Digitalna forenzika postupak je očuvanja, identifikacije, izdvajanja i dokumentiranja računalnih dokaza koji može koristiti sud. Postoji mnogo alata koji vam pomažu da ovaj postupak učinite jednostavnim i lakim. Ove prijave pružaju cjelovita izvješća koja se mogu koristiti za pravne postupke.
Slijedi odabrani popis Digitalnih forenzičkih alata s njihovim popularnim značajkama i poveznicama na web stranice. Popis sadrži softver otvorenog koda (besplatni) i komercijalni (plaćeni) softver.
1) ProDiscover Forensic
ProDiscover Forensic je aplikacija za računalnu sigurnost koja vam omogućuje pronalaženje svih podataka na računalnom disku. Može zaštititi dokaze i stvoriti izvješća o kvaliteti za upotrebu pravnih postupaka. Ovaj vam alat omogućuje izvlačenje EXIF (Exchangeable Image File Format) podataka iz JPEG.webp datoteka.
Značajke :
- Ovaj proizvod podržava Windows, Mac i Linux datotečne sustave.
- Možete brzo pregledati i pretraživati sumnjive datoteke.
- Stvara kopiju cijelog diska za koji se sumnja da čuva originalne dokaze.
- Ovaj vam alat pomaže da vidite povijest interneta.
- Možete uvesti ili izvesti slike u .dd formatu.
- Omogućuje vam dodavanje komentara u dokaze o vašem interesu.
- ProDiscover Forensic podržava VMware za pokretanje snimljene slike.
Link : https://www.prodiscover.com
2) Pribor za spavanje (+ obdukcija)
Sleuth Kit (+ autopsija) uslužni je alat zasnovan na sustavu Windows koji olakšava forenzičku analizu računalnih sustava. Ovaj vam alat omogućuje pregled tvrdog diska i pametnog telefona.
Značajke :
- Aktivnost možete prepoznati pomoću grafičkog sučelja.
- Ova aplikacija pruža analizu e-pošte.
- Datoteke možete grupirati prema njihovoj vrsti da biste pronašli sve dokumente ili slike.
- Prikazuje minijaturu slika za brzi pregled slika.
- Datoteke možete označiti proizvoljnim imenima oznaka.
- Komplet Sleuth omogućuje vam izdvajanje podataka iz zapisnika poziva, SMS-a, kontakata itd.
- Pomaže vam označavati datoteke i mape na temelju puta i imena.
Link : https://www.sleuthkit.org
3) KAIN
CAINE je aplikacija zasnovana na Ubuntuu koja nudi cjelovito forenzičko okruženje koje pruža grafičko sučelje. Ovaj se alat može integrirati u postojeće softverske alate kao modul. Automatski izdvaja vremensku traku iz RAM-a.
Značajke :
- Podržava digitalnog istražitelja tijekom četiri faze digitalne istrage.
- Nudi korisničko sučelje.
- Možete prilagoditi značajke CAINE-a.
- Ovaj softver nudi brojne korisničke alate.
Link : https://www.caine-live.net
4) PALADIN
PALADIN je alat zasnovan na Ubuntuu koji vam omogućuje pojednostavljivanje niza forenzičkih zadataka. Pruža više od 100 korisnih alata za istraživanje zlonamjernog materijala. Ovaj alat pomaže vam da brzo i učinkovito pojednostavite svoj forenzički zadatak.
Značajke :
- Pruža i 64-bitne i 32-bitne verzije.
- Ovaj je alat dostupan na USB pogonu palca.
- Ovaj set alata sadrži alate otvorenog koda koji vam pomažu bez napora potražiti potrebne informacije.
- Ovaj alat ima više od 33 kategorije koje vam pomažu u izvršavanju cyber forenzičnog zadatka.
Link : https://sumuri.com/software/paladin/
5) EnCase
Encase je aplikacija koja vam pomaže oporaviti dokaze s tvrdih diskova. Omogućuje vam detaljnu analizu datoteka za prikupljanje dokaza poput dokumenata, slika itd.
