Inleiding
Computers zijn een vitale bron van forensisch bewijsmateriaal voor een groeiend aantal misdrijven. Hoewel cybercriminaliteit de afgelopen jaren gestaag is toegenomen, maken ook traditionele criminelen gebruik van computers als onderdeel van hun activiteiten. De mogelijkheid om op betrouwbare wijze forensische informatie uit deze machines te halen, kan van vitaal belang zijn bij het vangen en vervolgen van deze criminelen.
Computer forensics tools zijn ontworpen om ervoor te zorgen dat de informatie die uit computers wordt gehaald, nauwkeurig en betrouwbaar is. Vanwege de grote verscheidenheid aan verschillende soorten bewijsmateriaal op computerbasis bestaan er een aantal verschillende soorten forensische computerhulpmiddelen, waaronder:
- Hulpmiddelen voor het vastleggen van schijven en gegevens
- Bestandsviewers
- Bestand analyse tools
- Registry analyse tools
- Internet analyse tools
- Email analyse tools
- Mobiele apparaten analyse tools
- Network forensics tools
- Database forensics tools
Binnen elke categorie, bestaan een aantal verschillende tools. Deze lijst bevat een aantal van de meest gebruikte forensische computerhulpmiddelen.
Hulpmiddelen voor schijf- en gegevensvastlegging
Forensische hulpmiddelen voor schijf- en gegevensvastlegging richten zich op de analyse van een systeem en het extraheren van potentiële forensische artefacten, zoals bestanden, e-mails, enzovoort. Dit is een kernonderdeel van het computer forensisch proces en de focus van veel forensische tools.
Autopsy/The Sleuth Kit
Autopsy en The Sleuth Kit zijn waarschijnlijk de meest bekende en populaire forensische tools die er bestaan. Deze programma’s zijn ontworpen om schijf-images te analyseren, diepgaande analyses van bestandssystemen uit te voeren en ze bevatten een grote verscheidenheid aan andere functies. Hierdoor bevatten ze functionaliteit uit veel van de hierboven genoemde forensische gereedschapscategorieën en zijn ze een goed startpunt voor een forensisch computeronderzoek.
Autopsy en The Sleuth Kit zijn beschikbaar voor zowel Unix als Windows en kunnen hier worden gedownload.
X-Ways Forensics
X-Ways Forensics is een commercieel digitaal forensisch platform voor Windows. Het bedrijf biedt ook een meer uitgeklede versie van het platform, genaamd X-Ways Investigator.
Een belangrijk verkoopargument van het platform is dat het is ontworpen om zuinig met bronnen om te gaan en in staat is om vanaf een USB-stick te werken. Desondanks beschikt het over een indrukwekkende reeks functies, die hier op de website worden genoemd.
AccessData FTK
AccessData Forensics Toolkit (FTK) is een commercieel digitaal forensisch platform dat opschept over zijn analysesnelheid. Het claimt het enige forensisch platform te zijn dat volledig gebruik maakt van multi-core computers. Bovendien indexeert FTK vooraf, waardoor latere analyse van verzamelde forensische artefacten wordt versneld.
Lees hier meer.
EnCase
EnCase is een commercieel forensisch platform. Het biedt ondersteuning voor het verzamelen van bewijsmateriaal van meer dan vijfentwintig verschillende soorten apparaten, waaronder desktops, mobiele apparaten en GPS. Binnen de tool kan een forensisch onderzoeker de verzamelde gegevens inspecteren en een breed scala aan rapporten genereren op basis van vooraf gedefinieerde sjablonen.
Lees hier meer over EnCase.
Mandiant RedLine
Mandiant RedLine is een populair hulpmiddel voor geheugen- en bestandsanalyse. Het verzamelt informatie over draaiende processen op een host, drivers uit het geheugen en verzamelt andere gegevens zoals meta data, register data, taken, services, netwerk informatie en internet geschiedenis om een goed rapport op te bouwen.
Lees meer hier.
Paraben Suite
De Paraben Corporation biedt een aantal forensische tools met een scala aan verschillende licentie-opties. Paraben heeft mogelijkheden in:
- Desktop forensics
- Email forensics
- Smartphone analyse
- Cloud analyse
- IoT forensics
- Triage en visualisatie
Het E3:Universal biedt alles-in-een toegang, de E3:DS richt zich op mobiele apparaten en andere licentie-opties breken computer forensisch onderzoek, e-mail forensisch onderzoek en visualisatie functionaliteit uit.
