Список инструментов цифровой криминалистики - List of digital forensics tools
В 80-е годы большинство цифровые судебные расследования состоит из «живого анализа», изучения цифровых медиа напрямую с использованием неспециализированных инструментов. В 1990-е годы несколько бесплатное ПО и другие проприетарные инструменты (как аппаратные, так и программные) были созданы, чтобы проводить расследования без изменения носителя. Этот первый набор инструментов в основном ориентирован на компьютерная экспертиза, хотя в последние годы аналогичные инструменты появились в области криминалистики мобильных устройств.[1] Этот список включает известные примеры инструментов цифровой криминалистики.
Операционные системы, ориентированные на криминалистику
На основе Debian
- Kali Linux - это производный от Debian дистрибутив Linux, разработанный для цифровой криминалистики и тестирования на проникновение, ранее известный как BackTrack.[2]
- ОС Parrot Security это облачный Дистрибутив GNU / Linux, основанный на Debian и предназначенный для выполнения тестов безопасности и проникновения, проведения криминалистического анализа или анонимных действий. Он использует среду рабочего стола MATE, ядро Linux 4.6 или выше и доступен в виде живого легкого устанавливаемого ISO-образа для 32-разрядных, 64-разрядных и ARM-процессоров с функциями судебной экспертизы при загрузке, оптимизацией для программистов и новыми настраиваемыми инструментами тестирования на проникновение.[нужна цитата ]
На основе Ubuntu
- CAINE Linux представляет собой live CD / DVD на основе Ubuntu. CAINE расшифровывается как Computer Aided Investigative Environment.
На основе Pentoo
- Pentoo Overlay и Livecd для тестирования на проникновение - это live CD и Live USB, предназначенные для тестирования на проникновение и оценки безопасности. Pentoo, основанный на Gentoo Linux, поставляется как 32-разрядный, так и 64-разрядный устанавливаемый live CD. Pentoo также доступен как наложение для существующей установки Gentoo. Он включает в себя пропатченные драйверы Wi-Fi с инъекцией пакетов, программное обеспечение для взлома GPGPU и множество инструментов для тестирования на проникновение и оценки безопасности. Ядро Pentoo включает grsecurity и усиление PAX, а также дополнительные патчи - с двоичными файлами, скомпилированными из усиленной цепочки инструментов с последними ночными версиями некоторых доступных инструментов.[3]
Компьютерная криминалистика
| Имя | Платформа | Лицензия | Версия | Описание |
|---|---|---|---|---|
| Вскрытие | Windows, macOS, Linux | GPL | 4.16 | Платформа цифровой криминалистики и графический интерфейс для Комплект Сыщика |
| Belkasoft Evidence Center | Windows | проприетарный | 9.9 | Пакет для цифровой криминалистики от Belkasoft, который поддерживает компьютерную и мобильную криминалистику в одном инструменте |
| КОФЕ | Windows | проприетарный | н / д | Набор инструментов для Windows, разработанный Microsoft |
| Платформа цифровой криминалистики | Unix-подобный / Windows | GPL | 1.3 | Платформа и пользовательские интерфейсы, посвященные цифровой криминалистике |
| Комплект Elcomsoft Premium Forensic Bundle | Windows, macOS | проприетарный | 1435 | Набор инструментов для зашифрованных систем и расшифровки данных и восстановления пароля |
| E3: Универсальное программное обеспечение | Windows, macOS, Linux | GPL | 2.6 | E3: Universal, разработанная Paraben Corporation это комплексное решение DFIR, которое может работать со ВСЕМИ типами цифровых данных: компьютерами, электронной почтой, интернет-данными, смартфонами и устройствами Интернета вещей. |
