Investigação forense digital
Aqui estão 20 das melhores ferramentas gratuitas que o ajudarão a realizar uma investigação forense digital. Quer se trate de um caso de recursos humanos internos, uma investigação sobre o acesso não autorizado a um servidor, ou se você quiser apenas aprender uma nova habilidade, essas suítes e utilitários irão ajudá-lo a realizar análise forense de memória, análise forense de disco rígido, exploração de imagens forenses, Imagens forenses e forenses móveis. Como tal, todos eles oferecem a capacidade de trazer informações detalhadas sobre o que está "sob o capô" de um sistema.
Esta não é uma lista extensa e pode não abranger tudo o que você precisa para sua investigação. Você também pode precisar de utilitários adicionais como visualizadores de arquivos, geradores de hash e editores de texto - check-out 101 Ferramentas de administração gratuitas para alguns desses.
Meus artigos nas 10 principais ferramentas gratuitas de solução de problemas para SysAdmins , as 20 principais ferramentas gratuitas de monitoramento e análise de rede para administradores de sistema e as 20 principais ferramentas de gerenciamento de arquivos gratuitas para administradores de sistema também podem ser úteis, pois elas contém um monte de ferramentas que podem ser usadas para digital Investigações forenses (por exemplo, BackTrack e o SysInternals Suite ou o NirSoft Suite of tools).
Mesmo se você já tenha ouvido algumas dessas ferramentas, estou confiante de que você encontrará uma ou duas jóias entre essa lista.
01 SANS SIFT
O SANS Investigative Forensic Toolkit (SIFT) é um Live CD baseado no Ubuntu, que inclui todas as ferramentas que você precisa para realizar uma investigação aprofundada de forense ou incidente. Ele apóia a análise dos formatos de prova Expert Witness Format (E01), Advanced Forensic Format (AFF) e RAW (dd). O EIFT inclui ferramentas como log2timeline para gerar uma linha de tempo de registros do sistema, Scalpel para escultura de arquivos de dados, Rifiuti para examinar a lixeira e muito mais.
Quando você inicializa no ambiente SIFT, sugiro que você explore a documentação na área de trabalho para ajudá-lo a se acostumar com as ferramentas disponíveis e como usá-las. Há também uma boa explicação sobre a localização de evidências em um sistema. Use a barra de menu superior para abrir uma ferramenta ou lança-a manualmente a partir de uma janela de terminal.
02 ProDiscover Basic
O ProDiscover Basic é uma simples ferramenta de investigação forense digital que permite que você visualize, analise e relate as evidências encontradas em uma unidade. Depois de adicionar uma imagem forense, você pode visualizar os dados por conteúdo ou analisando os clusters que possuem os dados. Você também pode procurar dados usando o nó Pesquisar com base nos critérios que você especificou.
Quando você inicia o ProDiscover Basic, primeiro você precisa criar ou carregar um projeto e adicionar evidências do nó 'Adicionar'. Em seguida, você pode usar os nós "Exibir Conteúdo" ou "Exibição de Cluster" para analisar os dados e o menu Ferramentas para executar ações contra os dados. Clique no nó 'Relatório' para ver informações importantes sobre o projeto.
03 Volatilidade
A volatilidade é uma estrutura forense de memória para análise de resposta a incidentes e malware que permite extrair artefatos digitais de despejos de memória volátil (RAM). Usando a volatilidade, você pode extrair informações sobre processos em execução, abrir sockets de rede e conexões de rede, DLLs carregadas para cada processo, colméias de registro em cache, IDs de processo e muito mais.
Se você estiver usando a versão executável independente do Windows de Volatilidade, basta colocar a volatilidade-2.1.standalone.exe em uma pasta e abrir uma janela do prompt de comando. No prompt de comando, navegue até a localização do arquivo executável e digite "volatility-2.1.standalone.exe -f -profile = " sem aspas - FILENAME seria o nome do despejo da memória Arquivo que você deseja analisar, PROFILENAME seria a máquina em que o despejo de memória foi ativado e o PLUGINNAME seria o nome do plugin que deseja usar para extrair informações.
