15 BEST Digital Forensic Tools im Jahr 2021 (kostenlos / kostenpflichtig)

Anonim

Die digitale Forensik ist ein Prozess zur Aufbewahrung, Identifizierung, Extraktion und Dokumentation von Computerbeweisen, der vom Gericht verwendet werden kann. Es gibt viele Tools, mit denen Sie diesen Prozess einfach und unkompliziert gestalten können. Diese Anwendungen bieten vollständige Berichte, die für rechtliche Verfahren verwendet werden können.

Im Folgenden finden Sie eine handverlesene Liste der Digital Forensic Toolkits mit ihren beliebten Funktionen und Website-Links. Die Liste enthält sowohl Open Source (kostenlos) als auch kommerzielle (kostenpflichtige) Software.

1) ProDiscover Forensic

ProDiscover Forensic ist eine Computersicherheits-App, mit der Sie alle Daten auf einer Computerfestplatte finden können. Es kann Beweise schützen und Qualitätsberichte für die Anwendung rechtlicher Verfahren erstellen. Mit diesem Tool können Sie EXIF-Informationen (Exchangeable Image File Format) aus JPEG.webp-Dateien extrahieren.

Eigenschaften :

  • Dieses Produkt unterstützt Windows-, Mac- und Linux-Dateisysteme.
  • Sie können schnell eine Vorschau anzeigen und nach verdächtigen Dateien suchen.
  • Es wird eine Kopie der gesamten verdächtigen Festplatte erstellt, um die ursprünglichen Beweise zu schützen.
  • Mit diesem Tool können Sie den Internetverlauf anzeigen.
  • Sie können Bilder im .dd-Format importieren oder exportieren.
  • Sie können Kommentare zu Beweisen Ihres Interesses hinzufügen.
  • ProDiscover Forensic unterstützt VMware beim Ausführen eines erfassten Images.

Link : https://www.prodiscover.com

2) Sleuth Kit (+ Autopsie)

Sleuth Kit (+ Autopsy) ist ein Windows-basiertes Dienstprogramm, das die forensische Analyse von Computersystemen erleichtert. Mit diesem Tool können Sie Ihre Festplatte und Ihr Smartphone untersuchen.

Eigenschaften :

  • Sie können Aktivitäten mithilfe einer grafischen Oberfläche effektiv identifizieren.
  • Diese Anwendung bietet Analyse für E-Mails.
  • Sie können Dateien nach ihrem Typ gruppieren, um alle Dokumente oder Bilder zu finden.
  • Es wird eine Miniaturansicht von Bildern angezeigt, um Bilder schnell anzuzeigen.
  • Sie können Dateien mit beliebigen Tag-Namen versehen.
  • Mit dem Sleuth Kit können Sie Daten aus Anrufprotokollen, SMS, Kontakten usw. extrahieren.
  • Es hilft Ihnen, Dateien und Ordner basierend auf Pfad und Namen zu kennzeichnen.

Link : https://www.sleuthkit.org

3) CAINE

CAINE ist eine Ubuntu-basierte App, die eine vollständige forensische Umgebung bietet, die eine grafische Oberfläche bietet. Dieses Tool kann als Modul in vorhandene Software-Tools integriert werden. Es extrahiert automatisch eine Zeitleiste aus dem RAM.

Eigenschaften :

  • Es unterstützt den digitalen Ermittler in den vier Phasen der digitalen Untersuchung.
  • Es bietet eine benutzerfreundliche Oberfläche.
  • Sie können die Funktionen von CAINE anpassen.
  • Diese Software bietet zahlreiche benutzerfreundliche Tools.

Link : https://www.caine-live.net

4) PALADIN

PALADIN ist ein Ubuntu-basiertes Tool, mit dem Sie eine Reihe von forensischen Aufgaben vereinfachen können. Es bietet mehr als 100 nützliche Tools zur Untersuchung von schädlichem Material. Mit diesem Tool können Sie Ihre forensische Aufgabe schnell und effektiv vereinfachen.

Eigenschaften :

  • Es bietet sowohl 64-Bit- als auch 32-Bit-Versionen.
  • Dieses Tool ist auf einem USB-Stick verfügbar.
  • Diese Toolbox enthält Open-Source-Tools, mit denen Sie mühelos nach den erforderlichen Informationen suchen können.
  • Dieses Tool verfügt über mehr als 33 Kategorien, die Sie bei der Durchführung einer forensischen Cyberaufgabe unterstützen.

Link : https://sumuri.com/software/paladin/

5) EnCase

Encase ist eine Anwendung, mit der Sie Beweise von Festplatten wiederherstellen können. Sie können eine eingehende Analyse von Dateien durchführen, um Beweise wie Dokumente, Bilder usw. zu sammeln.

