Sicherheit

Die besten kostenlosen Computer-Forensik-Tools

0 1.018 13 Minuten gelesen

Fast täglich sehen wir, dass es Datenlecks von Einzelpersonen oder Unternehmen ins Internet gibt, entweder aufgrund von Fehlkonfigurationen im Netzwerk und Computersystemen oder weil ein Cyberkrimineller erfolgreich war das landete dann im Internet. Heute werden wir in RedesZone über die besten sprechen kostenlose Tools für Computerforensik Denn wenn ein Sicherheitsvorfall auftritt, ist es wichtig zu verfolgen, woher er kam, was passiert ist und wie zu handeln ist, um sicherzustellen, dass es nicht noch einmal passiert. .

Einführung in die digitale forensische Datenverarbeitung

Digitale Forensik ist eine sehr wichtige Spezialität in der Computersicherheit. Es handelt sich um eine Reihe von Techniken, die es ermöglichen, Informationen aus den Platten und Speichern eines Computers zu extrahieren, ohne ihren Zustand zu ändern. Dies wird verwendet, um nach Daten zu suchen, ein Muster zu erkennen oder Informationen zu entdecken, die nicht deutlich sichtbar sind. Im Falle eines Sicherheitsvorfalls ist eine digitale forensische Analyse aller Informationsmedien wie Festplatten, SSDs, USB-Laufwerke und andere Arten von internen und externen Speichermedien unumgänglich.

Der Job eines forensischen Informatikers besteht aus mehreren Phasen, von denen die erste die Erfassung und Speicherung von Daten aus einem System ist, da es wichtig ist, alle Informationen an einem sicheren Ort aufzubewahren. Für diese Arbeit werden kostenlose und kostenpflichtige Softwaretools sowie Hardwaretools zum Klonen von Festplatten verwendet. An dieser Stelle ist es sehr wichtig, eine genaue Kopie der Festplatten zu haben und auf das gesamte Dateisystem zuzugreifen, das Dateisystem, Dokumente, interne Betriebssystemaufzeichnungen und vieles mehr im Detail zu scannen.

Dann haben wir die Phase der Tiefenanalyse aller Informationen, in der der Experte alle Informationen, die er erhalten hat, im Detail analysiert und versucht herauszufinden, was im System passiert ist, sodass es aufgedeckt wurde alle Daten weitergeben. Derzeit gibt es forensische Suiten, die unser Leben einfacher machen, weil wir eine große Menge an Informationen nach dem suchen können, was wir brauchen. Natürlich können wir Aktivitäten wie die Wiederherstellung zuvor gelöschter Dateien durchführen, da viele Informationen leicht wiederhergestellt werden können, da sie nicht überschrieben wurden.

Obwohl Sie zunächst denken mögen, dass die digitale forensische Analyse nur auf Computer, mobile Geräte wie Smartphones und Tablets usw. beschränkt ist, erstreckt sich die Wahrheit jedoch auch auf Daten, die wir über ein kabelgebundenes oder drahtloses Netzwerk senden und übertragen, also ist es sehr wichtig, Werkzeuge dieser Art zu haben.

Wenn wir Cyberkriminalität bekämpfen und die digitalen Assets, die wir im Internet haben, schützen wollen, ist dies am besten durch Computerforensik möglich. Dank dieser Tools, die wir Ihnen zeigen, werden wir in der Lage sein, diese wichtigen Tests verschiedener elektronischer Geräte und Datenträger zu erhalten und zu analysieren.

Als nächstes präsentieren wir eine umfassende Liste von forensischen Tools, sowohl für Computerforensik-orientierte Betriebssysteme als auch für Tools, die in diese Betriebssysteme integriert sind.

Komplette Betriebssysteme für Computerforensik

Derzeit gibt es All-in-One-Betriebssysteme, die über die überwiegende Mehrheit der Computer-Forensik-Tools verfügen, die wir unten sehen werden. Wenn Sie eine forensische Analyse planen und kein All-in-One-Betriebssystem mit Ihren eigenen Tools haben, können Sie mit diesen Betriebssystemen schnell loslegen.