| EnCase | Windows | проприетарный | 8.06.1 | Пакет цифровой криминалистики, созданный Программное обеспечение для навигации |
| Судебный исследователь | Windows | проприетарный | 4.4.8.7926 | Пакет цифровой криминалистики, созданный GetData |
| FTK | Windows | проприетарный | 6.0.1 | Многоцелевой инструмент FTK - это упомянутая судом платформа для цифровых расследований, созданная для обеспечения скорости, стабильности и простоты использования. |
| IPED[4] | Unix-подобный / Windows | GPL | 3.17.2 | Инструмент цифровой криминалистики, созданный Федеральной полицией Бразилии |
| ISEEK[5] | Windows | проприетарный | 1 | Инструмент гибридной криминалистики, работающий только в памяти - разработан для больших сетевых сред |
| IsoBuster | Windows | проприетарный | 4.1 | Незаменимый легкий инструмент для проверки носителей данных любого типа, поддерживающий широкий спектр файловых систем с расширенными функциями экспорта. |
| Исследователь мобильных устройств | Windows, | проприетарный | 2.1 | Инструмент цифровой криминалистики и сортировки смартфонов iOS и Android от ADF_Solutions |
| Нидерландский институт судебной экспертизы / Ксираф[6] / HANSKEN[7] | н / д | проприетарный | н / д | Компьютерно-криминалистический онлайн-сервис. |
| Архитектура открытой компьютерной криминалистики | Linux | LGPL /GPL | 2.3.0 | Фреймворк компьютерной криминалистики для среды CF-Lab |
| OSForensics[8][9] | Windows | проприетарный | 8 | Универсальный судебно-медицинский инструмент |
| PTK Forensics | НАПОЛЬНАЯ ЛАМПА | проприетарный | 2.0 | Графический интерфейс для The Sleuth Kit |
| Инструментарий SANS Investigative Forensics Toolkit - SIFT | Ubuntu | 2.1 | Многоцелевая криминалистическая операционная система | |
| SPEKTOR Forensic Intelligence [10] | Unix-подобный | проприетарный | 6.x | Простой в использовании, всеобъемлющий инструмент судебной экспертизы, используемый во всем мире LE / военными / агентствами / корпорациями, - включает быстрое получение изображений и полностью автоматизированный анализ. |
| Набор инструментов коронера | Unix-подобный | Общественная лицензия IBM | 1.19 | Набор программ для анализа Unix |
| Комплект Сыщика | Unix-подобный / Windows | IPL, CPL, GPL | 4.1.2 | Библиотека инструментов для Unix и Windows |
| Windows To Go | н / д | проприетарный | н / д | Загрузочная операционная система |
| X-Ways Forensics | Windows | проприетарный | н / д | Поддерживает изображения и кучу объемов. А также анализ памяти и барана |
Криминалистика памяти
Инструменты судебной экспертизы памяти используются для сбора или анализа энергозависимой памяти (RAM) компьютера. Они часто используются в ситуациях реагирования на инциденты, чтобы сохранить в памяти доказательства, которые могут быть потеряны при выключении системы, и для быстрого обнаружения скрытых вредоносных программ путем непосредственного изучения операционной системы и другого запущенного программного обеспечения в памяти.
| Имя | Поставщик или спонсор | Платформа | Лицензия |
|---|---|---|---|
| Belkasoft Live RAM Capturer | Белкасофт | Windows | свободный |
| Волатильность | Неустойчивые системы | Windows и Linux | бесплатно (GPL) |
| WindowsSCOPE | BlueRISC | Windows | проприетарный |
Криминалистика мобильных устройств
Инструменты мобильной криминалистики обычно состоят из аппаратного и программного компонентов. Мобильные телефоны поставляются с разнообразным набором разъемов, аппаратные устройства поддерживают несколько различных кабелей и выполняют ту же роль, что и блокираторы записи в компьютерных устройствах.
