Digitaalne kohtuekspertiis on arvutitõendite säilitamise, tuvastamise, väljavõtmise ja dokumenteerimise protsess, mida kohus saab kasutada. Selle protsessi lihtsaks ja lihtsaks muutmiseks on palju tööriistu. Need rakendused pakuvad täielikke aruandeid, mida saab kasutada kohtumenetlustes.
Allpool on valitud digitaalsete kohtuekspertiisi tööriistakomplektide nimekiri koos nende populaarsete funktsioonide ja veebisaitide linkidega. Nimekiri sisaldab nii avatud lähtekoodiga (tasuta) kui ka ärilist (tasulist) tarkvara.
1) ProDiscover kohtuekspertiis
ProDiscover Forensic on arvutiturvalisuse rakendus, mis võimaldab teil kõik andmed kettalt leida. See võib kaitsta tõendeid ja luua õigusprotseduuride kasutamiseks kvaliteediaruandeid. See tööriist võimaldab teil JPEG.webp-failidest EXIF-teavet (vahetatava pildifaili vorming) eraldada.
Omadused :
- See toode toetab Windowsi, Maci ja Linuxi failisüsteeme.
- Võite kahtlaseid faile kiiresti eelvaadata ja otsida.
- See loob koopia kogu arvatavast kettast, et hoida algseid tõendeid ohutuna.
- See tööriist aitab teil vaadata Interneti-ajalugu.
- Saate importida või eksportida .dd-vormingus pilte.
- See võimaldab teil lisada oma huvi tõenditele kommentaare.
- ProDiscover Forensic toetab VMware'i pildistatud pildi käitamiseks.
Link : https://www.prodiscover.com
2) Sleuth Kit (+ lahkamine)
Sleuth Kit (+ lahkamine) on Windowsi põhine utiliiditööriist, mis muudab arvutisüsteemide kohtuekspertiisi analüüsi lihtsamaks. See tööriist võimaldab teil uurida oma kõvaketast ja nutitelefoni.
Omadused :
- Graafilise liidese abil saate tegevust tuvastada.
- See rakendus pakub meilide analüüsi.
- Kõigi dokumentide või piltide leidmiseks saate faile rühmitada nende tüübi järgi.
- Piltide kiireks vaatamiseks kuvatakse piltide pisipilt.
- Faile saate märgistada suvaliste siltide nimedega.
- Sleuth Kit võimaldab teil andmeid hankida kõnelogidest, SMS-idest, kontaktidest jne.
- See aitab teil faile ja kaustu märgistada tee ja nime järgi.
Link : https://www.sleuthkit.org
3) CAINE
CAINE on Ubuntu-põhine rakendus, mis pakub täielikku kohtuekspertiisi keskkonda, mis pakub graafilist liidest. Seda tööriista saab moodulina integreerida olemasolevatesse tarkvaratööriistadesse. See eraldab RAM-ist automaatselt ajaskaala.
Omadused :
- See toetab digitaalset uurijat digitaalse uurimise neljas etapis.
- See pakub kasutajasõbralikku liidest.
- Saate kohandada CAINE funktsioone.
- See tarkvara pakub arvukalt kasutajasõbralikke tööriistu.
Link : https://www.caine-live.net
4) PALADIN
PALADIN on Ubuntu-põhine tööriist, mis võimaldab teil lihtsustada mitmesuguseid kohtuekspertiisi ülesandeid. See pakub üle 100 kasuliku tööriista mis tahes pahatahtliku materjali uurimiseks. See tööriist aitab teil kohtuekspertiisi lihtsustada kiiresti ja tõhusalt.
Omadused :
- See pakub nii 64- kui 32-bitiseid versioone.
- See tööriist on saadaval USB-mälupulgal.
- Selles tööriistakastis on avatud lähtekoodiga tööriistad, mis aitavad teil vajalikku teavet hõlpsalt otsida.
- Sellel tööriistal on rohkem kui 33 kategooriat, mis aitavad teil täita küberkriminalistikaülesannet.
Link : https://sumuri.com/software/paladin/
5) EnCase
Encase on rakendus, mis aitab teil kõvakettadelt tõendeid taastada. See võimaldab teil teha failide põhjalikku analüüsi tõendite, näiteks dokumentide, piltide jms kogumiseks.
Omadused :
- Andmeid saate hankida paljudest seadmetest, sealhulgas mobiiltelefonidest, tahvelarvutitest jne.
