15 BESTE digitale forensische tools in 2021 (gratis / betaald)

Anonim

Digitaal forensisch onderzoek is een proces van bewaring, identificatie, extractie en documentatie van computerbewijsmateriaal dat door de rechtbank kan worden gebruikt. Er zijn veel tools die u helpen om dit proces eenvoudig en gemakkelijk te maken. Deze applicaties leveren complete rapportages die kunnen worden gebruikt voor juridische procedures.

Hieronder volgt een zorgvuldig uitgekozen lijst van Digital Forensic Toolkits, met hun populaire functies en websitelinks. De lijst bevat zowel open source (gratis) als commerciële (betaalde) software.

1) ProDiscover Forensic

ProDiscover Forensic is een computerbeveiligingsapp waarmee u alle gegevens op een computerschijf kunt lokaliseren. Het kan bewijsmateriaal beschermen en kwaliteitsrapporten opstellen voor het gebruik van juridische procedures. Met deze tool kunt u EXIF-informatie (Exchangeable Image File Format) uit JPEG.webp-bestanden extraheren.

Kenmerken :

  • Dit product ondersteunt Windows-, Mac- en Linux-bestandssystemen.
  • U kunt snel voorbeelden bekijken van en zoeken naar verdachte bestanden.
  • Het maakt een kopie van de volledige verdachte schijf om het originele bewijsmateriaal veilig te houden.
  • Deze tool helpt je om de internetgeschiedenis te zien.
  • U kunt afbeeldingen in de indeling .dd importeren of exporteren.
  • Het stelt u in staat om opmerkingen toe te voegen aan het bewijs van uw interesse.
  • ProDiscover Forensic ondersteunt VMware om een ​​vastgelegde afbeelding uit te voeren.

Link : https://www.prodiscover.com

2) Sleuth Kit (+ autopsie)

Sleuth Kit (+ Autopsy) is een op Windows gebaseerd hulpprogramma dat forensische analyse van computersystemen eenvoudiger maakt. Met deze tool kunt u uw harde schijf en smartphone onderzoeken.

Kenmerken :

  • U kunt activiteit effectief identificeren met behulp van een grafische interface.
  • Deze applicatie biedt analyse voor e-mails.
  • U kunt bestanden op type groeperen om alle documenten of afbeeldingen te vinden.
  • Het toont een miniatuur van afbeeldingen om snel afbeeldingen te bekijken.
  • U kunt bestanden taggen met de willekeurige tagnamen.
  • Met de Sleuth Kit kunt u gegevens extraheren uit oproeplogboeken, sms-berichten, contacten, enz.
  • Het helpt u bestanden en mappen te markeren op basis van pad en naam.

Link : https://www.sleuthkit.org

3) CAÏNE

CAINE is een op Ubuntu gebaseerde app die een complete forensische omgeving biedt met een grafische interface. Deze tool kan als module in bestaande softwaretools worden geïntegreerd. Het haalt automatisch een tijdlijn uit RAM.

Kenmerken :

  • Het ondersteunt de digitale rechercheur tijdens de vier fasen van het digitale onderzoek.
  • Het biedt een gebruiksvriendelijke interface.
  • U kunt de functies van CAINE aanpassen.
  • Deze software biedt tal van gebruiksvriendelijke tools.

Link : https://www.caine-live.net

4) PALADIN

PALADIN is een op Ubuntu gebaseerde tool waarmee u een reeks forensische taken kunt vereenvoudigen. Het biedt meer dan 100 handige tools voor het onderzoeken van kwaadaardig materiaal. Deze tool helpt u om uw forensische taak snel en effectief te vereenvoudigen.

Kenmerken :

  • Het biedt zowel 64-bits als 32-bits versies.
  • Deze tool is beschikbaar op een USB-stick.
  • Deze toolbox heeft open-source tools waarmee je moeiteloos naar de benodigde informatie kunt zoeken.
  • Deze tool heeft meer dan 33 categorieën die u helpen bij het uitvoeren van een cyberforensische taak.

Link : https://sumuri.com/software/paladin/

5) EnCase

Encase is een applicatie die u helpt bewijsmateriaal van harde schijven te herstellen. Hiermee kunt u een diepgaande analyse van bestanden uitvoeren om bewijzen te verzamelen, zoals documenten, afbeeldingen, enz.