Značajke :
- Možete dobiti podatke s brojnih uređaja, uključujući mobilne telefone, tablete itd.
- Omogućuje vam izradu cjelovitih izvještaja za održavanje integriteta dokaza.
- Možete brzo pretraživati, identificirati, kao i dati prioritet dokazima.
- Encase-forensic vam pomaže da otključate šifrirane dokaze.
- Automatizira pripremu dokaza.
- Možete izvršiti dubinsku analizu i analizu trijaže (ozbiljnosti i prioriteta nedostataka).
Link : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT je računalna forenzička distribucija koja se temelji na Ubuntuu. Pruža digitalnu forenzičku ustanovu za ispitivanje odgovora na incidente.
Značajke :
- Može raditi na 64-bitnom operativnom sustavu.
- Ovaj alat pomaže korisnicima da bolje iskoriste memoriju.
- Automatski ažurira paket DFIR (Digital Forensics and Incident Response).
- Možete ga instalirati putem instalacijskog programa SIFT-CLI (sučelje naredbenog retka).
- Ovaj alat sadrži brojne najnovije forenzičke alate i tehnike.
Link : https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
FTK Imager je forenzički alat koji sam razvio AccessData i koji se može koristiti za prikupljanje dokaza. Može stvoriti kopije podataka bez izmjena izvornih dokaza. Ovaj alat omogućuje vam da odredite kriterije, poput veličine datoteke, veličine piksela i vrste podataka, kako biste smanjili količinu irelevantnih podataka.
Značajke :
- Pruža čarobnjački pristup za otkrivanje cyber kriminala.
- Ovaj program nudi bolju vizualizaciju podataka pomoću grafikona.
- Lozinke možete oporaviti iz više od 100 aplikacija.
- Ima napredni i automatizirani uređaj za analizu podataka.
- FTK Imager pomaže vam u upravljanju profilima koji se mogu ponovno koristiti za različite zahtjeve istrage.
- Podržava usavršavanje prije i nakon obrade.
Link : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Snimanje RAM-a magnetom
Magnet RAM snima bilježi memoriju sumnjivog računala. Omogućuje istražiteljima povratak i analizu vrijednih predmeta koji se nalaze u memoriji.
Značajke :
- Ovu aplikaciju možete pokrenuti dok minimizirate prebrisane podatke u memoriji.
- Omogućuje vam izvoz izvezenih podataka iz memorije i prijenos u alate za analizu poput magneta AXIOM i magneta IEF.
- Ova aplikacija podržava širok raspon operativnih sustava Windows.
- Magnet RAM snimanje podržava prikupljanje RAM-a.
Link : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) Forenzika X-Ways
X-Ways je softver koji pruža radno okruženje za računalne forenzičare. Ovaj program podržava kloniranje diska i obradu slika. Omogućuje vam suradnju s drugim ljudima koji imaju ovaj alat.
Značajke :
- Ima sposobnost čitanja particija i struktura datotečnog sustava unutar .dd slikovnih datoteka.
- Možete pristupiti diskovima, RAID-ovima (suvišan niz neovisnih diskova) i mnogim drugim.
- Automatski identificira izgubljene ili izbrisane particije.
- Ovaj alat može lako otkriti NTFS (datotečni sustav nove tehnologije) i ADS (alternativni prijenos podataka).
- X-Ways Forensics podržava oznake ili bilješke.
- Ima mogućnost analize udaljenih računala.
- Binarne podatke možete pregledavati i uređivati pomoću predložaka.
- Pruža zaštitu od upisa za održavanje autentičnosti podataka.
Link : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark je alat koji analizira mrežni paket. Može se koristiti za mrežno testiranje i rješavanje problema. Ovaj vam alat pomaže u provjeri različitog prometa koji prolazi kroz vaš računalni sustav.
Značajke :
- Pruža bogatu VoIP (Voice over Internet Protocol) analizu.
- Datoteke za snimanje komprimirane gzipom mogu se lako dekomprimirati.
- Izlaz se može izvesti u XML (proširivi jezik za označavanje), CSV (vrijednosti odvojene zarezom) ili u običan tekst.