Lees hier meer.
Bulk Extractor
Bulk Extractor is ook een belangrijk en populair digitaal forensisch hulpmiddel. Het scant de disk images, het bestand of de directory van bestanden om bruikbare informatie te extraheren. In dit proces, negeert het de bestandssysteem structuur, dus het is sneller dan andere beschikbare soortgelijke soorten tools. Het wordt voornamelijk gebruikt door inlichtingendiensten en wetshandhavingsinstanties bij het oplossen van cybermisdaden.
Huidig is de laatste versie van de software, hier beschikbaar, niet meer bijgewerkt sinds 2014. Er wordt momenteel echter gewerkt aan een versie 2.0 met een onbekende releasedatum. Deze is hier te vinden.
Registeranalyse
Het Windows-register dient als database met configuratie-informatie voor het OS en de toepassingen die erop draaien. Daarom kan het veel nuttige informatie bevatten die wordt gebruikt bij forensische analyse.
Registry Recon
Registry Recon is een populair commercieel hulpprogramma voor registeranalyse. Het haalt de registerinformatie uit het bewijsmateriaal en bouwt vervolgens de registerweergave opnieuw op. Het kan registers herbouwen van zowel huidige als eerdere Windows-installaties.
Lees er hier meer over.
Geheugen forensisch
Analyse van het bestandssysteem mist het vluchtige geheugen van het systeem (d.w.z. RAM). Sommige forensische tools richten zich op het vastleggen van de informatie die hier is opgeslagen.
Volatility
Volatility is het geheugenforensische raamwerk. Het wordt gebruikt voor incident response en malware analyse. Met deze tool kun je informatie extraheren uit draaiende processen, netwerk sockets, netwerk verbindingen, DLL’s en registry hives. Het heeft ook ondersteuning voor het extraheren van informatie uit Windows crash dump bestanden en hibernation bestanden. Deze tool is gratis beschikbaar onder GPL licentie.
Lees hier meer over de tool.
WindowsSCOPE
WindowsSCOPE is een commerciële geheugen forensische en reverse engineering tool die wordt gebruikt voor het analyseren van vluchtig geheugen. Het wordt voornamelijk gebruikt voor reverse engineering van malware. Het biedt de mogelijkheid om de Windows kernel, drivers, DLL’s en virtueel en fysiek geheugen te analyseren.
Lees hier meer.
Netwerkanalyse
De meeste cyberaanvallen vinden plaats via het netwerk, en het netwerk kan een nuttige bron van forensische gegevens zijn. Met deze tools kan een forensisch onderzoeker effectief netwerkverkeer analyseren.
Wireshark
Wireshark is de meest gebruikte analysetool voor netwerkverkeer die er bestaat. Het heeft de mogelijkheid om live verkeer vast te leggen of een opgeslagen vastleggingsbestand op te nemen. Wireshark’s talrijke protocol dissectors en gebruikersvriendelijke interface maken het gemakkelijk om de inhoud van een verkeers capture te inspecteren en te zoeken naar forensisch bewijsmateriaal.
Lees hier meer.
Network Miner
Network Miner is een netwerkverkeer analysetool met zowel gratis als commerciële opties. Hoewel veel van de premium functies gratis beschikbaar zijn met Wireshark, kan de gratis versie een nuttig hulpmiddel zijn bij forensisch onderzoek. Het organiseert informatie op een andere manier dan Wireshark en haalt automatisch bepaalde typen bestanden uit een verkeersopname.
Lees hier meer.
Xplico
Xplico is een open-source netwerk forensische analyse tool. Het wordt gebruikt om nuttige gegevens te extraheren uit toepassingen die gebruik maken van internet- en netwerkprotocollen. Het ondersteunt de meeste populaire protocollen, waaronder HTTP, IMAP, POP, SMTP, SIP, TCP, UDP, TCP en anderen. De uitvoergegevens van de tool worden opgeslagen in een SQLite database of MySQL database. Het ondersteunt ook zowel IPv4 als IPv6.
Lees hier meer over deze tool.
Mobile device forensics
Mobiele apparaten worden de belangrijkste methode waarmee veel mensen toegang krijgen tot het internet. Sommige forensische tools zijn speciaal gericht op de analyse van mobiele apparaten.
