK выполняет предварительную индексацию, ускоряя последующий анализ собранных криминалистических артефактов.
4. EnCase
EnCase – это коммерческая платформа для криминалистической экспертизы. Она предлагает поддержку сбора доказательств с более чем двадцати пяти различных типов устройств, включая настольные компьютеры, мобильные устройства и GPS. В этом инструменте судебно-медицинский эксперт может проверять собранные данные и создавать широкий спектр отчетов на основе заранее определенных шаблонов.
5. Mandiant RedLine
Mandiant RedLine – популярный инструмент для анализа памяти и файлов. Он собирает информацию о запущенных процессах на хосте, драйверах из памяти и собирает другие данные, такие как метаданные, данные реестра, задачи, службы, сетевую информацию и историю Интернета, для создания надлежащего отчета.
6. Paraben Suite
Paraben Corporation предлагает ряд инструментов криминалистической экспертизы с различными вариантами лицензирования. Paraben имеет возможности:
- Настольная криминалистика
- Электронная экспертиза
- Анализ смартфона
- Облачный анализ
- Криминалистика Интернета вещей
- Сортировка и визуализация
7. Bulk Extractor
Bulk Extractor также является важным и популярным инструментом цифровой криминалистики. Он сканирует образы дисков, файл или каталог файлов для извлечения полезной информации. В этом процессе он игнорирует структуру файловой системы, поэтому работает быстрее, чем другие доступные аналогичные инструменты. Он в основном используется спецслужбами и правоохранительными органами при раскрытии киберпреступлений.
8. Registry Recon
Registry Recon – популярный коммерческий инструмент анализа реестра. Он извлекает информацию реестра из свидетельств, а затем восстанавливает представление реестра. Он может восстанавливать реестры как из текущей, так и из предыдущих установок Windows.
Криминалистика памяти
Анализ файловой системы упускает из виду энергозависимую память системы (то есть RAM). Некоторые инструменты криминалистической экспертизы сосредоточены на сборе информации, хранящейся здесь.
9. Volatility
Volatility – это основа судебной экспертизы памяти. Она используется для реагирования на инциденты и анализа вредоносных программ. С помощью этого инструмента вы можете извлекать информацию из запущенных процессов, сетевых сокетов, сетевых подключений, библиотек DLL и кустов реестра. Он также поддерживает извлечение информации из файлов аварийного дампа Windows и файлов гибернации. Этот инструмент доступен бесплатно по лицензии GPL.
10. WindowsSCOPE
WindowsSCOPE – это коммерческий инструмент судебной экспертизы памяти и обратного проектирования, используемый для анализа энергозависимой памяти. Он в основном используется для обратного проектирования вредоносных программ. Он предоставляет возможность анализировать ядро Windows, драйверы, библиотеки DLL, а также виртуальную и физическую память.
11. Wireshark
Wireshark – это наиболее широко используемый инструмент анализа сетевого трафика. Он имеет возможность захватывать живой трафик или принимать сохраненный файл захвата. Многочисленные анализаторы протоколов и удобный интерфейс Wireshark позволяют легко проверять содержимое перехвата трафика и искать в нем свидетельства судебной экспертизы.
12. Network Miner
Network Miner – это инструмент анализа сетевого трафика с бесплатными и коммерческими вариантами. Хотя многие из премиальных функций доступны в Wireshark бесплатно, бесплатная версия может быть полезным инструментом для судебных расследований. Он организует информацию иначе, чем Wireshark, и автоматически извлекает определенные типы файлов из перехвата трафика.
13. Xplico
Xplico – это инструмент для криминалистического анализа сети с открытым исходным кодом. Он используется для извлечения полезных данных из приложений, использующих Интернет и сетевые протоколы. Он поддерживает большинство популярных протоколов, включая HTTP, IMAP, POP, SMTP, SIP, TCP, UDP, TCP и другие. Выходные данные инструмента хранятся в базе данных SQLite или MySQL. Он также поддерживает как IPv4, так и IPv6.
Криминалистика мобильных устройств
Мобильные устройства становятся основным способом выхода в Интернет многих людей. Некоторые инструменты мобильной криминалистики уделяют особое внимание анализу мобильных устройств.
14. Oxygen Forensic Detective
Oxygen Forensic Detective ориентирован на мобильные устройства, но способен извлекать данные с различных платформ, включая мобильные устройства, Интернет вещей, облачные сервисы, дроны, медиа-карты, резервные копии и настольные платформы. Он использует физические методы для обхода безопасности устройства (например, блокировки экрана) и собирает данные аутентификации для ряда различных мобильных приложений. Oxygen – это коммерческий продукт, распространяемый в виде USB-ключа.
15. Cellebrite UFED
Cellebrite предлагает ряд коммерческих инструментов цифровой криминалистики, но ее Cellebrite UFED претендует на звание отраслевого стандарта для доступа к цифровым данным. Основное предложение UFED ориентировано на мобильные устройства, но общая линейка продуктов UFED нацелена на целый ряд устройств, включая дроны, SIM- и SD-карты, GPS, облако и многое другое. Платформа UFED утверждает, что использует эксклюзивные методы для максимального извлечения данных с мобильных устройств.
16. XRY
XRY – это набор различных коммерческих инструментов для криминалистики мобильных устройств. XRY Logical – это набор инструментов, предназначенных для взаимодействия с операционной системой мобильного устройства и извлечения требуемых данных. XRY Physical, с другой стороны, использует методы физического восстановления для обхода операционной системы, что позволяет анализировать заблокированные устройства.
Дистрибутивы Linux
Многие из описанных здесь инструментов бесплатны и имеют открытый исходный код. Было создано несколько дистрибутивов Linux, которые объединяют эти бесплатные инструменты, чтобы обеспечить универсальный набор инструментов для криминалистов.
17. CAINE
CAINE (Computer Aided Investigative Environment) – это дистрибутив Linux, созданный для цифровой криминалистики. Он предлагает среду для интеграции существующих программных инструментов в виде программных модулей в удобной для пользователя форме. Этот инструмент с открытым исходным кодом.
18. SANS SIFT
SIFT – еще одна виртуальная машина Linux с открытым исходным кодом, которая объединяет бесплатные инструменты цифровой криминалистики. Эта платформа была разработана Институтом SANS, и ее использование преподается на ряде их курсов.
19. HELIX3
HELIX3 – это пакет цифровой криминалистической экспертизы на основе live CD, созданный для использования при реагировании на инциденты. Он поставляется с множеством инструментов цифровой криминалистики с открытым исходным кодом, включая шестнадцатеричные редакторы, инструменты для вырезания данных и взлома паролей. Если вам нужна бесплатная версия, вы можете выбрать Helix3 2009R1. После этого выпуска этот проект был передан коммерческому поставщику. Итак, вам нужно заплатить за самую последнюю версию инструмента.
Этот инструмент может собирать данные из физической памяти, сетевых подключений, учетных записей пользователей, выполняемых процессов и служб, запланированных заданий, реестра Windows, журналов чата, снимков экрана, файлов SAM, приложений, драйверов, переменных среды и истории Интернета. Затем он анализирует и просматривает данные для создания скомпилированных результатов на основе отчетов.