- Podaci uživo mogu se čitati s mreže, plavog zuba, bankomata, USB-a itd.
- Podrška za dešifriranje brojnih protokola koji uključuju IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) i WEP (Wired Equivalent Privacy).
- Na paket možete primijeniti intuitivnu analizu, pravila bojanja.
- Omogućuje vam čitanje ili pisanje datoteke u bilo kojem formatu.
Link : https://www.wireshark.org
11) Recon Registry
Registry Recon je računalni forenzički alat koji se koristi za izdvajanje, oporavak i analizu podataka registra iz OS Windows. Ovaj se program može koristiti za učinkovito određivanje vanjskih uređaja koji su povezani na bilo koje računalo.
Značajke:
- Podržava Windows XP, Vista, 7, 8, 10 i druge operativne sustave.
- Ovaj alat automatski obnavlja vrijedne NTFS podatke.
- Možete ga integrirati s uslužnim alatom Microsoft Disk Manager.
- Brzo montirajte sve VSC-ove (Volume Shadow Copies) na disk.
- Ovaj program obnavlja aktivnu bazu podataka registra.
Link : https://arsenalrecon.com/products/
12) Okvir volatilnosti
Volatility Framework je softver za analizu memorije i forenziku. Pomaže vam da testirate vrijeme izvođenja sustava pomoću podataka koji se nalaze u RAM-u. Ova vam aplikacija omogućuje suradnju sa suigračima.
Značajke :
- Ima API koji omogućuje brzo pretraživanje PTE (Unos tablice stranica) oznaka.
- Volatility Framework podržava KASLR (Randomization Layout Address Space Layout).
- Ovaj alat nudi brojne dodatke za provjeru rada Mac datoteka.
- Automatski pokreće naredbu Neuspjeh kada se usluga ne uspije pokrenuti više puta.
Link : https://www.volatilityfoundation.org
13) Xplico
Xplico je aplikacija za forenzičku analizu otvorenog koda. Podržava HTTP (protokol za prijenos hiperteksta), IMAP (protokol za pristup internetskim porukama) i još mnogo toga.
Značajke :
- Izlazne podatke možete dobiti u bazi podataka SQLite ili MySQL.
- Ovaj alat omogućuje suradnju u stvarnom vremenu.
- Nema ograničenja veličine za unos podataka ili broj datoteka.
- Možete jednostavno stvoriti bilo koju vrstu dispečera koji će izvađene podatke organizirati na koristan način.
- Podržava i IPv4 i IPv6.
- Možete izvršiti rezervno DNS pretraživanje iz DNS paketa koji imaju ulazne datoteke.
- Xplico pruža PIPI (Port Independent Protocol Identification) značajku za podršku digitalnoj forenzici.
Link : https://www.xplico.org
14) e-fense
E-fense je alat koji vam pomaže u ispunjavanju potreba vaše računalne forenzike i kibernetičke sigurnosti. Omogućuje vam otkrivanje datoteka s bilo kojeg uređaja u jednom jednostavnom sučelju.
Značajke :
- Pruža zaštitu od zlonamjernog ponašanja, hakiranja i kršenja pravila.
- Povijest interneta, memoriju i snimanje zaslona možete prikupiti iz sustava na USB pogon palca.
- Ovaj alat ima jednostavno sučelje koje vam omogućuje postizanje vašeg cilja istrage.
- E-fense podržava multithreading, što znači da možete istovremeno izvršavati više niti.
Link : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike je digitalni forenzički softver koji pruža informacije o prijetnjama, zaštitu krajnjih točaka itd. Može brzo otkriti i oporaviti se od kibernetičnih incidenata. Ovim alatom možete u stvarnom vremenu pronaći i blokirati napadače.
Značajke :
- Ovaj vam alat pomaže u upravljanju ranjivostima sustava.
- Može automatski analizirati zlonamjerni softver.
- Možete osigurati svoj virtualni, fizički i podatkovni centar zasnovan na oblaku.
Link : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/