La digital forensic è un processo di conservazione, identificazione, estrazione e documentazione di prove informatiche che possono essere utilizzate dal tribunale. Ci sono molti strumenti che ti aiutano a rendere questo processo semplice e facile. Queste applicazioni forniscono report completi che possono essere utilizzati per procedure legali.
Di seguito è riportato un elenco selezionato di toolkit forensi digitali, con le loro caratteristiche popolari e collegamenti a siti web. L'elenco contiene software open source (gratuito) e commerciale (a pagamento).
1) ProDiscover Forensic
ProDiscover Forensic è un'app per la sicurezza del computer che consente di individuare tutti i dati su un disco del computer. Può proteggere le prove e creare rapporti di qualità per l'utilizzo di procedure legali. Questo strumento consente di estrarre le informazioni EXIF (Exchangeable Image File Format) da file JPEG.webp.
Caratteristiche :
- Questo prodotto supporta i file system Windows, Mac e Linux.
- Puoi visualizzare in anteprima e cercare rapidamente i file sospetti.
- Crea una copia dell'intero disco sospetto per mantenere al sicuro le prove originali.
- Questo strumento ti aiuta a vedere la cronologia di Internet.
- Puoi importare o esportare immagini in formato .dd.
- Ti consente di aggiungere commenti a prova del tuo interesse.
- ProDiscover Forensic supporta VMware per eseguire un'immagine acquisita.
Collegamento : https://www.prodiscover.com
2) Kit investigatore (+ autopsia)
Sleuth Kit (+ Autopsy) è uno strumento di utilità basato su Windows che semplifica l'analisi forense dei sistemi informatici. Questo strumento ti consente di esaminare il tuo disco rigido e lo smartphone.
Caratteristiche :
- È possibile identificare l'attività utilizzando un'interfaccia grafica in modo efficace.
- Questa applicazione fornisce analisi per le e-mail.
- Puoi raggruppare i file in base al tipo per trovare tutti i documenti o le immagini.
- Visualizza una miniatura delle immagini per visualizzare rapidamente le immagini.
- È possibile contrassegnare i file con nomi di tag arbitrari.
- Il kit Sleuth ti consente di estrarre dati da registri delle chiamate, SMS, contatti, ecc.
- Ti aiuta a contrassegnare file e cartelle in base al percorso e al nome.
Collegamento : https://www.sleuthkit.org
3) CAINE
CAINE è un'app basata su Ubuntu che offre un ambiente forense completo che fornisce un'interfaccia grafica. Questo strumento può essere integrato in strumenti software esistenti come modulo. Estrae automaticamente una timeline dalla RAM.
Caratteristiche :
- Supporta l'investigatore digitale durante le quattro fasi dell'indagine digitale.
- Offre un'interfaccia user-friendly.
- È possibile personalizzare le funzionalità di CAINE.
- Questo software offre numerosi strumenti di facile utilizzo.
Collegamento : https://www.caine-live.net
4) PALADINO
PALADIN è uno strumento basato su Ubuntu che ti consente di semplificare una serie di attività forensi. Fornisce più di 100 strumenti utili per indagare su qualsiasi materiale dannoso. Questo strumento ti aiuta a semplificare il tuo compito forense in modo rapido ed efficace.
Caratteristiche :
- Fornisce versioni a 64 bit e 32 bit.
- Questo strumento è disponibile su una chiavetta USB.
- Questa casella degli strumenti ha strumenti open source che ti aiutano a cercare le informazioni richieste senza sforzo.
- Questo strumento ha più di 33 categorie che ti aiutano a svolgere un'attività cyber forense.
Collegamento : https://sumuri.com/software/paladin/
5) EnCase
Encase è un'applicazione che ti aiuta a recuperare le prove dai dischi rigidi. Ti consente di condurre un'analisi approfondita dei file per raccogliere prove come documenti, immagini, ecc.