Nota: No exemplo acima, estou usando o plugin 'connscan' para pesquisar o despejo de memória física para informações de conexão TCP.
04 O Sleuth Kit (+ Autopsia)
O Sleuth Kit é um kit de ferramentas de forense digital de código aberto que pode ser usado para realizar análises aprofundadas de vários sistemas de arquivos. A autópsia é essencialmente uma GUI que fica no topo do The Sleuth Kit. Ele vem com recursos como Análise da Linha do Tempo, Filtragem de Hash, Análise do Sistema de Arquivos e Busca por palavras-chave, além de poder adicionar outros módulos para funcionalidades estendidas.
Nota: Você pode usar The Sleuth Kit se você estiver executando uma caixa Linux e Autopsy se você estiver executando uma caixa do Windows.
Quando você inicia o Autopsy, você pode escolher criar um novo caso ou carregar um existente. Se você optar por criar um novo caso, você precisará carregar uma imagem forense ou um disco local para iniciar sua análise. Uma vez que o processo de análise esteja completo, use os nós no painel esquerdo para escolher quais os resultados a serem exibidos.
05 FTK Imager
O FTK Imager é uma ferramenta de visualização e imagem de dados que permite examinar arquivos e pastas em discos rígidos locais, unidades de rede, CDs / DVDs e revisar o conteúdo de imagens forenses ou de memória. Usando o FTK Imager, você também pode criar SHA1 ou MD5 hashes de arquivos, exportar arquivos e pastas de imagens forenses para o disco, revisar e recuperar arquivos que foram excluídos da Lixeira (desde que seus blocos de dados não tenham sido substituídos) e montar Uma imagem forense para visualizar seus conteúdos no Windows Explorer.
Nota: existe uma versão portátil do FTK Imager que permitirá que você o execute a partir de um disco USB.
Quando você inicia o FTK Imager, vá para 'Arquivo> Adicionar item de evidência ...' para carregar uma evidência para revisão. Para criar uma imagem forense, vá para 'Arquivo> Criar imagem do disco ...' e escolha a fonte que você deseja forensicamente a imagem.
06 Linux 'dd'
O dd vem por padrão na maioria das distribuições Linux disponíveis hoje (por exemplo, Ubuntu, Fedora). Esta ferramenta pode ser usada para várias tarefas forenses digitais, como, por exemplo, a limpeza forense de uma unidade (zero-out de uma unidade) e a criação de uma imagem em bruto de uma unidade.
Nota: dd é uma ferramenta muito poderosa que pode ter efeitos devastadores se não for usada com cuidado. Recomenda-se que você experimente em um ambiente seguro antes de usar esta ferramenta no mundo real.
Dica: uma versão modificada de dd está disponível em http://sourceforge.net/projects/dc3dd/ - dc3dd inclui recursos adicionais que foram adicionados especificamente para tarefas de aquisição forense digital.
Para usar dd, basta abrir uma janela de terminal e digitar dd seguido de um conjunto de parâmetros de comando (quais parâmetros de comando, obviamente, dependerão do que você deseja fazer). A sintaxe dd básica para a limpeza forense de uma unidade é:
Dd if = / dev / zero of = / dev / sdb1 bs = 1024
onde if = input file, of = output file, bs = tamanho do byte
onde if = input file, of = output file, bs = tamanho do byte
Nota: Substitua / dev / sdb1 pelo nome da unidade que deseja cancelar forçosamente e 1024 com o tamanho dos blocos de bytes que você deseja escrever.
