Статья Наиболее важные компьютерные криминалистические инструменты для хакеров и профессионалов в области безопасности

[AnnaDavydova]

Инструменты компьютерной криминалистики чаще всего используются отраслями безопасности для проверки уязвимостей в сети и приложениях путем сбора доказательств и различного рода данных, чтобы определить факторы взлома и предпринять соответствующие шаги по смягчению его последствий.

Здесь вы найдете список инструментов комплексной компьютерной криминалистики, которые охватывает проведения криминалистического анализа, а также реагируют на различного рода инциденты во всей среде.

Набор компьютерных криминалистических инструментов

• DFIR – The definitive compendium project (Полный справочник) – Набор криминалистических ресурсов для обучения и исследований. Предлагает списки сертификатов, книг, блогов, задач и многое другое
• dfir.training – База данных судебных ресурсов, ориентированная на различные события, инструменты и многое другое
• ForensicArtifacts.com Artifact Repository (Репозиторий артефактов) – Машиночитаемая база знаний судебных артефактов

Инструменты

• Криминалистические инструменты на Wikipedia

• Бесплатные компьютерные криминалистические инструменты – Полный список бесплатных компьютерных криминалистических инструментов

Дистрибутивы

• bitscout – LiveCD/LiveUSB для удаленного криминалистического сбоора данных и анализа
• deft – Дистрибутив Linux для криминалистического анализа
• SANS Investigative Forensics Toolkit (sift) – Дистрибутив Linux для криминалистического анализа

Фреймворки
dff – Криминалистический фреймворк

• IntelMQ – IntelMQ собирает и обрабатывает каналы безопасности
• Laika BOSS – Laika - это объектный сканер и система обнаружения вторжений
• PowerForensics – PowerForensics является фреймворком для криминалистического анализа в реальном времени

• The Sleuth Kit – Инструменты для криминалистического анализа низкого уровня

• turbinia – Turbinia - это платформа с открытым исходным кодом для развертывания, управления и выполнения криминалистического объема работы

Живая криминалистика

• grr – GRR Rapid Response (Быстрое реагирование): дистанционный живой криминалистический анализ для реагирования на инциденты
• Linux Expl0rer – Простой в использовании инструментарий для криминалистического анализа для конечных точек Linux, написанный на Python & Flask
• mig – Распределенная и цифровая криминалистика проводимая в реальном времени со скоростью облака
• osquery – Аналитика операционной системы SQL

Создание образов

• dc3dd – Улучшенная версия dd
• dcfldd – Другая улучшенная версия dd (у этой версии есть некоторые ошибки!), Другая версия находится на github adulau/dcfldd)

• FTK Imager – Бесплатный инструмент для создания образов на Windows

• Guymager – Версия с открытым исходным кодом для создания образов дисков в Linux-системах

Carving

Больше информации можно получить, ознакомившись со списком анализа вредоносного программного обеспечения (Malware Analysis List)

• bstrings – Усовершенствованная утилита для строк
• bulk_extractor – Извлекает информацию, такую как адреса электронной почты, номера кредитных карт и гистограммы образов дисков
• floss – Инструмент статического анализа для автоматического деобфускации строк из вредоносных программ
• photorec – Инструмент для резки файлов

Криминалистические инструменты для работы с памятью
Больше информации можно получить, ознакомившись со списком анализа вредоносного программного обеспечения (Malware Analysis List)

• inVtero.net – Высокоскоростная платформа анализа памяти, разработанная в .NET, поддерживает все Windows x64, включает в себя целостность кода и поддержку записи.
• KeeFarce – Извлечение паролей KeePass из памяти
• Rekall – Криминалистический фреймворк для работы с памятью
• volatility – Криминалистический фреймворк для работы с памятью
• VolUtility – Веб-приложение для Volatility фреймворков
• BlackLight – Клиент криминалистических инструментов для Windows/MacOS поддерживающий hiberfil, pagefile, а также анализ необработанной памяти.
• DAMM – Дифференциальный анализ вредоносных программ в памяти, построенный на Volatility.
• evolve – Веб-интерфейс для фреймворка криминалистического анализа памяти Volatility.
• FindAES – Находит в памяти ключи шифрования AES.
• inVtero.net – Высокоскоростная платформа анализа памяти, разработанная в .NET, поддерживает все Windows x64, включает в себя целостность кода и поддержку записи.
• Muninn – Сценарий для автоматизации разделов анализа с использованием Volatility и созданием читаемого отчета.
• Rekall – Криминалистический фреймворк для работы с памятью, отделившийся от Volatility в 2013 году.
• TotalRecall – Сценарий, основанный на Volatility для автоматизации различных задач анализа вредоносных программ.
• VolDiff – Запускает Volatility на образах памяти до и после выполнения вредоносного программного обеспечения и сообщает об изменениях.
• Volatility – Расширенный криминалистический фреймворк для работы с памятью
• VolUtility – Веб-интерфейс для фреймворка криминалистического анализа памяти Volatility.
• WDBGARK – Расширение WinDBG Anti-RootKit.
• WinDbg – Обследование памяти в режиме реального времени и отладка ядра для систем Windows.