- See võimaldab teil tõendite terviklikkuse säilitamiseks koostada täielikke aruandeid.
- Tõendeid saate kiiresti otsida, tuvastada ja prioriteetseks muuta.
- Encase-kriminalistika aitab teil krüpteeritud tõendeid avada.
- See automatiseerib tõendite ettevalmistamist.
- Saate teha sügavat ja triaažide (defektide raskusaste ja prioriteet) analüüsi.
Link : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT on arvuti kohtuekspertiisi levitamine, mis põhineb Ubuntul. See pakub digitaalset kohtuekspertiisi ja vahejuhtumitele reageerimise uurimisrajatist.
Omadused :
- See võib töötada 64-bitises operatsioonisüsteemis.
- See tööriist aitab kasutajatel mälu paremini ära kasutada.
- See värskendab automaatselt paketti DFIR (Digital Forensics and Incident Response).
- Selle saate installida SIFT-CLI (käsurea liides) installeri kaudu.
- See tööriist sisaldab arvukalt uusimaid kohtuekspertiisi tööriistu ja tehnikaid.
Link : https://digital-forensics.sans.org/community/downloads/
7) FTK pildistaja
FTK Imager on AccessData väljatöötatud kohtuekspertiisi tööriistakomplekt, mida saab kasutada tõendite saamiseks. See võib luua andmete koopiaid, muutmata algseid tõendeid. See tööriist võimaldab teil ebaoluliste andmete hulga vähendamiseks määrata kriteeriumid, näiteks faili suurus, piksli suurus ja andmetüüp.
Omadused :
- See pakub küberkuritegevuse avastamiseks nõustajapõhist lähenemist.
- See programm pakub andmete paremat visualiseerimist diagrammi abil.
- Paroole saate taastada enam kui 100 rakendusest.
- Sellel on täiustatud ja automatiseeritud andmete analüüsimise võimalus.
- FTK Imager aitab teil erinevate uurimisnõuete jaoks hallata korduvkasutatavaid profiile.
- See toetab töötlemiseelset ja järeltöötlust.
Link : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Magnetmälu hõivamine
Magnet RAM püüdmine salvestab arvatava arvuti mälu. See võimaldab uurijatel taastada ja analüüsida mälus leiduvaid väärtuslikke esemeid.
Omadused :
- Selle rakenduse saate käivitada, minimeerides mälus ülekirjutatud andmeid.
- See võimaldab teil hõivatud mälu andmeid eksportida ja üles laadida analüüsivahenditesse, näiteks magnet AXIOM ja magnet IEF.
- See rakendus toetab suurt hulka Windowsi opsüsteeme.
- Magnet-RAM-i hõivamine toetab RAM-i omandamist.
Link : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways kohtuekspertiis
X-Ways on tarkvara, mis pakub töökeskkonda arvuti kriminalistidele. See programm toetab ketta kloonimist ja pildistamist. See võimaldab teil teha koostööd teiste inimestega, kellel on see tööriist.
Omadused :
- Sellel on võime lugeda .dd-pildifailide sees partitsioone ja failisüsteemi struktuure.
- Saate juurde pääseda ketastele, RAID-idele (sõltumatu ketta üleliigne massiiv) ja muule.
- See tuvastab kadunud või kustutatud sektsioonid automaatselt.
- See tööriist suudab hõlpsasti tuvastada NTFS-i (uue tehnoloogia failisüsteem) ja ADS-i (alternatiivsed andmevood).
- X-Ways Forensics toetab järjehoidjaid või märkusi.
- Sellel on võimalus kaugarvuteid analüüsida.
- Binaarandmeid saate vaadata ja redigeerida mallide abil.
- See pakub kirjutuskaitset andmete autentsuse säilitamiseks.
Link : http://www.x-ways.net/forensics/
10) traadihark
Wireshark on võrgupakette analüüsiv tööriist. Seda saab kasutada võrgu testimiseks ja tõrkeotsinguks. See tööriist aitab teil kontrollida arvutisüsteemi läbivat erinevat liiklust.
Omadused :
- See pakub rikkalikku VoIP (Voice over Internet Protocol) analüüsi.
- Gzip-failiga tihendatud faile saab hõlpsasti lahti pakkida.
- Väljundi saab eksportida XML-faili (laiendatav märgistuskeel), CSV-faili (komaga eraldatud väärtused) või lihtteksti.