Eigenschaften :

  • Sie können Daten von zahlreichen Geräten erfassen, einschließlich Mobiltelefonen, Tablets usw.
  • Sie können vollständige Berichte erstellen, um die Integrität der Beweise zu gewährleisten.
  • Sie können Beweise schnell suchen, identifizieren und priorisieren.
  • Encase-forensic hilft Ihnen, verschlüsselte Beweise freizuschalten.
  • Es automatisiert die Erstellung von Beweismitteln.
  • Sie können eine Tiefen- und Triage-Analyse (Schweregrad und Priorität von Fehlern) durchführen.

Link : https://www.guidancesoftware.com/encase-forensic

6) SANS SIFT

SANS SIFT ist eine Computer-Forensik-Distribution, die auf Ubuntu basiert. Es bietet eine digitale Einrichtung für forensische Untersuchungen und Untersuchungen zur Reaktion auf Vorfälle.

Eigenschaften :

  • Es kann unter einem 64-Bit-Betriebssystem ausgeführt werden.
  • Dieses Tool hilft Benutzern, den Speicher besser zu nutzen.
  • Das DFIR-Paket (Digital Forensics and Incident Response) wird automatisch aktualisiert.
  • Sie können es über das Installationsprogramm SIFT-CLI (Command-Line Interface) installieren.
  • Dieses Tool enthält zahlreiche aktuelle forensische Tools und Techniken.

Link : https://digital-forensics.sans.org/community/downloads/

7) FTK Imager

FTK Imager ist ein von AccessData entwickeltes forensisches Toolkit, mit dem Beweise abgerufen werden können. Es kann Kopien von Daten erstellen, ohne Änderungen am Originalnachweis vorzunehmen. Mit diesem Tool können Sie Kriterien wie Dateigröße, Pixelgröße und Datentyp angeben, um die Menge irrelevanter Daten zu reduzieren.

Eigenschaften :

  • Es bietet einen assistentengesteuerten Ansatz zur Erkennung von Cyberkriminalität.
  • Dieses Programm bietet eine bessere Visualisierung von Daten mithilfe eines Diagramms.
  • Sie können Kennwörter aus mehr als 100 Anwendungen wiederherstellen.
  • Es verfügt über eine fortschrittliche und automatisierte Datenanalyse.
  • Mit FTK Imager können Sie wiederverwendbare Profile für verschiedene Untersuchungsanforderungen verwalten.
  • Es unterstützt die Verfeinerung vor und nach der Verarbeitung.

Link : https://accessdata.com/products-services/forensic-toolkit-ftk

8) Magnet-RAM-Erfassung

Die Magnet-RAM-Erfassung zeichnet den Speicher eines verdächtigen Computers auf. Es ermöglicht den Ermittlern, wertvolle Gegenstände, die sich im Speicher befinden, wiederherzustellen und zu analysieren.

Eigenschaften :

  • Sie können diese App ausführen und gleichzeitig überschriebene Daten im Speicher minimieren.
  • Sie können erfasste Speicherdaten exportieren und in Analysewerkzeuge wie Magnet AXIOM und Magnet IEF hochladen.
  • Diese App unterstützt eine Vielzahl von Windows-Betriebssystemen.
  • Die Magnet-RAM-Erfassung unterstützt die RAM-Erfassung.

Link : https://www.magnetforensics.com/resources/magnet-ram-capture/

9) X-Ways-Forensik

X-Ways ist eine Software, die eine Arbeitsumgebung für computerforensische Prüfer bietet. Dieses Programm unterstützt das Klonen und Imaging von Datenträgern. Sie können mit anderen Personen zusammenarbeiten, die über dieses Tool verfügen.

Eigenschaften :

  • Es kann Partitionierungs- und Dateisystemstrukturen in .dd-Image-Dateien lesen.
  • Sie können auf Festplatten, RAIDs (Redundantes Array unabhängiger Festplatten) und mehr zugreifen.
  • Verlorene oder gelöschte Partitionen werden automatisch identifiziert.
  • Dieses Tool kann NTFS (New Technology File System) und ADS (Alternate Data Streams) problemlos erkennen.
  • X-Ways Forensics unterstützt Lesezeichen oder Anmerkungen.
  • Es hat die Fähigkeit, entfernte Computer zu analysieren.
  • Sie können Binärdaten mithilfe von Vorlagen anzeigen und bearbeiten.
  • Es bietet Schreibschutz zur Aufrechterhaltung der Datenauthentizität.

Link : http://www.x-ways.net/forensics/

10) Wireshark

Wireshark ist ein Tool, das ein Netzwerkpaket analysiert. Es kann zum Testen und zur Fehlerbehebung im Netzwerk verwendet werden. Mit diesem Tool können Sie den unterschiedlichen Datenverkehr auf Ihrem Computersystem überprüfen.

