Einführung
Computer sind eine wichtige Quelle forensischer Beweise für eine wachsende Zahl von Verbrechen. Während die Cyberkriminalität in den letzten Jahren stetig zugenommen hat, nutzen auch traditionelle Kriminelle Computer als Teil ihrer Operationen. Die Fähigkeit, zuverlässig forensische Informationen aus diesen Rechnern zu extrahieren, kann für die Ergreifung und Verfolgung dieser Kriminellen von entscheidender Bedeutung sein.
Computerforensik-Tools wurden entwickelt, um sicherzustellen, dass die aus Computern extrahierten Informationen genau und zuverlässig sind. Aufgrund der großen Vielfalt an verschiedenen Arten von computerbasierten Beweisen gibt es eine Reihe von verschiedenen Arten von Computerforensik-Tools, darunter:
- Tools zur Festplatten- und Datenerfassung
- File Viewer
- Dateianalyse-Tools
- Registrierungsanalyse-Tools
- Internetanalyse Tools
- E-Mail-Analyse-Tools
- Mobilgeräte-Analyse-Tools
- Werkzeuge zur Netzwerk-Forensik
- Werkzeuge zur Datenbank-Forensik
In jeder Kategorie gibt es eine Reihe von verschiedenen Tools. Diese Liste umreißt einige der am häufigsten verwendeten Computerforensik-Tools.
Tools zur Festplatten- und Datenerfassung
Forensische Tools zur Festplatten- und Datenerfassung konzentrieren sich auf die Analyse eines Systems und das Extrahieren potenzieller forensischer Artefakte wie Dateien, E-Mails und so weiter. Dies ist ein Kernstück der Computerforensik und der Schwerpunkt vieler Forensik-Tools.
Autopsy/The Sleuth Kit
Autopsy und The Sleuth Kit sind wahrscheinlich die bekanntesten und beliebtesten Forensik-Tools. Diese Tools wurden entwickelt, um Disk-Images zu analysieren, eine tiefgehende Analyse von Dateisystemen durchzuführen und beinhalten eine Vielzahl weiterer Funktionen. Daher enthalten sie Funktionen aus vielen der oben genannten Kategorien von Forensik-Tools und sind ein guter Ausgangspunkt für eine computerforensische Untersuchung.
Autopsy und The Sleuth Kit sind sowohl für Unix als auch für Windows erhältlich und können hier heruntergeladen werden.
X-Ways Forensics
X-Ways Forensics ist eine kommerzielle digitale Forensik-Plattform für Windows. Das Unternehmen bietet auch eine abgespeckte Version der Plattform namens X-Ways Investigator an.
Ein wichtiges Verkaufsargument der Plattform ist, dass sie ressourceneffizient und in der Lage ist, von einem USB-Stick aus zu laufen. Trotzdem verfügt sie über eine beeindruckende Anzahl von Funktionen, die hier auf der Website aufgelistet sind.
AccessData FTK
AccessData Forensics Toolkit (FTK) ist eine kommerzielle Plattform für digitale Forensik, die mit ihrer Analysegeschwindigkeit prahlt. Es behauptet, die einzige Forensik-Plattform zu sein, die Multi-Core-Computer voll ausnutzt. Zusätzlich führt FTK die Indizierung im Vorfeld durch, was die spätere Analyse der gesammelten forensischen Artefakte beschleunigt.
Lesen Sie hier mehr.
EnCase
EnCase ist eine kommerzielle Forensik-Plattform. Sie bietet Unterstützung für die Beweissammlung von über fünfundzwanzig verschiedenen Gerätetypen, darunter Desktops, mobile Geräte und GPS. Innerhalb des Tools kann ein forensischer Ermittler die gesammelten Daten inspizieren und eine Vielzahl von Berichten basierend auf vordefinierten Vorlagen erstellen.
Lesen Sie hier mehr über EnCase.
Mandiant RedLine
Mandiant RedLine ist ein beliebtes Tool zur Speicher- und Datei-Analyse. Es sammelt Informationen über laufende Prozesse auf einem Host, Treiber aus dem Speicher und sammelt andere Daten wie Metadaten, Registry-Daten, Tasks, Dienste, Netzwerkinformationen und Internet-Historie, um einen passenden Bericht zu erstellen.
Lesen Sie hier mehr.
Paraben Suite
Die Paraben Corporation bietet eine Reihe von Forensik-Tools mit unterschiedlichen Lizenzierungsoptionen an. Paraben hat Fähigkeiten in:
- Desktop-Forensik
- Email-Forensik
- Smartphone-Analyse
- Cloud-Analyse
- IoT-Forensik
- Triage und Visualisierung
Das E3:Universal bietet einen All-in-One-Zugang, die E3:DS konzentriert sich auf mobile Geräte und andere Lizenzoptionen bieten Computerforensik, E-Mail-Forensik und Visualisierungsfunktionen.
Lesen Sie hier mehr.