| Имя | Платформа | Лицензия | Версия | Описание |
|---|---|---|---|---|
| Микросистема XRY / XACT[11] | Windows | проприетарный | Аппаратно-программный комплекс, специализируется на удаленных данных |
Программная экспертиза
Судебная экспертиза программного обеспечения - это наука об анализе исходного кода программного обеспечения или двоичного кода, чтобы определить, произошло ли нарушение прав интеллектуальной собственности или кража. Это центральный элемент судебных процессов, судебных процессов и урегулирований, когда компании спорят по вопросам, связанным с патентами на программное обеспечение, авторскими правами и коммерческой тайной. Инструменты судебной экспертизы программного обеспечения могут сравнивать код, чтобы определить корреляцию, показатель, который может использоваться для руководства экспертом по криминалистике программного обеспечения.
Другой
| Имя | Платформа | Лицензия | Версия | Описание |
|---|---|---|---|---|
| БЕЗ КОФЕИНА | Windows | свободный | н / д | Инструмент, который автоматически выполняет набор определенных пользователем действий при обнаружении инструмента Microsoft COFEE. |
| Устранение доказательств | Windows | проприетарный | 6.03 | Программное обеспечение для защиты от криминалистики, утверждает, что безопасно удаляет файлы |
| HashKeeper | Windows | свободный | н / д | Приложение базы данных для хранения хэш-подписей файлов |
| MailXaminer | Windows | Вечный | 4.9.0 | Специализированный инструмент электронной почты |
Рекомендации
- ^ Кейси, Иоган (2004). Цифровые доказательства и компьютерные преступления, второе издание. Эльзевир. ISBN 0-12-163104-4.
- ^ «Kali Linux уже выпущена!». 12 марта 2013 г. В архиве из оригинала 9 мая 2013 г.. Получено 18 марта 2013.
- ^ «Pentoo 2015 - LiveCD, ориентированный на безопасность, на основе Gentoo». В архиве с оригинала на 1 июля 2018 г.. Получено 1 июля 2018.
- ^ Страница IPED на Github [1]
- ^ Адамс, Р., Манн, Г., и Хоббс, В. (2017). ISEEK, инструмент для высокоскоростного параллельного распределенного сбора криминалистических данных. Статья представлена в Valli, C. (Ed.). Материалы 15-й Австралийской конференции по цифровой криминалистике, 5–6 декабря 2017 г., Университет Эдит Коуэн, Перт, Австралия DOI 10.4225 / 75 / 5a838d3b1d27f [2]
- ^ Bhoedjang, R; и другие. (Февраль 2012 г.). «Разработка онлайн-службы компьютерной криминалистики». Цифровые расследования. 9 (2): 96–108. Дои:10.1016 / j.diin.2012.10.001.
- ^ Huijbregts, J (2015). "Nieuwe forensische zoekmachine van NFI - 48 лет, но не знаю, как это сделать". Твикеры. Получено 11 сентября 2018.
Назван в честь знаменитого слона Hansken, из-за их огромной памяти
- ^ Нельсон, Билл; Филлипс, Амелия; Стюарт, Кристофер (2015). Руководство по компьютерной криминалистике и расследованиям. Cengage Learning. С. 363, 141, 439, 421, 223, 554, 260, 168, 225, 362. ISBN 978-1-285-06003-3.
- ^ "OSForensics - Цифровое исследование новой эры от PassMark Software®". osforensics.com.
- ^ Корпорация Dell (13 июля 2012 г.). "Решение для мобильной цифровой криминалистической экспертизы SPEKTOR" (PDF).
- ^ Мислан, Ричард (2010). «Создание лабораторий для бакалавриата по криминалистике мобильных телефонов». Материалы конференции ACM 2010 г. по образованию в области информационных технологий. ACM: 111–116. Получено 29 ноябрь 2010.
Среди наиболее популярных инструментов - продукты MicroSystemation GSM .XRY и .XACT, Cellebrite UFED, Susteen Secure View2, Paraben Device Seizure, Radio Tactics Aceso, Oxygen Phone Manager и Compelson MobilEdit Forensic.