Kenmerken :

  • U kunt gegevens verkrijgen van tal van apparaten, waaronder mobiele telefoons, tablets, enz.
  • Het stelt u in staat om volledige rapporten op te stellen om de integriteit van het bewijs te behouden.
  • U kunt snel bewijs zoeken, identificeren en prioriteren.
  • Encase-forensic helpt u om versleuteld bewijsmateriaal te ontgrendelen.
  • Het automatiseert de voorbereiding van bewijsmateriaal.
  • U kunt diepgaande en triage (ernst en prioriteit van defecten) analyses uitvoeren.

Link : https://www.guidancesoftware.com/encase-forensic

6) SANS SIFT

SANS SIFT is een computerforensische distributie op basis van Ubuntu. Het biedt een digitale onderzoeksfaciliteit voor forensisch onderzoek en incidentrespons.

Kenmerken :

  • Het kan werken op een 64-bits besturingssysteem.
  • Deze tool helpt gebruikers om het geheugen op een betere manier te gebruiken.
  • Het werkt automatisch het DFIR-pakket (Digital Forensics and Incident Response) bij.
  • U kunt het installeren via het SIFT-CLI-installatieprogramma (Command-Line Interface).
  • Deze tool bevat tal van nieuwste forensische tools en technieken.

Link : https://digital-forensics.sans.org/community/downloads/

7) FTK-imager

FTK Imager is een forensische toolkit die is ontwikkeld door AccessData en die kan worden gebruikt om bewijs te verzamelen. Het kan kopieën van gegevens maken zonder wijzigingen aan te brengen in het originele bewijsmateriaal. Met deze tool kunt u criteria specificeren, zoals bestandsgrootte, pixelgrootte en gegevenstype, om de hoeveelheid irrelevante gegevens te verminderen.

Kenmerken :

  • Het biedt een wizardgestuurde aanpak om cybercriminaliteit op te sporen.
  • Dit programma biedt een betere visualisatie van gegevens met behulp van een grafiek.
  • U kunt wachtwoorden herstellen van meer dan 100 applicaties.
  • Het heeft een geavanceerde en geautomatiseerde faciliteit voor gegevensanalyse.
  • FTK Imager helpt u bij het beheren van herbruikbare profielen voor verschillende onderzoeksvereisten.
  • Het ondersteunt verfijning van de voor- en nabewerking.

Link : https://accessdata.com/products-services/forensic-toolkit-ftk

8) Magneet RAM-opname

Magnet RAM capture registreert het geheugen van een verdachte computer. Hiermee kunnen onderzoekers waardevolle items die in het geheugen worden gevonden, herstellen en analyseren.

Kenmerken :

  • U kunt deze app gebruiken terwijl u de hoeveelheid overschreven gegevens in het geheugen minimaliseert.
  • Hiermee kunt u vastgelegde geheugendata exporteren en uploaden naar analysehulpmiddelen zoals magneet AXIOM en magneet IEF.
  • Deze app ondersteunt een breed scala aan Windows-besturingssystemen.
  • Magnet RAM-opname ondersteunt RAM-acquisitie.

Link : https://www.magnetforensics.com/resources/magnet-ram-capture/

9) X-Ways Forensics

X-Ways is software die een werkomgeving biedt voor computerforensische examinatoren. Dit programma ondersteunt het klonen en imaging van schijven. Het stelt u in staat om samen te werken met andere mensen die deze tool hebben.

Kenmerken :

  • Het heeft de mogelijkheid om partitionering en bestandssysteemstructuren in .dd-beeldbestanden te lezen.
  • U hebt toegang tot schijven, RAID's (redundante reeks onafhankelijke schijven) en meer.
  • Het identificeert automatisch verloren of verwijderde partities.
  • Deze tool kan NTFS (New Technology File System) en ADS (Alternate Data Streams) gemakkelijk detecteren.
  • X-Ways Forensics ondersteunt bladwijzers of annotaties.
  • Het heeft de mogelijkheid om externe computers te analyseren.
  • U kunt binaire gegevens bekijken en bewerken met behulp van sjablonen.
  • Het biedt schrijfbeveiliging om de authenticiteit van gegevens te behouden.

Link : http://www.x-ways.net/forensics/

10) Wireshark

Wireshark is een tool die een netwerkpakket analyseert. Het kan worden gebruikt voor netwerktests en probleemoplossing. Deze tool helpt u om het verschillende verkeer dat door uw computersysteem gaat, te controleren.