Bulk Extractor
Bulk Extractor ist ebenfalls ein wichtiges und beliebtes Werkzeug der digitalen Forensik. Es scannt die Disk-Images, eine Datei oder ein Verzeichnis von Dateien, um nützliche Informationen zu extrahieren. Dabei ignoriert es die Struktur des Dateisystems, so dass es schneller ist als andere verfügbare ähnliche Arten von Tools. Es wird hauptsächlich von Geheimdiensten und Strafverfolgungsbehörden bei der Aufklärung von Cyberkriminalität eingesetzt.
Die aktuelle Version der Software, die hier verfügbar ist, wurde seit 2014 nicht mehr aktualisiert. Allerdings befindet sich eine Version 2.0 mit unbekanntem Veröffentlichungsdatum in der Entwicklung. Sie ist hier zu finden.
Registrierungsanalyse
Die Windows-Registrierung dient als Datenbank mit Konfigurationsinformationen für das Betriebssystem und die darauf laufenden Anwendungen. Aus diesem Grund kann sie viele nützliche Informationen für die forensische Analyse enthalten.
Registry Recon
Registry Recon ist ein beliebtes kommerzielles Tool zur Analyse der Registry. Es extrahiert die Registry-Informationen aus den Beweisen und baut dann die Registry-Darstellung neu auf. Es kann Registrierungen sowohl von aktuellen als auch von früheren Windows-Installationen wiederherstellen.
Lesen Sie hier mehr darüber.
Speicherforensik
Bei der Analyse des Dateisystems wird der flüchtige Speicher des Systems (d.h. RAM) übersehen. Einige Forensik-Tools konzentrieren sich darauf, die hier gespeicherten Informationen zu erfassen.
Volatilität
Volatilität ist das Framework der Speicherforensik. Es wird für Incident Response und Malware-Analyse eingesetzt. Mit diesem Tool können Sie Informationen aus laufenden Prozessen, Netzwerk-Sockets, Netzwerkverbindungen, DLLs und Registry-Hives extrahieren. Es bietet auch Unterstützung für das Extrahieren von Informationen aus Windows-Crash-Dump-Dateien und Hibernation-Dateien. Dieses Tool ist kostenlos unter der GPL-Lizenz erhältlich.
Lesen Sie hier mehr über das Tool.
WindowsSCOPE
WindowsSCOPE ist ein kommerzielles Speicherforensik- und Reverse-Engineering-Tool, das für die Analyse von flüchtigem Speicher verwendet wird. Es wird hauptsächlich für das Reverse Engineering von Malware verwendet. Es bietet die Möglichkeit, den Windows-Kernel, Treiber, DLLs sowie den virtuellen und physischen Speicher zu analysieren.
Lesen Sie hier mehr.
Netzwerkanalyse
Die meisten Cyberangriffe erfolgen über das Netzwerk, und das Netzwerk kann eine nützliche Quelle für forensische Daten sein. Diese Tools ermöglichen es einem forensischen Ermittler, den Netzwerkverkehr effektiv zu analysieren.
Wireshark
Wireshark ist das am weitesten verbreitete Tool zur Analyse des Netzwerkverkehrs, das es gibt. Es hat die Möglichkeit, den Datenverkehr live zu erfassen oder eine gespeicherte Erfassungsdatei einzuspielen. Die zahlreichen Protokoll-Dissektoren und die benutzerfreundliche Oberfläche von Wireshark machen es einfach, den Inhalt einer Traffic-Aufzeichnung zu untersuchen und darin nach forensischen Beweisen zu suchen.
Lesen Sie hier mehr.
Network Miner
Network Miner ist ein Tool zur Analyse des Netzwerkverkehrs, das sowohl kostenlose als auch kommerzielle Optionen bietet. Während viele der Premium-Funktionen mit Wireshark frei verfügbar sind, kann die kostenlose Version ein hilfreiches Werkzeug für forensische Untersuchungen sein. Es organisiert Informationen auf eine andere Weise als Wireshark und extrahiert automatisch bestimmte Dateitypen aus einer Verkehrsaufzeichnung.
Lesen Sie hier mehr.
Xplico
Xplico ist ein Open-Source-Tool für die forensische Netzwerkanalyse. Es wird verwendet, um nützliche Daten aus Anwendungen zu extrahieren, die Internet- und Netzwerkprotokolle verwenden. Es unterstützt die meisten gängigen Protokolle wie HTTP, IMAP, POP, SMTP, SIP, TCP, UDP und andere. Die Ausgabedaten des Tools werden in einer SQLite-Datenbank oder MySQL-Datenbank gespeichert. Außerdem unterstützt es sowohl IPv4 als auch IPv6.
Lesen Sie hier mehr über dieses Tool.
Mobile Geräteforensik
Mobile Geräte werden zur Hauptmethode, mit der viele Menschen auf das Internet zugreifen. Einige Forensik-Tools haben einen speziellen Fokus auf die Analyse mobiler Geräte.