A sintaxe dd básica para criar uma imagem forense de uma unidade é:
Dd if = / dev / sdb1 de = / home / andrew / newimage.dd bs = 512 conv = noerror, sync
Onde if = arquivo de entrada (ou neste caso, unidade), de = arquivo de saída, bs = tamanho do byte, conv = opções de conversão
Dica: para informações de uso adicionais, em uma janela de terminal, digite "homem dd" sem aspas para exibir o manual de ajuda para o comando dd.
07 CAINE
O CAINE (Computer Aided INvestigative Environment) é o Linux Live CD que contém uma grande quantidade de ferramentas forenses digitais. Os recursos incluem uma GUI amigável, criação de relatórios semi-automatizados e ferramentas para Forense Móvel, Forensics de Rede, Recuperação de Dados e muito mais.
Quando você inicializa no ambiente CAINE Linux, você pode iniciar as ferramentas forenses digitais da interface CAINE (atalho na área de trabalho) ou do atalho de cada ferramenta na pasta 'Ferramentas forenses' na barra de menus das aplicações.
08 Oxygen Forensic Suite 2013 Standard
Se você está investigando um caso que exige que você colete provas de um telefone celular para suportar seu caso, Oxygen Forensics Suite (Standard Edition) é uma ferramenta que o ajudará a alcançar isso. Os recursos incluem a capacidade de reunir informações do dispositivo (fabricante, plataforma de sistema operacional, IMEI, número de série, etc.), contatos, mensagens (e-mails, SMS, MMS, etc.) e recuperação de mensagens excluídas, registros de chamadas e informações de calendário e tarefa . Ele também vem com um navegador de arquivos que permite acessar e analisar fotos de usuários, vídeos, documentos e bases de dados de dispositivos.
Quando você inicia Oxygen Forensic Suite, aperte o botão 'Conectar o novo dispositivo' na barra de menu superior para iniciar o assistente do Oxygen Forensic Extractor que guia você selecionando o dispositivo e o tipo de informação que deseja extrair.
09 Free Hex Editor Neo
Free Hex Editor Neo é um editor hexadecimal básico que foi projetado para lidar com arquivos muito grandes. Enquanto muitos dos recursos adicionais são encontrados nas versões comerciais do Hex Editor Neo, acho que esta ferramenta é útil para carregar arquivos grandes (por exemplo, arquivos de banco de dados ou imagens forenses) e realizar ações como escultura de dados manual, edição de arquivos de baixo nível, Recolha de informações ou busca de dados ocultos.
Use 'Arquivo> Abrir' para carregar um arquivo no Hex Editor Neo. Os dados aparecerão na janela do meio onde você pode começar a navegar pelo hexágono manualmente ou pressionar CTRL + F para executar uma pesquisa.
10 Bulk Extractor
Bulk_extractor é uma ferramenta de informática forense que verifica uma imagem de disco, arquivo ou diretório de arquivos e extrai informações como números de cartão de crédito, domínios, endereços de e-mail, URLs e arquivos ZIP. A informação extraída é enviada para uma série de arquivos de texto (que podem ser revisados manualmente ou analisados usando outras ferramentas ou scripts forenses).
Dica: dentro dos arquivos de texto de saída, você encontrará entradas para dados que se assemelham a um número de cartão de crédito, endereço de e-mail, nome de domínio, etc. Você também verá um valor decimal na primeira coluna do arquivo de texto que, quando convertido em Hex, pode ser usado como ponteiro no disco onde a entrada foi encontrada (ou seja, se você estivesse analisando o disco manualmente usando um editor hexadecimal, por exemplo, você iria para este valor hexadecimal para visualizar os dados).
Bulk_extractor vem como uma ferramenta de linha de comando ou uma ferramenta GUI. No exemplo acima, configurei a ferramenta de extração em massa para extrair informações de uma imagem forense que tirei anteriormente e apresentei os resultados para uma pasta chamada "BE_Output". Os resultados podem então ser visualizados no Bulk Extractor Viewer e os arquivos de texto de saída mencionados acima.
