Wprowadzenie
Komputery są istotnym źródłem dowodów kryminalistycznych dla rosnącej liczby przestępstw. Chociaż w ostatnich latach cyberprzestępczość stale rośnie, nawet tradycyjni przestępcy wykorzystują komputery w swoich działaniach. Zdolność do wiarygodnego pozyskiwania informacji kryminalistycznych z tych maszyn może być kluczowa dla schwytania i ścigania tych przestępców.
Narzędzia informatyki śledczej są zaprojektowane w celu zapewnienia, że informacje pozyskiwane z komputerów są dokładne i wiarygodne. Ze względu na szeroką gamę różnych rodzajów dowodów opartych na komputerach, istnieje wiele różnych rodzajów narzędzi informatyki śledczej, w tym:
- Narzędzia do przechwytywania dysków i danych
- Przeglądarki plików
- Narzędzia do analizy plików
- Narzędzia do analizy rejestru
- Narzędzia do analizy Internetu narzędzia
- Narzędzia do analizy poczty elektronicznej
- Narzędzia do analizy urządzeń mobilnych
- Narzędzia do analizy kryminalistycznej sieci
- Narzędzia do analizy kryminalistycznej baz danych
iv
W ramach każdej kategorii, istnieje wiele różnych narzędzi. Ta lista przedstawia niektóre z najczęściej używanych narzędzi informatyki śledczej.
Narzędzia do przechwytywania dysków i danych
Forensyczne narzędzia do przechwytywania dysków i danych koncentrują się na analizie systemu i wyodrębnianiu potencjalnych artefaktów kryminalistycznych, takich jak pliki, wiadomości e-mail i tak dalej. Jest to podstawowa część procesu informatyki śledczej i punkt ciężkości wielu narzędzi kryminalistycznych.
Autopsy/The Sleuth Kit
Autopsy i The Sleuth Kit są prawdopodobnie najbardziej znanymi i popularnymi narzędziami kryminalistycznymi w istnieniu. Narzędzia te zostały zaprojektowane do analizowania obrazów dysków, przeprowadzania dogłębnej analizy systemów plików i zawierają wiele innych funkcji. W rezultacie, zawierają one funkcjonalność z wielu kategorii narzędzi kryminalistycznych wymienionych powyżej i są dobrym punktem wyjścia dla śledztw z zakresu informatyki śledczej.
Autopsy i The Sleuth Kit są dostępne zarówno dla systemów Unix jak i Windows i można je pobrać tutaj.
X-Ways Forensics
X-Ways Forensics jest komercyjną platformą cyfrowej informatyki śledczej dla Windows. Firma oferuje również bardziej okrojoną wersję tej platformy o nazwie X-Ways Investigator.
Główną zaletą platformy jest to, że została zaprojektowana tak, aby była zasobooszczędna i zdolna do pracy z pamięci USB. Pomimo tego, może się ona pochwalić imponującym wachlarzem funkcji, które są wymienione na jej stronie internetowej tutaj.
AccessData FTK
AccessData Forensics Toolkit (FTK) jest komercyjną platformą cyfrowego kryminalistyki, która chwali się swoją szybkością analizy. Twierdzi, że jest to jedyna platforma kryminalistyczna, która w pełni wykorzystuje komputery wielordzeniowe. Dodatkowo, FTK wykonuje indeksowanie z góry, co przyspiesza późniejszą analizę zebranych artefaktów.
Czytaj więcej tutaj.
EnCase
EnCase jest komercyjną platformą kryminalistyczną. Oferuje wsparcie dla zbierania dowodów z ponad dwudziestu pięciu różnych typów urządzeń, w tym komputerów stacjonarnych, urządzeń mobilnych i GPS. W ramach narzędzia, śledczy może przeglądać zebrane dane i generować szeroki zakres raportów w oparciu o predefiniowane szablony.
Czytaj więcej o EnCase tutaj.
Mandiant RedLine
Mandiant RedLine jest popularnym narzędziem do analizy pamięci i plików. Zbiera informacje o uruchomionych procesach na hoście, sterownikach z pamięci i gromadzi inne dane, takie jak metadane, dane rejestru, zadania, usługi, informacje o sieci i historię Internetu, aby zbudować odpowiedni raport.
Czytaj więcej tutaj.
Paraben Suite
Korporacja Paraben oferuje szereg narzędzi forensics z różnymi opcjami licencjonowania. Paraben posiada możliwości w zakresie:
- Desktop forensics
- Email forensics
- Analiza smartfonów
- Analiza chmury
- IoT forensics
- Triage and visualization
Oferta E3:Universal zapewnia dostęp typu „wszystko w jednym”, E3:DS koncentruje się na urządzeniach mobilnych, a inne opcje licencyjne pozwalają wyodrębnić informatykę śledczą, informatykę śledczą poczty elektronicznej i funkcje wizualizacji.