Oxygen Forensic Detective
Oxygen Forensic Detective konzentriert sich auf mobile Geräte, ist aber in der Lage, Daten von einer Reihe verschiedener Plattformen zu extrahieren, darunter Mobilgeräte, IoT, Cloud-Dienste, Drohnen, Medienkarten, Backups und Desktop-Plattformen. Es nutzt physikalische Methoden zur Umgehung der Gerätesicherheit (z. B. Bildschirmsperre) und sammelt Authentifizierungsdaten für eine Reihe verschiedener mobiler Anwendungen. Oxygen ist ein kommerzielles Produkt, das als USB-Dongle vertrieben wird.
Mehr Informationen hier.
Cellebrite UFED
Cellebrite bietet eine Reihe kommerzieller digitaler Forensik-Tools an, aber sein Cellebrite UFED erhebt den Anspruch, der Industriestandard für den Zugriff auf digitale Daten zu sein. Das Hauptangebot von UFED konzentriert sich auf mobile Geräte, aber die allgemeine UFED-Produktlinie zielt auf eine Reihe von Geräten, einschließlich Drohnen, SIM- und SD-Karten, GPS, Cloud und mehr. Die UFED-Plattform behauptet, exklusive Methoden zu verwenden, um die Datenextraktion aus mobilen Geräten zu maximieren.
Mehr Informationen hier.
XRY
XRY ist eine Sammlung verschiedener kommerzieller Tools für die Forensik von mobilen Geräten. XRY Logical ist eine Suite von Tools, die sich mit dem Betriebssystem des mobilen Geräts verbinden und die gewünschten Daten extrahieren. XRY Physical hingegen nutzt physikalische Wiederherstellungstechniken, um das Betriebssystem zu umgehen und ermöglicht so die Analyse von gesperrten Geräten.
Lesen Sie hier mehr über XRY.
Linux-Distributionen
Viele der hier beschriebenen Tools sind frei und Open-Source. Es wurden mehrere Linux-Distributionen entwickelt, die diese freien Tools zusammenfassen, um ein All-in-One-Toolkit für forensische Ermittler bereitzustellen.
CAINE
CAINE (Computer Aided Investigative Environment) ist die Linux-Distribution, die für die digitale Forensik entwickelt wurde. Sie bietet eine Umgebung, um vorhandene Software-Tools als Software-Module benutzerfreundlich zu integrieren. Dieses Tool ist Open-Source.
Lesen Sie hier mehr darüber.
SANS SIFT
SIFT ist eine weitere Open-Source-Linux-Virtual-Machine, die freie Tools für die digitale Forensik zusammenfasst. Diese Plattform wurde vom SANS Institute entwickelt und ihre Verwendung wird in einer Reihe von Kursen gelehrt.
Lesen Sie hier mehr.
HELIX3
HELIX3 ist eine Live-CD-basierte digitale Forensik-Suite, die für den Einsatz bei der Reaktion auf Vorfälle entwickelt wurde. Sie enthält viele Open-Source-Tools für die digitale Forensik, darunter Hex-Editoren, Data-Carving- und Passwort-Cracking-Tools. Wenn Sie die kostenlose Version wünschen, können Sie Helix3 2009R1 verwenden. Nach dieser Version wurde das Projekt von einem kommerziellen Anbieter übernommen. Sie müssen also für die neueste Version des Tools bezahlen.
Dieses Tool kann Daten aus dem physischen Speicher, Netzwerkverbindungen, Benutzerkonten, ausführenden Prozessen und Diensten, geplanten Jobs, der Windows-Registrierung, Chat-Protokollen, Bildschirmaufnahmen, SAM-Dateien, Anwendungen, Treibern, Umgebungsvariablen und dem Internetverlauf sammeln. Dann analysiert und prüft es die Daten, um die zusammengestellten Ergebnisse anhand von Berichten zu generieren.
Helix3 2008R1 kann hier heruntergeladen werden.
Die Enterprise-Version ist hier erhältlich.
Fazit
Digitale Forensik ist eine Spezialisierung, die ständig gefragt ist. Da die Zahl der Cyberangriffe und Datenschutzverletzungen zunimmt und die regulatorischen Anforderungen strenger werden, benötigen Unternehmen die Fähigkeit, den Umfang und die Auswirkungen eines potenziellen Vorfalls zu bestimmen.
Die in dieser Liste aufgeführten Tools sind einige der gängigsten Werkzeuge und Plattformen, die für forensische Analysen verwendet werden. In vielen Fällen haben diese Tools eine ähnliche Funktionalität, so dass die Wahl zwischen ihnen hauptsächlich von den Kosten und den persönlichen Vorlieben abhängt. Zusätzlich gibt es noch eine Vielzahl anderer Tools.
Ein guter Ausgangspunkt für das Ausprobieren von Tools für die digitale Forensik ist die Erkundung einer der am Ende dieses Artikels genannten Linux-Plattformen. Auf diesen Plattformen ist eine Reihe kostenloser Tools installiert und konfiguriert, so dass es möglich ist, die verschiedenen Optionen ohne nennenswerte Investitionen in Lizenzgebühren oder Einrichtungszeit auszuprobieren.