CAINE

CAINE ist ein komplettes Betriebssystem speziell für Computerforensik, es basiert auf Linux und enthält die überwiegende Mehrheit der Tools, die wir für eine vollständige forensische Analyse benötigen. Es hat eine grafische Benutzeroberfläche und ist sehr einfach zu bedienen, obwohl Sie natürlich die entsprechenden Kenntnisse benötigen, um jedes seiner Tools zu verwenden.

CAINE kann im LiveCD-Modus verwendet werden, ohne den Speicher des Computers zu berühren, auf dem wir es starten möchten. Auf diese Weise bleiben alle Informationen auf der Festplatte erhalten, um später eine Kopie aller Informationen zu erstellen. Zu den in CAINE enthaltenen Tools gehören die folgenden: The Sleuth Kit, Autopsy, RegRipper, Wireshark, PhotoRec, Fsstat und viele mehr.

Ein sehr wichtiger Aspekt von CAINE ist, dass es auch über Tools verfügt, die direkt auf Windows-Betriebssystemen ausgeführt werden können. Wenn wir also das ISO-Image herunterladen und seinen Inhalt extrahieren, können wir auf die darin integrierte Software für Windows zugreifen, ohne das Programm starten zu müssen LiveCD oder verwenden Sie eine virtuelle Maschine. Einige der Tools für Windows, die wir zur Verfügung haben, sind: Nirsoft Suite + Launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, Netzwerktools, NTFS Journal Viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector , VLC und Windows-Dateianalyse.

Kali Linux

Kali Linux ist eines der am weitesten verbreiteten Betriebssysteme für Computersicherheit, sowohl für Penetrationstests als auch für Computerforensik, da wir eine Vielzahl von Tools vorinstalliert und konfiguriert haben, um so schnell wie möglich eine forensische Analyse zu starten.

Dieses Betriebssystem enthält nicht nur eine große Anzahl von forensischen Tools, sondern verfügt auch über einen speziellen Live-Modus für die forensische Analyse und schreibt überhaupt nichts auf die Festplatte oder den Computer, den internen Speicher, den wir auf unseren Computern haben. Es verhindert auch, dass bei der Einführung eines Wechseldatenträgers dieser automatisch gemountet wird, wir dies jedoch selbst manuell tun müssen.

DEFT Linux und DEFT Zero

Le System D ' Ausbeutung DEFT Linux ist auch speziell auf forensische Analysen ausgerichtet, integriert die überwiegende Mehrheit der CAINE- und Kali-Linux-Tools, es ist eine weitere Alternative, die wir haben und die wir verwenden können. Das Bemerkenswerteste an DEFT ist, dass es über eine große Anzahl von forensischen Werkzeugen verfügt.

DEFT Zero ist eine viel leichtere und kleinere Version von DEFT, sie ist genau darauf ausgerichtet, aber jetzt werden wir weniger Ressourcen benötigen, um sie problemlos verwenden zu können, außerdem ist sie sowohl mit 32-Bit als auch mit 64-Bit kompatibel als UEFI-Systeme.

Kostenlose forensische Analysetools

Nachdem wir alle auf IT und forensische Analyse ausgerichteten Betriebssysteme gesehen haben, werden wir verschiedene kostenlose Tools zur Durchführung forensischer Aufgaben sehen. Alle Tools, die wir Ihnen beibringen werden, sind völlig kostenlos, und tatsächlich sind sie in die Linux-Distributionen integriert, die wir Ihnen gerade gezeigt haben.

Autopsie- und Detektivkit

das Werkzeug Autopsie ist eines der am häufigsten verwendeten und empfohlenen, es wird uns ermöglichen, viele Open-Source-Programme und Plugins zu finden, es ist wie die Unix-Bibliothek und Windows-Dienstprogramme, die die forensische Analyse von Computersystemen erheblich erleichtern.

Autopsie ist eine grafische Benutzeroberfläche, die die Ergebnisse der forensischen Forschung anzeigt. Dieses Tool wird häufig von Polizei, Militär und Unternehmen verwendet, wenn sie untersuchen möchten, was mit einem Computer passiert ist.