Kenmerken :

  • Het biedt uitgebreide VoIP-analyse (Voice over Internet Protocol).
  • Capture-bestanden die zijn gecomprimeerd met gzip, kunnen eenvoudig worden gedecomprimeerd.
  • Uitvoer kan worden geëxporteerd naar XML (Extensible Markup Language), CSV (Comma Separated Values) -bestand of platte tekst.
  • Live-gegevens kunnen worden gelezen van het netwerk, blue-tooth, geldautomaat, USB, enz.
  • Ondersteuning voor decodering voor tal van protocollen, waaronder IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) en WEP (Wired Equivalent Privacy).
  • U kunt intuïtieve analyse, kleurregels toepassen op het pakket.
  • Hiermee kunt u bestanden in elk formaat lezen of schrijven.

Link : https://www.wireshark.org

11) Register opnieuw

Registry Recon is een forensisch computerprogramma dat wordt gebruikt om registergegevens uit Windows OS te extraheren, te herstellen en te analyseren. Dit programma kan worden gebruikt om op efficiënte wijze externe apparaten te bepalen die op elke pc zijn aangesloten.

Kenmerken:

  • Het ondersteunt Windows XP, Vista, 7, 8, 10 en andere besturingssystemen.
  • Deze tool herstelt automatisch waardevolle NTFS-gegevens.
  • U kunt het integreren met het hulpprogramma Microsoft Disk Manager.
  • Koppel snel alle VSC's (Volume Shadow Copies) VSC's binnen een schijf.
  • Dit programma bouwt de actieve registerdatabase opnieuw op.

Link : https://arsenalrecon.com/products/

12) Volatiliteitskader

Volatility Framework is software voor geheugenanalyse en forensisch onderzoek. Het helpt u om de runtime-status van een systeem te testen met behulp van de gegevens in het RAM. Met deze app kun je samenwerken met je teamgenoten.

Kenmerken :

  • Het heeft een API waarmee u snel PTE-vlaggen (Page Table Entry) kunt opzoeken.
  • Volatility Framework ondersteunt KASLR (Kernel Address Space Layout Randomization).
  • Deze tool biedt tal van plug-ins om de werking van Mac-bestanden te controleren.
  • Het voert automatisch de opdracht Failure uit wanneer een service meerdere keren niet kan worden gestart.

Link : https://www.volatilityfoundation.org

13) Xplico

Xplico is een open-source forensische analyse-app. Het ondersteunt HTTP (Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol) en meer.

Kenmerken :

  • U kunt uw uitvoergegevens ophalen in de SQLite-database of MySQL-database.
  • Deze tool geeft je realtime samenwerking.
  • Geen limiet voor de grootte van gegevensinvoer of het aantal bestanden.
  • U kunt eenvoudig elke soort dispatcher maken om de geëxtraheerde gegevens op een handige manier te ordenen.
  • Het ondersteunt zowel IPv4 als IPv6.
  • U kunt een reserve DNS-lookup uitvoeren vanuit DNS-pakketten met invoerbestanden.
  • Xplico biedt de PIPI-functie (Port Independent Protocol Identification) ter ondersteuning van digitaal forensisch onderzoek.

Link : https://www.xplico.org

14) e-fense

E-fense is een tool die u helpt te voldoen aan uw computerforensische en cyberbeveiligingsbehoeften. Hiermee kunt u bestanden vanaf elk apparaat ontdekken in één eenvoudig te gebruiken interface.

Kenmerken :

  • Het biedt bescherming tegen kwaadaardig gedrag, hacking en beleidsschendingen.
  • U kunt internetgeschiedenis, geheugen en schermopname van een systeem ophalen op een USB-stick.
  • Deze tool heeft een eenvoudig te gebruiken interface waarmee u uw onderzoeksdoel kunt bereiken.
  • E-fense ondersteunt multithreading, wat betekent dat u meer dan één thread tegelijkertijd kunt uitvoeren.

Link : http://www.e-fense.com/products.php

15) Crowdstrike

Crowdstrike is digitale forensische software die informatie over bedreigingen, eindpuntbeveiliging, enz. Biedt. Het kan cyberincidenten snel detecteren en herstellen. U kunt deze tool gebruiken om aanvallers in realtime te vinden en te blokkeren.

Kenmerken :

  • Deze tool helpt u om systeemkwetsbaarheden te beheren.
  • Het kan automatisch malware analyseren.
  • U kunt uw virtuele, fysieke en cloudgebaseerde datacenter beveiligen.

Link : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/