11 DEFT
DEFT é outro CD do Linux Live, que contém algumas das mais populares ferramentas de forense de computador de código aberto disponíveis. Ele tem como objetivo ajudar os cenários de Invenção de Resposta, Cyber Intelligence e Computer Forensics. Entre outros, contém ferramentas para o Forensics Móvel, Network Forensics, Data Recovery e Hashing.
Quando você inicia usando DEFT, você é perguntado se deseja carregar o ambiente ao vivo ou instalar DEFT no disco. Se você carregar o ambiente ao vivo, você pode usar os atalhos na barra de menu do aplicativo para iniciar as ferramentas necessárias.
12 Xplico
Xplico é uma ferramenta de análise forense de rede de código aberto (NFAT) que visa extrair dados de aplicativos do tráfego da internet (por exemplo, o Xplico pode extrair uma mensagem de e-mail do tráfego POP, IMAP ou SMTP). Os recursos incluem suporte para uma infinidade de protocolos (por exemplo, HTTP, SIP, IMAP, TCP, UDP), reassembly TCP e a capacidade de enviar dados para um banco de dados MySQL ou SQLite, entre outros.
Depois de instalar o Xplico, acesse a interface da web navegando para http: // : 9876 e faça login com uma conta de usuário normal. A primeira coisa que você precisa fazer é criar um caso e adicionar uma nova sessão. Quando você cria uma nova sessão, você pode carregar um arquivo PCAP (adquirido pelo Wireshark, por exemplo) ou iniciar uma captura ao vivo. Uma vez que a sessão termine a decodificação, use o menu de navegação no lado esquerdo para ver os resultados.
13 LastActivityView
Eu toquei brevemente o LastActivityView ao apontar o conjunto de ferramentas NirSoft no meu artigo Top 10 Free System Troubleshooting Tools para SysAdmins . LastActivityView permite que você veja quais ações foram tomadas por um usuário e quais eventos ocorreram na máquina. Qualquer atividade, como executar um arquivo executável, abrir um arquivo / pasta do Explorer, uma falha no aplicativo ou sistema ou um usuário que execute uma instalação de software será registrado. As informações podem ser exportadas para um arquivo CSV / XML / HTML. Esta ferramenta é útil quando você precisa provar que um usuário (ou conta) realizou uma ação que ele ou ela disse que não.
Quando você inicia o LastActivityView, ele começará imediatamente a exibir uma lista de ações tomadas na máquina em que está sendo executado. Classifique por tempo de ação ou use o botão de pesquisa para começar a investigar quais ações foram tomadas na máquina.
14 DSi USB Write Blocker
DSi USB Write Blocker é um bloqueador de escrita baseado em software que impede o acesso de gravação a dispositivos USB. Isso é importante em uma investigação para evitar a modificação dos metadados ou timestamps e invalidar a evidência.
Quando você executa o DSi USB Write Blocker, ele traz uma janela que permite ativar ou desativar o bloqueador de gravação USB. Depois de fazer alterações e sair do aplicativo, você pode observar o status do ícone do cadeado na barra de tarefas. Ao realizar uma análise de uma unidade USB, ative o bloqueador de gravação USB primeiro e depois conecte a unidade USB.
Nota: Se você estiver procurando por um alternador de gravação de USB de linha de comando, confira 'USB Write Blocker for ALL Windows': http://sourceforge.net/projects/usbwriteblockerforwindows8/
15 Mandril RedLine
A RedLine oferece a capacidade de realizar a análise de memória e arquivo de um host específico. Coleta informações sobre a execução de processos e drivers da memória e reúne metadados do sistema de arquivos, dados de registro, registros de eventos, informações de rede, serviços, tarefas e histórico da Internet para ajudar a criar um perfil geral de avaliação de ameaças.