Einer der interessantesten Aspekte ist, dass es erweiterbar ist, was bedeutet, dass Benutzer einfach und schnell neue Plugins hinzufügen können. Es wird mit einigen Tools wie PhotoRec geliefert, um Dateien standardmäßig wiederherzustellen, und es ermöglicht sogar das Extrahieren von EXIF-Informationen aus Bildern und Videos.

zu Das Sleuth Kit , ist es eine Reihe von Online-Bestelltools zur Untersuchung und Analyse der Datenträger- und Dateisysteme, die bei digitalen forensischen Untersuchungen verwendet werden. Dank seines modularen Aufbaus kann es verwendet werden, um die richtigen Daten zu erhalten und Beweise zu finden. Außerdem ist es kompatibel und funktioniert unter Linux und funktioniert auf Windows- und Unix-Plattformen.

Magnetisch verschlüsselter Disk-Detektor

Dieses Tool funktioniert über die Befehlszeile, es überprüft schnell und unaufdringlich die verschlüsselten Volumes auf einem Computer, um zu sehen, ob sie vorhanden sind, und versucht dann, mit anderen Tools darauf zuzugreifen. Die neueste verfügbare Version ist 3.0, und es wird empfohlen, zusätzlich das Betriebssystem Windows 7 oder höher zu verwenden. Dieses Tool ermöglicht es uns, mit TrueCrypt, PGP, VeraCrypt, SafeBoot oder Bitlocker von Microsoft verschlüsselte physische Datenträger zu erkennen. Magnetverschlüsselter Disk-Detektor ist völlig kostenlos, aber wir müssen uns auf der offiziellen Website registrieren, um mit dem Download fortzufahren.

Magnetische RAM-Erfassung und RAM-Erfassung

Magnet-RAM-Erfassung ist ein Tool, das entwickelt wurde, um den physischen Speicher des Computers zu erhalten, auf dem wir ihn verwenden. Dadurch können wir sehr wertvolle Daten abrufen und analysieren, die im RAM und nicht auf Festplatte oder SSD gespeichert sind. In einigen Fällen müssen Sie möglicherweise direkt im RAM nach Beweisen suchen und bedenken, dass der RAM flüchtig ist und jedes Mal gelöscht wird, wenn Sie das Gerät ausschalten.

Was ist im RAM? Prozesse, auf dem System laufende Programme, Netzwerkverbindungen, Malware-Beweise, Benutzeranmeldeinformationen und vieles mehr. Dieses Tool ermöglicht den Export von Rohspeicherdaten ohne Verarbeitung, um diese Informationen später in andere speziell dafür entwickelte Tools zu laden. Natürlich ist auch diese Software kostenlos.

Ein weiteres ähnliches Werkzeug ist RAM-Capturer , können wir die Daten aus dem RAM-Speicher eines Computers auf eine Festplatte ausgeben, a USB-Stick oder ein anderes entfernbares Speichergerät. Dieses Tool ermöglicht es uns, auf Benutzeranmeldeinformationen von verschlüsselten Volumes wie TrueCrypt, BitLocker, PGP Disk oder Kontoanmeldeinformationen für viele Webmail-Dienste und soziale Netzwerke zuzugreifen, da all diese Informationen normalerweise im RAM-Speicher gespeichert werden.

Magnetische Prozesserfassung

MAGNET Process Capture ist ein kostenloses Tool, mit dem wir den Speicher einzelner Prozesse in einem System erfassen können, dh wenn wir wissen müssen, welche Daten ein bestimmter Prozess in unserem Betriebssystem verwendet, können wir dies damit tun.

Magnet- und FAW-Webseitenschoner

MAGNET Webseitenschoner ist eine Alternative zum vorherigen und wird aktualisiert, damit wir alle Verbesserungen haben. Dieses Tool ist perfekt, um zu erfassen, wie das Web zu einem bestimmten Zeitpunkt ist. Es ist besonders nützlich, wenn wir eine Website anzeigen möchten, aber keine Internetverbindung haben. Darüber hinaus ermöglicht dieses Tool das Erfassen jeder Seite, wir können die URLs manuell angeben oder über eine Text- oder CSV-Datei importieren, außerdem können wir problemlos im heruntergeladenen Internet surfen.