Czytaj więcej tutaj.
Bulk Extractor
Bulk Extractor jest również ważnym i popularnym narzędziem cyfrowego kryminalistyki. Skanuje on obrazy dysków, pliki lub katalogi plików w celu wydobycia użytecznych informacji. W tym procesie, ignoruje strukturę systemu plików, więc jest szybszy niż inne dostępne podobne rodzaje narzędzi. Jest on zasadniczo używany przez wywiad i organy ścigania w rozwiązywaniu cyberprzestępstw.
Obecnie najnowsza wersja oprogramowania, dostępna tutaj, nie była aktualizowana od 2014 roku. Jednak obecnie trwają prace nad wersją 2.0, której data wydania nie jest znana. Można ją znaleźć tutaj.
Analiza rejestru
Rejestr systemu Windows służy jako baza informacji konfiguracyjnych dla systemu operacyjnego i działających na nim aplikacji. Z tego powodu może zawierać wiele użytecznych informacji wykorzystywanych w analizie kryminalistycznej.
Registry Recon
Registry Recon to popularne komercyjne narzędzie do analizy rejestru. Wyodrębnia ono informacje rejestru z materiału dowodowego, a następnie odbudowuje reprezentację rejestru. Może odbudowywać rejestry zarówno z bieżących, jak i poprzednich instalacji systemu Windows.
Więcej informacji na ten temat można znaleźć tutaj.
Śledzenie pamięci
Analiza systemu plików omija pamięć lotną systemu (tj. pamięć RAM). Niektóre narzędzia kryminalistyczne koncentrują się na przechwytywaniu informacji przechowywanych w tym miejscu.
Wolność
Wolność jest ramą kryminalistyki pamięci. Jest on używany do reagowania na incydenty i analizy złośliwego oprogramowania. Dzięki temu narzędziu można wydobyć informacje z uruchomionych procesów, gniazd sieciowych, połączeń sieciowych, bibliotek DLL i węzłów rejestru. Posiada również wsparcie dla wyodrębniania informacji z plików zrzutu awaryjnego systemu Windows i plików hibernacji. Narzędzie to jest dostępne za darmo na licencji GPL.
Przeczytaj więcej o tym narzędziu tutaj.
WindowsSCOPE
WindowsSCOPE jest komercyjnym narzędziem do analizy pamięci i inżynierii wstecznej używanym do analizy pamięci lotnej. Jest ono zasadniczo używane do inżynierii wstecznej złośliwego oprogramowania. Zapewnia możliwość analizy jądra systemu Windows, sterowników, bibliotek DLL oraz pamięci wirtualnej i fizycznej.
Czytaj więcej tutaj.
Analiza sieci
Większość cyberataków ma miejsce przez sieć, a sieć może być użytecznym źródłem danych kryminalistycznych. Te narzędzia umożliwiają śledczym skuteczną analizę ruchu sieciowego.
Wireshark
Wireshark jest najczęściej używanym narzędziem do analizy ruchu sieciowego. Ma możliwość przechwytywania ruchu na żywo lub zapisywania plików z przechwyconymi danymi. Liczne dissektory protokołów i przyjazny dla użytkownika interfejs Wiresharka ułatwiają przeglądanie zawartości zrzutu ruchu i wyszukiwanie w nim dowodów kryminalistycznych.
Czytaj więcej tutaj.
Network Miner
Network Miner jest narzędziem do analizy ruchu sieciowego z opcjami zarówno darmowymi, jak i komercyjnymi. Podczas gdy wiele funkcji premium jest dostępnych za darmo w Wiresharku, wersja darmowa może być pomocnym narzędziem w śledztwach kryminalistycznych. Organizuje ona informacje w inny sposób niż Wireshark i automatycznie wyodrębnia określone typy plików z przechwyconego ruchu sieciowego.
Czytaj więcej tutaj.
Xplico
Xplico jest narzędziem open-source do analizy kryminalistycznej sieci. Służy do wydobywania użytecznych danych z aplikacji, które korzystają z protokołów internetowych i sieciowych. Obsługuje większość popularnych protokołów, w tym HTTP, IMAP, POP, SMTP, SIP, TCP, UDP, TCP i inne. Dane wyjściowe narzędzia zapisywane są w bazie danych SQLite lub MySQL. Obsługuje zarówno IPv4, jak i IPv6.
Więcej o tym narzędziu tutaj.
Mobile device forensics
Urządzenia mobilne stają się główną metodą, za pomocą której wiele osób uzyskuje dostęp do Internetu. Niektóre narzędzia kryminalistyczne skupiają się na analizie urządzeń mobilnych.