Oxygen Forensic Detective
Oxygen Forensic Detective richt zich op mobiele apparaten, maar kan gegevens extraheren van een aantal verschillende platforms, waaronder mobiel, IoT, cloud-diensten, drones, mediakaarten, back-ups en desktopplatforms. Het maakt gebruik van fysieke methoden om apparaatbeveiliging te omzeilen (zoals schermvergrendeling) en verzamelt authenticatiegegevens voor een aantal verschillende mobiele toepassingen. Oxygen is een commercieel product dat wordt gedistribueerd als een USB-dongle.
Meer informatie hier.
Cellebrite UFED
Cellebrite biedt een aantal commerciële digitale forensische tools, maar zijn Cellebrite UFED claimt de industriestandaard te zijn voor toegang tot digitale gegevens. Het belangrijkste UFED-aanbod richt zich op mobiele apparaten, maar de algemene UFED-productlijn richt zich op een reeks apparaten, waaronder drones, SIM- en SD-kaarten, GPS, cloud en meer. Het UFED-platform beweert exclusieve methoden te gebruiken om data-extractie uit mobiele apparaten te maximaliseren.
Meer informatie hier.
XRY
XRY is een verzameling van verschillende commerciële tools voor forensisch onderzoek van mobiele apparaten. XRY Logical is een suite van tools die zijn ontworpen om een interface te maken met het besturingssysteem van het mobiele apparaat en de gewenste gegevens te extraheren. XRY Physical daarentegen maakt gebruik van fysieke hersteltechnieken om het besturingssysteem te omzeilen, waardoor analyse van vergrendelde apparaten mogelijk wordt.
Lees hier meer over XRY.
Linux-distro’s
Veel van de hier beschreven tools zijn vrij en open-source. Er zijn verschillende Linux-distributies gemaakt die deze gratis tools samenvoegen tot een alles-in-één toolkit voor forensisch onderzoekers.
CAINE
CAINE (Computer Aided Investigative Environment) is de Linux-distro die is gemaakt voor digitaal forensisch onderzoek. Het biedt een omgeving om bestaande software tools te integreren als software modules op een gebruikersvriendelijke manier. Deze tool is open-source.
Lees er hier meer over.
SANS SIFT
SIFT is een andere open-source Linux virtuele machine die gratis digitale forensische tools samenbrengt. Dit platform is ontwikkeld door het SANS Institute en het gebruik ervan wordt onderwezen in een aantal van hun cursussen.
Lees meer hier.
HELIX3
HELIX3 is een live CD-gebaseerde digitale forensische suite die is gemaakt om te worden gebruikt bij incident response. Het wordt geleverd met veel open-source digitale forensische tools, waaronder hex editors, data carving en password-cracking tools. Als u de gratis versie wilt, kunt u terecht voor Helix3 2009R1. Na deze release werd dit project overgenomen door een commerciële verkoper. Je moet dus betalen voor de meest recente versie van de tool.
Deze tool kan gegevens verzamelen uit het fysieke geheugen, netwerkverbindingen, gebruikersaccounts, uitvoerende processen en services, geplande taken, Windows Register, chat logs, screen captures, SAM bestanden, applicaties, stuurprogramma’s, omgevingsvariabelen en internet geschiedenis. Vervolgens analyseert en beoordeelt het de gegevens om de samengestelde resultaten op basis van rapporten te genereren.
Helix3 2008R1 kan hier worden gedownload.
De enterprise-versie is hier beschikbaar.
Conclusie
Digitaal forensisch onderzoek is een specialisatie waar voortdurend vraag naar is. Naarmate het aantal cyberaanvallen en datalekken toeneemt en de regelgeving strenger wordt, hebben organisaties de mogelijkheid nodig om de omvang en impact van een potentieel incident te bepalen.
De tools in deze lijst behoren tot de populairdere tools en platforms die worden gebruikt voor forensische analyse. In veel gevallen hebben deze tools vergelijkbare functionaliteit, dus de keuze tussen deze tools hangt vooral af van de kosten en persoonlijke voorkeur.
Een goed startpunt voor het uitproberen van digitale forensische tools is het verkennen van een van de Linux platforms die aan het eind van dit artikel worden genoemd. Op deze platforms is een reeks gratis tools geïnstalleerd en geconfigureerd, waardoor het mogelijk is de verschillende opties uit te proberen zonder een aanzienlijke investering in licentiekosten of installatietijd.