FAW oder Forensics Acquisition of Websites, ist ein Tool, mit dem wir komplette Webseiten für weitere forensische Analysen herunterladen können. Die Anforderungen dieses Tools sind sehr einfach, sodass Sie es problemlos ausführen können. Mit diesem Tool können wir einfach und schnell Beweise von Webseiten erfassen. Andere coole Features sind, dass wir entscheiden können, welchen Bereich des Webs wir crawlen möchten, wir können die Bilder erfassen, den HTML-Quellcode und es kann sogar in Wireshark integriert werden, das wir zuvor gesehen haben.

SIEB

SIFT , was für SANS Investigative Forensic Toolkit steht, ist eine umfassende Suite forensischer Tools und eine der beliebtesten Open-Source-Plattformen zur Reaktion auf Vorfälle. Was die Betriebssysteme angeht, haben wir eine Version für die Verwendung in der virtuellen Maschine, die Ubuntu LTS 16.04 in seiner 64-Bit-Version verwendet. Diese Version hat erhebliche Änderungen erfahren, wie zum Beispiel eine bessere Speichernutzung, die automatische Aktualisierung des DFIR Paket für die Reaktion auf Computervorfälle, integriert die neuesten forensischen und technischen Tools sowie die Querverfügbarkeit zwischen Linux und Windows.

Dieses Tool ist ein wirklich interessantes und empfehlenswertes All-in-One-Tool, alle Tools sind kostenlos und wurden entwickelt, um detaillierte digitale forensische Untersuchungen durchzuführen, die eine Vielzahl von Situationen unterstützen. Eines der bemerkenswertesten Dinge ist, dass es sehr häufig aktualisiert wird.

Flüchtigkeit ist eine weitere Open-Source-Speicheranalyseanwendung für die Reaktion auf Vorfälle und Malware-Analysen. Dieses Tool ist in SIFT integriert. Es ermöglicht Forschern, den Betriebszustand eines Geräts zu analysieren, indem sie den RAM lesen. Volatilität hat nicht viele Updates, aber dieses Framework ist wirklich mächtig und es gibt immer Updates.

Wir empfehlen Ihnen, die offizielle Website zu besuchen, auf der Sie alle Details zu diesem hervorragenden Tool finden.

Hash- und Integritätsprüfungsprogramme

HashMyFiles hilft Ihnen bei der Berechnung von MD5- und SHA1-Hashes und funktioniert auf fast allen Windows-Betriebssystemen. Dieses Tool wird von allen am häufigsten verwendet, um diese Hashes zu berechnen und die Integrität aller Dateien zu gewährleisten. Wenn Sie also nur ein Bit ändern, wird es auch den Hash, den wir haben, komplett ändern. Es gibt viele andere Programme dieser Art, sowohl für Windows als auch für Linux, um nur einige zu nennen, in Windows haben wir auch Igorware-Hasher , Hash-Check , HashTools und viele andere, für Linux haben wir standardmäßig md5sum und sha1sum im Betriebssystem selbst installiert.

Publikumsreaktion

Crowdresponse ist eine Windows-Anwendung von Crowd Strike. Mit diesem Tool können Sie Informationen vom Betriebssystem sammeln, um auf aufgetretene Vorfälle und etwaige Kompromisse bei der Systemsicherheit zu reagieren. Dieses Programm ist portabel, erfordert keine Installation und alle Module sind in die Hauptanwendung integriert und es sind keine externen Tools von Drittanbietern erforderlich.

CrowdResponse ist ideal zum Sammeln nicht-intrusiver Daten aus mehreren Systemen, wenn es im Netzwerk platziert wird. Es hat auch andere nützliche Tools für Shellshock Scanner-Ermittler, die Ihr Netzwerk auf eine Shellshock-Sicherheitslücke scannen und vieles mehr.