Eigenschaften :

  • Es bietet eine umfassende VoIP-Analyse (Voice over Internet Protocol).
  • Mit gzip komprimierte Aufnahmedateien können einfach dekomprimiert werden.
  • Die Ausgabe kann in eine XML-Datei (Extensible Markup Language), eine CSV-Datei (Comma Separated Values) oder in einfachen Text exportiert werden.
  • Live-Daten können vom Netzwerk, Bluetooth, Geldautomaten, USB usw. gelesen werden.
  • Entschlüsselungsunterstützung für zahlreiche Protokolle, darunter IPsec (Internet Protocol Security), SSL (Secure Sockets Layer) und WEP (Wired Equivalent Privacy).
  • Sie können intuitive Analyse- und Farbregeln auf das Paket anwenden.
  • Ermöglicht das Lesen oder Schreiben von Dateien in einem beliebigen Format.

Link : https://www.wireshark.org

11) Registrierungsaufklärung

Registry Recon ist ein Computerforensik-Tool zum Extrahieren, Wiederherstellen und Analysieren von Registrierungsdaten unter Windows. Mit diesem Programm können externe Geräte, die an einen beliebigen PC angeschlossen wurden, effizient ermittelt werden.

Eigenschaften:

  • Es unterstützt Windows XP, Vista, 7, 8, 10 und andere Betriebssysteme.
  • Dieses Tool stellt automatisch wertvolle NTFS-Daten wieder her.
  • Sie können es in das Microsoft Disk Manager-Dienstprogramm integrieren.
  • Mounten Sie schnell alle VSCs (Volume Shadow Copies) VSCs auf einer Festplatte.
  • Dieses Programm erstellt die aktive Registrierungsdatenbank neu.

Link : https://arsenalrecon.com/products/

12) Volatilitätsrahmen

Volatility Framework ist eine Software für die Speicheranalyse und Forensik. Es hilft Ihnen, den Laufzeitstatus eines Systems anhand der im RAM gefundenen Daten zu testen. Mit dieser App können Sie mit Ihren Teamkollegen zusammenarbeiten.

Eigenschaften :

  • Es verfügt über eine API, mit der Sie schnell nach PTE-Flags (Page Table Entry) suchen können.
  • Das Volatility Framework unterstützt KASLR (Kernel Address Space Layout Randomization).
  • Dieses Tool bietet zahlreiche Plugins zur Überprüfung des Betriebs von Mac-Dateien.
  • Der Befehl Failure wird automatisch ausgeführt, wenn ein Dienst nicht mehrmals gestartet werden kann.

Link : https://www.volatilityfoundation.org

13) Xplico

Xplico ist eine Open-Source-App für forensische Analysen. Es unterstützt HTTP (Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol) und mehr.

Eigenschaften :

  • Sie können Ihre Ausgabedaten in der SQLite-Datenbank oder der MySQL-Datenbank abrufen.
  • Mit diesem Tool können Sie in Echtzeit zusammenarbeiten.
  • Keine Größenbeschränkung für die Dateneingabe oder die Anzahl der Dateien.
  • Sie können problemlos jede Art von Dispatcher erstellen, um die extrahierten Daten auf nützliche Weise zu organisieren.
  • Es unterstützt sowohl IPv4 als auch IPv6.
  • Sie können eine DNS-Reservesuche in DNS-Paketen mit Eingabedateien durchführen.
  • Xplico bietet die PIPI-Funktion (Port Independent Protocol Identification) zur Unterstützung der digitalen Forensik.

Link : https://www.xplico.org

14) E-Fense

E-Fense ist ein Tool, mit dem Sie Ihre Anforderungen an Computerforensik und Cybersicherheit erfüllen können. Es ermöglicht Ihnen, Dateien von jedem Gerät in einer einfach zu bedienenden Oberfläche zu erkennen.

Eigenschaften :

  • Es bietet Schutz vor böswilligem Verhalten, Hacking und Verstößen gegen Richtlinien.
  • Sie können den Internetverlauf, den Speicher und die Bildschirmaufnahme von einem System auf einem USB-Stick abrufen.
  • Dieses Tool verfügt über eine einfach zu bedienende Oberfläche, mit der Sie Ihr Untersuchungsziel erreichen können.
  • E-Fense unterstützt Multithreading, dh Sie können mehr als einen Thread gleichzeitig ausführen.

Link : http://www.e-fense.com/products.php

15) Crowdstrike

Crowdstrike ist eine digitale forensische Software, die Bedrohungsinformationen, Endpunktsicherheit usw. bereitstellt. Sie kann Cybersicherheitsvorfälle schnell erkennen und beheben. Mit diesem Tool können Sie Angreifer in Echtzeit finden und blockieren.

Eigenschaften :

  • Mit diesem Tool können Sie Systemschwachstellen verwalten.
  • Es kann Malware automatisch analysieren.
  • Sie können Ihr virtuelles, physisches und Cloud-basiertes Rechenzentrum sichern.

Link : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/