Caratteristiche :
- È possibile acquisire dati da numerosi dispositivi, inclusi telefoni cellulari, tablet, ecc.
- Consente di produrre report completi per mantenere l'integrità delle prove.
- Puoi cercare, identificare e dare la priorità alle prove rapidamente.
- Encase-forensic ti aiuta a sbloccare prove crittografate.
- Automatizza la preparazione delle prove.
- È possibile eseguire analisi approfondite e di triage (gravità e priorità dei difetti).
Collegamento : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT è una distribuzione di informatica forense basata su Ubuntu. Fornisce una struttura di esame forense digitale e di risposta agli incidenti.
Caratteristiche :
- Può funzionare su un sistema operativo a 64 bit.
- Questo strumento aiuta gli utenti a utilizzare la memoria in un modo migliore.
- Aggiorna automaticamente il pacchetto DFIR (Digital Forensics and Incident Response).
- È possibile installarlo tramite il programma di installazione SIFT-CLI (Command-Line Interface).
- Questo strumento contiene numerosi strumenti e tecniche forensi più recenti.
Collegamento : https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
FTK Imager è un toolkit forense sviluppato da AccessData che può essere utilizzato per ottenere prove. Può creare copie dei dati senza apportare modifiche alle prove originali. Questo strumento consente di specificare criteri, come la dimensione del file, la dimensione dei pixel e il tipo di dati, per ridurre la quantità di dati non pertinenti.
Caratteristiche :
- Fornisce un approccio guidato da procedure guidate per rilevare il crimine informatico.
- Questo programma offre una migliore visualizzazione dei dati utilizzando un grafico.
- Puoi recuperare le password da più di 100 applicazioni.
- Dispone di una funzione di analisi dei dati avanzata e automatizzata.
- FTK Imager ti aiuta a gestire i profili riutilizzabili per diversi requisiti di indagine.
- Supporta il raffinamento pre e post-elaborazione.
Collegamento : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Acquisizione della RAM magnetica
L'acquisizione della RAM magnetica registra la memoria di un computer sospetto. Consente agli investigatori di recuperare e analizzare oggetti di valore che si trovano nella memoria.
Caratteristiche :
- Puoi eseguire questa app riducendo al minimo i dati sovrascritti in memoria.
- Ti consente di esportare i dati della memoria catturati e caricarli in strumenti di analisi come il magnete AXIOM e il magnete IEF.
- Questa app supporta una vasta gamma di sistemi operativi Windows.
- L'acquisizione della RAM magnetica supporta l'acquisizione della RAM.
Collegamento : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways è un software che fornisce un ambiente di lavoro per gli esaminatori forensi di computer. Questo programma supporta la clonazione e l'imaging del disco. Ti consente di collaborare con altre persone che hanno questo strumento.
Caratteristiche :
- Ha la capacità di leggere il partizionamento e le strutture del file system all'interno dei file di immagine .dd.
- È possibile accedere a dischi, RAID (Redundant array of independent disk) e altro ancora.
- Identifica automaticamente le partizioni perse o cancellate.
- Questo strumento può facilmente rilevare NTFS (New Technology File System) e ADS (Alternate Data Streams).
- X-Ways Forensics supporta segnalibri o annotazioni.
- Ha la capacità di analizzare computer remoti.
- È possibile visualizzare e modificare i dati binari utilizzando i modelli.
- Fornisce protezione da scrittura per mantenere l'autenticità dei dati.
Collegamento : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark è uno strumento che analizza un pacchetto di rete. Può essere utilizzato per test di rete e risoluzione dei problemi. Questo strumento ti aiuta a controllare il traffico diverso che passa attraverso il tuo computer.
Caratteristiche :
- Fornisce una ricca analisi VoIP (Voice over Internet Protocol).
- I file di cattura compressi con gzip possono essere decompressi facilmente.
- L'output può essere esportato in file XML (Extensible Markup Language), CSV (Comma Separated Values) o testo normale.
