Digitaalinen rikostekninen tutkimus on tietokonetodisteiden säilyttämis-, tunnistamis-, poiminta- ja dokumentointiprosessi, jota tuomioistuin voi käyttää. On monia työkaluja, jotka auttavat sinua tekemään prosessista yksinkertaisen ja helpon. Nämä sovellukset tarjoavat täydelliset raportit, joita voidaan käyttää oikeudellisissa menettelyissä.
Seuraavassa on valitsemasi luettelo digitaalisista rikosteknisistä työkalupaketeista, niiden suosituilla ominaisuuksilla ja verkkosivustolinkeillä. Luettelo sisältää sekä avoimen lähdekoodin (ilmainen) että kaupallisen (maksettu) ohjelmiston.
1) ProDiscover rikostekninen
ProDiscover Forensic on tietoturvasovellus, jonka avulla voit etsiä kaikki tiedot tietokoneen levyltä. Se voi suojata todisteita ja laatia laaturaportteja oikeudellisten menettelyjen käyttöä varten. Tämän työkalun avulla voit purkaa EXIF (Exchangeable Image File Format) -tiedot JPEG.webp-tiedostoista.
Ominaisuudet :
- Tämä tuote tukee Windows-, Mac- ja Linux-tiedostojärjestelmiä.
- Voit esikatsella ja etsiä epäilyttäviä tiedostoja nopeasti.
- Se luo kopion koko epäillystä levystä pitääkseen alkuperäiset todisteet turvassa.
- Tämän työkalun avulla voit tarkastella Internet-historiaa.
- Voit tuoda tai viedä .dd-muotoisia kuvia.
- Sen avulla voit lisätä kommentteja kiinnostuksen kohteisiin.
- ProDiscover Forensic tukee VMwarea kaapatun kuvan ajamiseksi.
Linkki : https://www.prodiscover.com
2) Sleuth Kit (+ ruumiinavaus)
Sleuth Kit (+ ruumiinavaus) on Windows-pohjainen apuohjelma, joka tekee tietokonejärjestelmien rikosteknisen analyysin helpommaksi. Tämän työkalun avulla voit tutkia kiintolevyä ja älypuhelinta.
Ominaisuudet :
- Voit tunnistaa toiminnan graafisen käyttöliittymän avulla.
- Tämä sovellus tarjoaa analyysin sähköposteille.
- Voit ryhmitellä tiedostot tyypin mukaan löytääksesi kaikki asiakirjat tai kuvat.
- Se näyttää kuvien pikkukuvan kuvien nopeaa katselua varten.
- Voit merkitä tiedostot mielivaltaisilla tagien nimillä.
- Sleuth-paketin avulla voit poimia tietoja puhelulokeista, tekstiviesteistä, yhteystiedoista jne.
- Sen avulla voit merkitä tiedostot ja kansiot polun ja nimen perusteella.
Linkki : https://www.sleuthkit.org
3) CAINE
CAINE on Ubuntu-pohjainen sovellus, joka tarjoaa täydellisen rikosteknisen ympäristön, joka tarjoaa graafisen käyttöliittymän. Tämä työkalu voidaan integroida olemassa oleviin ohjelmistotyökaluihin moduulina. Se poimii aikajanan automaattisesti RAM-muistista.
Ominaisuudet :
- Se tukee digitaalista tutkijaa digitaalisen tutkinnan neljässä vaiheessa.
- Se tarjoaa käyttäjäystävällisen käyttöliittymän.
- Voit mukauttaa CAINEn ominaisuuksia.
- Tämä ohjelmisto tarjoaa lukuisia käyttäjäystävällisiä työkaluja.
Linkki : https://www.caine-live.net
4) PALADIN
PALADIN on Ubuntu-pohjainen työkalu, jonka avulla voit yksinkertaistaa erilaisia rikosteknisiä tehtäviä. Se tarjoaa yli 100 hyödyllistä työkalua haitallisen materiaalin tutkimiseen. Tämä työkalu auttaa sinua yksinkertaistamaan rikosteknistä tehtävääsi nopeasti ja tehokkaasti.
Ominaisuudet :
- Se tarjoaa sekä 64- että 32-bittisiä versioita.
- Tämä työkalu on saatavana USB-muistitikulta.
- Tässä työkalupakissa on avoimen lähdekoodin työkaluja, jotka auttavat sinua etsimään tarvittavaa tietoa vaivattomasti.
- Tässä työkalussa on yli 33 luokkaa, jotka auttavat sinua suorittamaan kyberrikostehtävät.
Linkki : https://sumuri.com/software/paladin/
5) EnCase
Encase on sovellus, jonka avulla voit palauttaa todisteita kiintolevyiltä. Sen avulla voit suorittaa perusteellisen analyysin tiedostoista kerätäksesi todisteita, kuten asiakirjoja, kuvia jne.
Ominaisuudet :
- Voit hankkia tietoja lukuisista laitteista, kuten matkapuhelimista, tableteista jne.