Quando você lança o RedLine, você terá a opção de coletar dados ou analisar dados. A menos que você já tenha um arquivo de despejo de memória disponível, você precisará criar um coletor para coletar dados da máquina e deixar esse processo funcionar até a conclusão. Depois de ter um arquivo de despejo de memória à mão, você pode começar sua análise.
16 PlainSight
O PlainSight é um CD ao vivo baseado em Knoppix (uma distribuição Linux) que permite executar tarefas forenses digitais, como a visualização de histórias de internet, a escultura de dados, a coleta de informações de uso de dispositivos USB, o exame de despejos de memória física, a extração de hashes de senha e muito mais.
Quando você inicia no PlainSight, aparece uma janela pedindo que você selecione se deseja executar uma varredura, carregar um arquivo ou executar o assistente. Insira uma seleção para iniciar o processo de extração e análise de dados.
17 HxD
HxD é um dos meus favoritos pessoais. É um editor hexagonal fácil de usar que permite executar a edição de baixo nível e a modificação de um disco bruto ou memória principal (RAM). O HxD foi projetado com facilidade de uso e desempenho em mente e pode lidar com grandes arquivos sem problemas. Os recursos incluem pesquisa e substituição, exportação, checksums / digests, um shredder de arquivos embutido, concatenação ou divisão de arquivos, geração de estatísticas e muito mais.
A partir da interface HxD, comece sua análise abrindo um arquivo de 'Arquivo> Abrir', carregando um disco de 'Extras> Abrir disco ...' ou carregando um processo RAM de 'Extras> Abrir RAM ...'
18 HELIX3 Grátis
HELIX3 é um CD ao vivo baseado em Linux que foi construído para ser usado em cenários de Resposta a Incidentes, Forensics de Computadores e E-Discovery. Ele é embalado com um monte de ferramentas de código aberto que vão desde editores hexadecimais até software de escultura de dados para utilitários de cracking de senha e muito mais.
Nota: A versão HELIX3 que você precisa é 2009R1. Esta versão foi a última versão gratuita disponível antes que a HELIX fosse tomada por um vendedor comercial. HELIX3 2009R1 ainda é válido hoje e faz uma adição útil ao seu kit de ferramentas forenses digitais.
Quando você inicia usando HELIX3, você é perguntado se deseja carregar o ambiente GUI ou instalar o HELIX3 no disco. Se você optar por carregar o ambiente GUI diretamente (recomendado), uma tela baseada em Linux aparecerá dando a opção de executar a versão gráfica das ferramentas incluídas.
19 Suite Forensica Paladino
Paladin Forensic Suite é um CD ao vivo baseado no Ubuntu, que está repleto de riqueza de ferramentas forenses de código aberto. As mais de 80 ferramentas encontradas neste Live CD estão organizadas em mais de 25 categorias, incluindo Ferramentas de Imagem, Análise de Malware, Análise de Mídia Social, Hashing Tools, etc.
Depois de iniciar Paladin Forensic Suite, navegue até o menu da aplicação ou clique em um dos ícones na barra de tarefas para começar.
Nota: um Guia de Iniciação Rápida para a Paladin Forensic Suite está disponível para visualizar ou fazer o download no site Paladin, bem como na barra de tarefas do próprio Paladino.
20 Historiador USB
O historiador USB analisa as informações USB, principalmente do registro do Windows, para fornecer uma lista de todas as unidades USB que foram conectadas à máquina. Ele exibe informações como o nome da unidade USB, o número de série, quando foi montado e por qual conta de usuário. Esta informação pode ser muito útil quando você está lidando com uma investigação em que você precisa entender se os dados foram roubados, movidos ou acessados.
Quando você inicia o USB Historian, clique no ícone '+' no menu superior para iniciar o assistente de análise de dados. Selecione o método para o qual deseja analisar dados (Letra de unidade, Windows e pasta de usuários, ou Colméias / arquivos individuais) e, em seguida, selecione os dados respectivos para analisar. Uma vez concluída, você verá informações semelhantes às mostradas na imagem acima.