Oxygen Forensic Detective
Oxygen Forensic Detective skupia się na urządzeniach mobilnych, ale jest w stanie wydobyć dane z wielu różnych platform, w tym mobilnych, IoT, usług w chmurze, dronów, kart multimedialnych, kopii zapasowych i platform desktopowych. Wykorzystuje metody fizyczne do obejścia zabezpieczeń urządzenia (takich jak blokada ekranu) i zbiera dane uwierzytelniające dla wielu różnych aplikacji mobilnych. Oxygen jest produktem komercyjnym rozprowadzanym jako klucz USB.
Więcej informacji tutaj.
Cellebrite UFED
Cellebrite oferuje szereg komercyjnych narzędzi do cyfrowego kryminalistyki, ale jej Cellebrite UFED twierdzi, że jest standardem branżowym w zakresie dostępu do danych cyfrowych. Główna oferta UFED koncentruje się na urządzeniach mobilnych, ale ogólna linia produktów UFED jest skierowana do wielu urządzeń, w tym dronów, kart SIM i SD, GPS, chmury i innych. Platforma UFED twierdzi, że wykorzystuje ekskluzywne metody, aby zmaksymalizować ekstrakcję danych z urządzeń mobilnych.
Więcej informacji tutaj.
XRY
XRY to zbiór różnych komercyjnych narzędzi do analizy śledczej urządzeń mobilnych. XRY Logical to zestaw narzędzi zaprojektowanych do współpracy z systemem operacyjnym urządzenia mobilnego i ekstrakcji pożądanych danych. XRY Physical, z drugiej strony, wykorzystuje techniki fizycznego odzyskiwania danych, aby ominąć system operacyjny, umożliwiając analizę zablokowanych urządzeń.
Czytaj więcej o XRY tutaj.
Dystrybucje Linuksa
Wiele z opisanych tutaj narzędzi jest darmowych i open-source. Stworzono kilka dystrybucji Linuksa, które łączą te darmowe narzędzia w jeden zestaw narzędzi dla śledczych.
CAINE
CAINE (Computer Aided Investigative Environment) to dystrybucja Linuksa stworzona dla cyfrowego kryminalistyki. Oferuje środowisko do integracji istniejących narzędzi programowych jako modułów oprogramowania w sposób przyjazny dla użytkownika. Narzędzie to jest open-source.
Więcej na jego temat można przeczytać tutaj.
SANS SIFT
SIFT jest kolejną linuksową maszyną wirtualną o otwartym kodzie źródłowym, która agreguje darmowe narzędzia digital forensics. Platforma ta została stworzona przez SANS Institute, a jej użycie jest wykładane na wielu ich kursach.
Czytaj więcej tutaj.
HELIX3
HELIX3 jest opartym na żywej płycie CD cyfrowym pakietem kryminalistycznym stworzonym do użycia w odpowiedzi na incydenty. Zawiera wiele narzędzi z otwartym kodem źródłowym, w tym edytory heksów, narzędzia do rzeźbienia danych i łamania haseł. Jeśli chcesz skorzystać z wersji darmowej, możesz wybrać Helix3 2009R1. Po tym wydaniu, projekt ten został przejęty przez komercyjnego dostawcę. Musisz więc zapłacić za najnowszą wersję tego narzędzia.
Narzędzie to potrafi zbierać dane z pamięci fizycznej, połączeń sieciowych, kont użytkowników, wykonywanych procesów i usług, zaplanowanych zadań, rejestru Windows, logów czatu, zrzutów ekranu, plików SAM, aplikacji, sterowników, zmiennych środowiskowych i historii Internetu. Następnie analizuje i przegląda dane, aby wygenerować skompilowane wyniki w oparciu o raporty.
Helix3 2008R1 można pobrać tutaj.
Wersja enterprise jest dostępna tutaj.
Podsumowanie
Digital forensics jest specjalizacją, na którą jest ciągłe zapotrzebowanie. Wraz ze wzrostem liczby cyberataków i naruszeń danych oraz zaostrzeniem wymogów prawnych, organizacje potrzebują możliwości określenia zakresu i wpływu potencjalnego incydentu.
Narzędzia zawarte w tym zestawieniu to jedne z bardziej popularnych narzędzi i platform wykorzystywanych do analizy kryminalistycznej. W wielu przypadkach narzędzia te mają podobną funkcjonalność, więc wybór pomiędzy nimi zależy głównie od kosztów i osobistych preferencji. Dodatkowo, dostępna jest również szeroka gama innych narzędzi.
Dobrym punktem wyjścia do wypróbowania narzędzi cyfrowej kryminalistyki jest poznanie jednej z platform linuksowych wymienionych na końcu tego artykułu. Platformy te mają zainstalowany i skonfigurowany szereg darmowych narzędzi, co pozwala na wypróbowanie różnych opcji bez znaczących inwestycji w opłaty licencyjne lub czas konfiguracji.