- Sen avulla voit tuottaa kattavia raportteja todisteiden eheyden ylläpitämiseksi.
- Voit nopeasti etsiä, tunnistaa ja priorisoida todisteita.
- Encase-forensic auttaa sinua avaamaan salatut todisteet.
- Se automatisoi todisteiden valmistelun.
- Voit suorittaa syvällisen ja triage-analyysin (vikojen vakavuus ja prioriteetti).
Linkki : https://www.guidancesoftware.com/encase-forensic
6) SANS-SIIRTO
SANS SIFT on tietokoneen rikostekninen jakelu, joka perustuu Ubuntuun. Se tarjoaa digitaalisen rikosteknisen ja vaaratilanteiden torjuntatoiminnon.
Ominaisuudet :
- Se voi toimia 64-bittisessä käyttöjärjestelmässä.
- Tämä työkalu auttaa käyttäjiä käyttämään muistia paremmin.
- Se päivittää automaattisesti DFIR (Digital Forensics and Incident Response) -paketin.
- Voit asentaa sen SIFT-CLI (Command-Line Interface) -asennusohjelman kautta.
- Tämä työkalu sisältää lukuisia uusimpia rikosteknisiä työkaluja ja tekniikoita.
Linkki : https://digital-forensics.sans.org/community/downloads/
7) FTK-kuvantaja
FTK Imager on AccessDatan kehittämä rikostekninen työkalupaketti, jota voidaan käyttää todisteiden saamiseen. Se voi luoda kopioita tiedoista tekemättä muutoksia alkuperäiseen todisteeseen. Tämän työkalun avulla voit määrittää ehtoja, kuten tiedostokoko, pikselikoko ja tietotyyppi, merkityksettömän datan määrän vähentämiseksi.
Ominaisuudet :
- Se tarjoaa ohjatun ohjaaman lähestymistavan tietoverkkorikollisuuden havaitsemiseksi.
- Tämä ohjelma tarjoaa paremman visualisoinnin datasta kaavion avulla.
- Voit palauttaa salasanat yli 100 sovelluksesta.
- Siinä on edistynyt ja automatisoitu tietojen analysointilaitos.
- FTK Imager auttaa sinua hallitsemaan uudelleenkäytettäviä profiileja eri tutkimustarpeita varten.
- Se tukee edeltävää ja jälkikäsittelyä.
Linkki : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Magneetin RAM-sieppaus
Magneettinen RAM-sieppaus tallentaa epäillyn tietokoneen muistin. Sen avulla tutkijat voivat palauttaa ja analysoida muistissa olevia arvokkaita esineitä.
Ominaisuudet :
- Voit käyttää tätä sovellusta minimoimalla muistin ylikirjoitetut tiedot.
- Sen avulla voit viedä siepattuja muistitietoja ja ladata ne analyysityökaluihin, kuten magneetti AXIOM ja magneetti IEF.
- Tämä sovellus tukee laajaa valikoimaa Windows-käyttöjärjestelmiä.
- Magneettinen RAM-sieppaus tukee RAM-muistin hankintaa.
Linkki : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways-rikostekninen tutkimus
X-Ways on ohjelmisto, joka tarjoaa työympäristön tietokoneen rikostutkinnalle. Tämä ohjelma tukee levyn kloonausta ja kuvantamista. Sen avulla voit tehdä yhteistyötä muiden ihmisten kanssa, joilla on tämä työkalu.
Ominaisuudet :
- Sillä on kyky lukea osiointia ja tiedostojärjestelmärakenteita .dd-kuvatiedostojen sisällä.
- Voit käyttää levyjä, RAID-tiedostoja (itsenäisen levyn redundanttinen joukko) ja muuta.
- Se tunnistaa kadonneet tai poistetut osiot automaattisesti.
- Tämä työkalu tunnistaa helposti NTFS: n (uuden tekniikan tiedostojärjestelmä) ja ADS: n (vaihtoehtoiset tietovirrat).
- X-Ways Forensics tukee kirjanmerkkejä tai merkintöjä.
- Se pystyy analysoimaan etätietokoneita.
- Voit tarkastella ja muokata binaaritietoja mallien avulla.
- Se tarjoaa kirjoitussuojauksen tietojen aitouden ylläpitämiseksi.
Linkki : http://www.x-ways.net/forensics/
10) Langallinen hai
Wireshark on työkalu, joka analysoi verkkopaketteja. Sitä voidaan käyttää verkon testaamiseen ja vianmääritykseen. Tämän työkalun avulla voit tarkistaa tietokoneesi läpi kulkevan erilaisen liikenteen.
Ominaisuudet :
- Se tarjoaa monipuolisen VoIP (Voice over Internet Protocol) -analyysin.
- Sieppaa tiedostot, jotka on pakattu gzip: llä, voidaan purkaa helposti.