- I dati in tempo reale possono essere letti dalla rete, blue-tooth, ATM, USB, ecc.
- Supporto della decrittografia per numerosi protocolli che includono IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) e WEP (Wired Equivalent Privacy).
- È possibile applicare analisi intuitive, regole di colorazione al pacchetto.
- Ti permette di leggere o scrivere file in qualsiasi formato.
Collegamento : https://www.wireshark.org
11) Riconoscimento del registro
Registry Recon è uno strumento di analisi forense del computer utilizzato per estrarre, recuperare e analizzare i dati di registro dal sistema operativo Windows. Questo programma può essere utilizzato per determinare in modo efficiente i dispositivi esterni che sono stati collegati a qualsiasi PC.
Caratteristiche:
- Supporta Windows XP, Vista, 7, 8, 10 e altri sistemi operativi.
- Questo strumento recupera automaticamente preziosi dati NTFS.
- Puoi integrarlo con lo strumento di utilità Microsoft Disk Manager.
- Montare rapidamente tutti i VSC (Volume Shadow Copies) in un disco.
- Questo programma ricostruisce il database del registro attivo.
Collegamento : https://arsenalrecon.com/products/
12) Volatility Framework
Volatility Framework è un software per l'analisi della memoria e la scientifica. Ti aiuta a testare lo stato di runtime di un sistema utilizzando i dati trovati nella RAM. Questa app ti consente di collaborare con i tuoi compagni di squadra.
Caratteristiche :
- Ha un'API che ti consente di cercare rapidamente i flag PTE (Page Table Entry).
- Volatility Framework supporta KASLR (Kernel Address Space Layout Randomization).
- Questo strumento fornisce numerosi plugin per controllare il funzionamento dei file Mac.
- Esegue automaticamente il comando di errore quando un servizio non viene avviato più volte.
Collegamento : https://www.volatilityfoundation.org
13) Xplico
Xplico è un'app di analisi forense open source. Supporta HTTP (Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol) e altro ancora.
Caratteristiche :
- È possibile ottenere i dati di output nel database SQLite o nel database MySQL.
- Questo strumento ti offre una collaborazione in tempo reale.
- Nessun limite di dimensione per l'immissione dei dati o il numero di file.
- Puoi facilmente creare qualsiasi tipo di dispatcher per organizzare i dati estratti in modo utile.
- Supporta sia IPv4 che IPv6.
- È possibile eseguire la ricerca DNS di riserva da pacchetti DNS con file di input.
- Xplico fornisce la funzionalità PIPI (Port Independent Protocol Identification) per supportare la digital forensic.
Collegamento : https://www.xplico.org
14) e-fense
E-fense è uno strumento che ti aiuta a soddisfare le tue esigenze di informatica forense e cybersecurity. Ti consente di scoprire file da qualsiasi dispositivo in un'unica interfaccia semplice da usare.
Caratteristiche :
- Fornisce protezione da comportamenti dannosi, pirateria informatica e violazioni delle policy.
- È possibile acquisire la cronologia di Internet, la memoria e l'acquisizione di schermate da un sistema su una chiavetta USB.
- Questo strumento ha un'interfaccia semplice da usare che ti consente di raggiungere il tuo obiettivo di indagine.
- E-fense supporta il multithreading, il che significa che puoi eseguire più di un thread contemporaneamente.
Collegamento : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike è un software forense digitale che fornisce informazioni sulle minacce, sicurezza degli endpoint, ecc. Può rilevare e ripristinare rapidamente gli incidenti di sicurezza informatica. Puoi utilizzare questo strumento per trovare e bloccare gli aggressori in tempo reale.
Caratteristiche :
- Questo strumento ti aiuta a gestire le vulnerabilità del sistema.
- Può analizzare automaticamente il malware.
- Puoi proteggere il tuo data center virtuale, fisico e basato su cloud.
Collegamento : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/