Exiftool

Alle Bilder und Videos betten EXIF-Daten zusammen mit allen Bildmetadaten ein. Dieses kostenlose Tool hilft Ihnen beim Lesen, Schreiben und Bearbeiten von Metainformationen für verschiedene Dateitypen. Es kann EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix usw. lesen. Dieses Tool läuft direkt ohne Installation, ist portabel und für Windows und macOS verfügbar.

Dieses Tool ist eine eigenständige Perl-Bibliothek sowie eine Befehlszeilenanwendung zum Lesen, Schreiben und Bearbeiten von Metainformationen in einer Vielzahl von Formaten.

Wie Sie sehen, unterstützt es viele verschiedene Metadatenformate und einige seiner Funktionen umfassen Geotag-Bilder von GPS-Tracking-Protokolldateien mit Zeitdriftkorrektur, und es generiert auch Geotagged-Image-Tracking-Protokolle.

Dieses Tool ist eines der umfassendsten, um alle Metadaten eines Bildes anzuzeigen.

Browser History Capturer (BHC) und Browser History Viewer (BHV)

El software Browser History Erfassen Sie unsere Erlaubnis zum Erfassen der historischen Web-Navigationssysteme Büro.

Wir können beides kostenlos finden. Diese Tools können über einen USB-Speicher ausgeführt werden und erfassen im Wesentlichen den Verlauf der wichtigsten Browser: Chrome, Edge, Firefox und Internet Explorer. Verlaufsdateien werden im Originalformat zur weiteren Verarbeitung an ein Ziel kopiert.

Paladin forensische Suite

Paladin ist ein Ubuntu-basiertes Tool, das die Aufgabe der Computer-Forensik vereinfacht. Wir werden eine große Anzahl von Tools in dieser Suite finden, um verschiedene Aufgaben auszuführen. Das bemerkenswerteste ist, dass es mehr als 100 sehr nützliche Tools zur Untersuchung von Computervorfällen integriert. Dank Paladin können wir forensische Aufgaben vereinfachen und beschleunigen. Diese Software verfügt über eine grafische Benutzeroberfläche, sie erfordert keine Online-Befehle und erleichtert daher die Verwendung erheblich.

FTK-Imager

FTK Imager ist ein forensisches Tool für Windows-Systeme, das es uns ermöglicht, wiederherstellbare Daten von jedem Datenträger jeglichen Typs in der Vorschau anzuzeigen. Sie können auch perfekte Kopien, sogenannte forensische Bilder, dieser Daten erstellen. Unter den zusätzlichen Features und Funktionen haben wir die Möglichkeit, Hash-Dateien zu erstellen oder bereits erstellte Disk-Images zu mounten, ist ein weiterer wichtiger Vorteil, der erwähnt werden muss.

Anscheinend sieht AccessData FTK Imager wie ein sehr professionelles Werkzeug aus, das nur für fortgeschrittene Computerforensik-Experten entwickelt wurde. Es ist jedoch tatsächlich einfacher zu bedienen als es aussieht und könnte von mehr Menschen verwendet werden.

Bulk-Extraktor

Bulk_extractor ist ein Computer-Forensik-Tool, mit dem wir das Image einer Festplatte, einer Datei oder eines Dateiverzeichnisses scannen können. Die Ergebnisse, die wir erhalten, können mit automatisierten Tools leicht überprüft und analysiert werden. Bemerkenswert ist, dass dieses Tool im Gegensatz zu anderen ähnlichen Programmen sehr schnell ist. Dies liegt daran, dass es die Struktur des Dateisystems ignoriert und verschiedene Teile der Festplatte parallel verarbeiten kann.

LastActivityView

LastActivityView ist ein tragbares Softwaretool zum Anzeigen der zuletzt auf Ihrem PC aufgezeichneten Aktivität. In Bezug auf diese Anwendung ist ein wichtiger Aspekt zu erwähnen, nämlich dass die Windows-Registrierung nicht mehr aktualisiert wird. LastActivityView hat eine sehr gute Reaktionszeit und ist in der Lage, Aktivitäten vor der ersten Ausführung zu erkennen. Außerdem arbeitet es mit einer sehr geringen Menge an CPU und RAM, sodass die Gesamtleistung Ihres Computers nicht beeinträchtigt wird. Dass es wenig Ressourcen verbraucht, ist sehr positiv und sollte geschätzt werden.