- Tulos voidaan viedä XML-tiedostoon (Extensible Markup Language), CSV-tiedostoon (Comma Separated Values) tai pelkkään tekstiin.
- Suorat tiedot voidaan lukea verkosta, sinihammasta, pankkiautomaatista, USB: stä jne.
- Salauksenpurkutuki lukuisille protokollille, jotka sisältävät IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) ja WEP (Wired Equivalent Privacy).
- Voit soveltaa intuitiivista analyysiä ja värityssääntöjä pakettiin.
- Voit lukea tai kirjoittaa tiedostoja missä tahansa muodossa.
Linkki : https://www.wireshark.org
11) Rekisterin palautus
Registry Recon on tietokoneen rikostekninen työkalu, jota käytetään purkamaan, palauttamaan ja analysoimaan rekisteritiedot Windows-käyttöjärjestelmästä. Tätä ohjelmaa voidaan käyttää määrittämään tehokkaasti ulkoiset laitteet, jotka on liitetty mihin tahansa tietokoneeseen.
Ominaisuudet:
- Se tukee Windows XP, Vista, 7, 8, 10 ja muita käyttöjärjestelmiä.
- Tämä työkalu palauttaa arvokkaat NTFS-tiedot automaattisesti.
- Voit integroida sen Microsoft Disk Manager -apuohjelman kanssa.
- Kiinnitä kaikki VSC: t (Volume Shadow Copies) nopeasti levyyn.
- Tämä ohjelma rakentaa aktiivisen rekisteritietokannan uudelleen.
Linkki : https://arsenalrecon.com/products/
12) Volatiliteettikehys
Volatility Framework on ohjelmisto muistin analysointiin ja rikostekniseen tutkimukseen. Sen avulla voit testata järjestelmän ajonaikaisen tilan käyttämällä RAM-muistissa olevia tietoja. Tämän sovelluksen avulla voit tehdä yhteistyötä joukkuetovereidesi kanssa.
Ominaisuudet :
- Siinä on API, jonka avulla voit etsiä PTE (Page Table Entry) -lippuja nopeasti.
- Volatiliteettikehys tukee KASLR: ää (Kernel Address Space Layout Randomization).
- Tämä työkalu tarjoaa lukuisia laajennuksia Mac-tiedostojen toiminnan tarkistamiseen.
- Se suorittaa epäonnistumiskomennon automaattisesti, kun palvelu ei käynnisty useita kertoja.
Linkki : https://www.volatilityfoundation.org
13) Xplico
Xplico on avoimen lähdekoodin rikostekninen analyysisovellus. Se tukee HTTP: tä (Hypertext Transfer Protocol), IMAP: ää (Internet Message Access Protocol) ja muuta.
Ominaisuudet :
- Voit saada lähtötiedot SQLite-tietokantaan tai MySQL-tietokantaan.
- Tämä työkalu antaa sinulle reaaliaikaisen yhteistyön.
- Ei kokorajoitusta tietojen syötölle tai tiedostojen määrälle.
- Voit helposti luoda minkä tahansa lähettäjän järjestämään puretut tiedot hyödyllisellä tavalla.
- Se tukee sekä IPv4: ää että IPv6: ta.
- Voit suorittaa varauksen DNS-haun DNS-paketeista, joissa on syötetiedostot.
- Xplico tarjoaa PIPI (Port Independent Protocol Identification) -ominaisuuden digitaalisen rikosteknisen tuen tukemiseksi.
Linkki : https://www.xplico.org
14) e-fense
E-fense on työkalu, joka auttaa sinua vastaamaan tietokoneen rikosteknologian ja kyberturvallisuuden tarpeisiin. Sen avulla voit löytää tiedostoja mistä tahansa laitteesta yhdellä helppokäyttöisellä käyttöliittymällä.
Ominaisuudet :
- Se suojaa haitalliselta käytöltä, hakkeroinnilta ja käytäntörikkomuksilta.
- Voit hankkia Internet-historiaa, muistia ja näytön kaappausta järjestelmästä USB-muistitikulle.
- Tällä työkalulla on helppokäyttöinen käyttöliittymä, jonka avulla voit saavuttaa tutkimustavoitteesi.
- E-fense tukee monisäikeisyyttä, mikä tarkoittaa, että voit suorittaa useamman kuin yhden langan samanaikaisesti.
Linkki : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike on digitaalinen rikostekninen ohjelmisto, joka tarjoaa uhkatietoja, päätepisteturvallisuutta jne. Se pystyy nopeasti havaitsemaan ja palautumaan kyberturvallisuustapahtumista. Tämän työkalun avulla voit etsiä ja estää hyökkääjiä reaaliajassa.
Ominaisuudet :
- Tämä työkalu auttaa sinua hallitsemaan järjestelmän haavoittuvuuksia.
- Se voi automaattisesti analysoida haittaohjelmia.
- Voit suojata virtuaalisen, fyysisen ja pilvipohjaisen datakeskuksen.
Linkki : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/