- Reaalajas olevaid andmeid saab lugeda võrgust, sinihambast, sularahaautomaadist, USB-st jne.
- Dekrüptimise tugi paljudele protokollidele, mis hõlmavad IPseci (Interneti-protokolli turvalisus), SSL-i (turvaliste soklite kiht) ja WEP-i (traadiga samaväärne privaatsus).
- Paketile saate rakendada intuitiivset analüüsi ja värvimisreegleid.
- Võimaldab lugeda või kirjutada faile mis tahes vormingus.
Link : https://www.wireshark.org
11) Registrikonto
Registry Recon on arvuti kohtuekspertiisi tööriist, mida kasutatakse Windows OS-i registriandmete väljavõtmiseks, taastamiseks ja analüüsimiseks. Selle programmi abil saab tõhusalt määrata mis tahes arvutiga ühendatud väliseid seadmeid.
Funktsioonid:
- See toetab Windows XP, Vista, 7, 8, 10 ja muid operatsioonisüsteeme.
- See tööriist taastab automaatselt väärtuslikud NTFS-i andmed.
- Saate selle integreerida utiliidi Microsoft Disk Manager abil.
- Kõigi VSC-de (helitugevuse varikoopiad) VSC-d saate kiiresti kettale lisada.
- See programm taastab aktiivse registriandmebaasi.
Link : https://arsenalrecon.com/products/
12) Volatiilsusraamistik
Volatility Framework on tarkvara mälu analüüsimiseks ja kohtuekspertiisiks. See aitab teil RAM-is leiduvate andmete abil süsteemi käitusaega testida. See rakendus võimaldab teil teha koostööd oma meeskonnakaaslastega.
Omadused :
- Sellel on API, mis võimaldab teil kiiresti otsida PTE (Page Table Entry) lippe.
- Volatiilsusraamistik toetab KASLR-i (kerneli aadressiruumide paigutuse randomiseerimine).
- See tööriist pakub arvukalt pistikprogramme Mac-failide töö kontrollimiseks.
- Kui teenust ei õnnestu mitu korda käivitada, käivitatakse see automaatselt tõrge.
Link : https://www.volatilityfoundation.org
13) Xplico
Xplico on avatud lähtekoodiga kohtuekspertiisi rakendus. See toetab HTTP-d (hüpertekstiedastusprotokoll), IMAP-i (Interneti-sõnumite juurdepääsuprotokoll) ja palju muud.
Omadused :
- Väljundandmed saate SQLite andmebaasist või MySQL andmebaasist.
- See tööriist pakub teile reaalajas koostööd.
- Andmete sisestamisel ja failide arvul pole piiranguid.
- Saadud andmete kasulikul viisil korraldamiseks saate hõlpsasti luua mis tahes tüüpi dispetšeri.
- See toetab nii IPv4 kui ka IPv6.
- Sisendfailidega DNS-pakettidest saate teha DNS-i reservotsingu.
- Xplico pakub digitaalse kohtuekspertiisi toetamiseks funktsiooni PIPI (Port Independent Protocol Identification).
Link : https://www.xplico.org
14) e-fense
E-fense on tööriist, mis aitab teil rahuldada arvuti kohtuekspertiisi ja küberjulgeoleku vajadusi. See võimaldab teil hõlpsasti kasutatava liidese abil avastada faile mis tahes seadmest.
Omadused :
- See kaitseb pahatahtliku käitumise, häkkimise ja eeskirjade rikkumise eest.
- Interneti-ajalugu, mälu ja ekraanipilte saate hankida süsteemist USB-mäluseadmele.
- Sellel tööriistal on lihtsalt kasutatav liides, mis võimaldab teil saavutada uurimiseesmärgi.
- E-fense toetab mitmikeermelist töötamist, see tähendab, et saate korraga käivitada rohkem kui ühe lõime.
Link : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike on digitaalne kohtuekspertiisi tarkvara, mis pakub ohuteavet, lõpp-punktide turvalisust jne. See suudab kiiresti tuvastada ja küberturvalisuse juhtumitest taastuda. Selle tööriista abil saate ründajaid reaalajas leida ja blokeerida.
Omadused :
- See tööriist aitab teil süsteemi haavatavusi hallata.
- See suudab pahavara automaatselt analüüsida.
- Saate kaitsta oma virtuaalset, füüsilist ja pilvepõhist andmekeskust.
Link : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/