FireEye RedLine

FireEye ist ein Endpunktsicherheitstool, das Benutzern Host-Untersuchungsfunktionen bietet, um durch Speicher- und Dateiscans Anzeichen für bösartige Aktivitäten zu finden. In diesem Fall ist zu beachten, dass es unter OS X und Linux verfügbar ist.

Zu den Hauptfunktionen gehören die Überwachung und Erfassung aller laufenden Prozesse und Steuerelemente aus dem Speicher, Dateisystem-Metadaten, Protokolldaten, Ereignisprotokolle, Netzwerkinformationen, Dienste, Aufgaben und Webverlauf. Wir können auch die Tiefenanalyse als sehr nützlich erachten, da sie es dem Benutzer ermöglicht, den Zeitrahmen und das Ausmaß eines Vorfalls zu bestimmen.

Wireshark und Netzwerk-Miner

Kabelgebundener HaiEs ist derzeit einer der besten Netzwerkprotokoll-Analyzer auf dem Markt, es ist das bekannteste und am häufigsten verwendete, plattformübergreifend (Windows, Linux, FreeBSD und mehr) und natürlich völlig kostenlos. In RedesZone haben wir mehrmals über dieses wichtige Tool gesprochen, und es ist möglich, eine vollständige forensische Analyse des lokalen Netzwerks durchzuführen und alle Pakete für weitere Untersuchungen zu durchsuchen. Wireshark ermöglicht uns eine eingehende Inspektion aller erfassten Pakete und verfügt über eine grafische Benutzeroberfläche, um alles detailliert nach Schichten kategorisiert (physisch, Link, Netzwerk, Transport- und Anwendungsschicht) zu sehen. Mit den Informationen, die Wireshark erfasst, können wir die Informationen mit TShark über die Befehlszeile anzeigen. Das Bemerkenswerteste an Wireshark sind die Filter,

Network Miner ist Wireshark sehr ähnlich, es ist ein forensischer Netzwerkanalysator für Windows, Linux und MAC OS X. Dieses Tool wird verwendet, um Betriebssystem, Hostname, Sitzungen und IP-Adressen und die Ports zu erkennen, die zur Erfassung der Daten verwendet wurden. Network Miner kann verwendet werden, um über das Netzwerk übertragene Pakete zu analysieren und sogar zu erfassen, wir können die Betriebssysteme von Computern im Netzwerk, offene Ports und vieles mehr erkennen.

Diese beiden Tools ermöglichen es uns auch, Benutzeranmeldeinformationen, digitale Zertifikate, Klartextinformationen zu erhalten und sogar Kommunikation zu entschlüsseln, wenn wir sie entschlüsseln oder den Entschlüsselungsschlüssel haben. Network Miner hat eine kostenlose Version, aber auch eine kostenpflichtige Version, mit der wir auf alle erweiterten Funktionen wie Betriebssystemerkennung, IP-Geolocation und vieles mehr zugreifen können.

0 1.018 13 Minuten gelesen

Ähnliche Artikel

Foto von Entwickeln Sie Anwendungen? Hüten Sie sich vor dem Risiko einer Konfigurationsdrift

Entwickeln Sie Anwendungen? Hüten Sie sich vor dem Risiko einer Konfigurationsdrift

Juni 22, 2021
Foto von Wurden Sie gehackt? Das sind sicher die Gründe

Wurden Sie gehackt? Das sind sicher die Gründe

Juni 22, 2021
Foto von Schützen Sie Ihre E-Mail-Adresse, indem Sie sie mit Firefox Relay verbergen

Schützen Sie Ihre E-Mail-Adresse, indem Sie sie mit Firefox Relay verstecken

Juni 22, 2021
Foto von NordVPN vs Mullvad: zwei großartige VPNs im Vergleich

NordVPN vs Mullvad: zwei hervorragende VPNs im Vergleich

Dezember 29, 2020

Hinterlasse eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

Button zurück nach oben