Сетевая криминалистика

• SiLK Tools – SiLK - это набор средств сбора сетевого трафика и набор инструментов компьютерной криминалистики для анализа.
• Wireshark – Инструмент анализа сетевого трафика
• NetLytics – Аналитическая платформа для обработки сетевых данных на Spark.

Артефакты Windows

• ArtifactExtractor – Извлечение общих артефактов Windows из исходных образов и VSC
• FastIR Collector – Сбор артефактов на windows
• FRED – Кросс-платформенный редактор ульев реестра microsoft
• LogonTracer – Исследует вредоносный вход в систему Windows, визуализируя и анализируя журнал событий.
• MFT-Parsers Сравнение MFT-парсеров
• MFTExtractor – MFT-парсер

• NTFS journal parser
• NTFS USN Journal parser

• RecuperaBit – Реконструирует и восстанавливает данные NTFS

• python-ntfs – Анализ NTFS

OS X Криминалистика

OSXAuditor

Интернет артефакты

• chrome-url-dumper – Сбрасывает всю локальную сохраненную информацию, собранную Chrome.
• hindsight – Интернет-криминалистика для Google Chrome/Chromium

Анализ временной шкалы

• DFTimewolf – Фреймворк для организации инструментов компьютерной криминалистики, сбора, обработки и экспорта данных с использованием GRR и Rekall
• plaso – Извлечение временных меток из разных файлов и их суммирование
• timesketch – Общий криминалистический анализ временной шкалы

Обработка образа диска

• aff4 – AFF4 - альтернативный, быстрый формат файла
• imagemounter – Утилита командной строки и пакет Python для упрощения (раз) монтирования криминалистических образов дисков
• libewf – Libewf - это библиотека и некоторые инструменты для доступа к формату сжатия экспертных свидетелей (Expert Witness Compression Format (EWF, E01))
• xmount – Преобразование между различными форматами образа диска

Расшифровка

• hashcat – Быстрый взломщик паролей с поддержкой GPU
• John the Ripper – взломщик паролей

Изучение криминалистики
Forensic challanges – Mindmap криминалистических проблем

• Training material – Онлайн-учебный материал Европейского агентства по сетевой и информационной безопасности (European Union Agency for Network and Information Security) на разные темы (например, Цифровая криминалистика, Сетевая криминалистика)

CTFs

• Forensics CTFs
• Precision Widgets of North Dakota Intrusion

Дополнительные источники информации

Книги
Больше информации можно получить, ознакомившись с книгой Андрю Кейса (Andrew Case) Рекомендованная литература (Recommended Readings)

• Сетевая криминалистика: отслеживаем хакеров в киберпространстве (Network Forensics: Tracking Hackers through Cyberspace) – Научитесь распознавать следы оставленные хакерами и обнаруживать доказательства в сети
• Искусство криминалистического анализа памяти (The Art of Memory Forensics) – обнаружение вредоносных программ и угроз в Windows, Linux и Mac Memory
• Практика отслеживания сетевой безопасности (The Practice of Network Security Monitoring) – Понимание обнаружения инцидентов и соответствующее реагирование на них

File System Corpora

• Digital Forensic Challenge Images – Две версии DFIR с образами

• Digital Forensics Tool Testing Images
• FAU Open Research Challenge Digital Forensics
• The CFReDS Project
• Hacking Case (4.5 GB NTFS Image)

Twitter

• @4n6ist
• @4n6k
• @aheadless
• @AppleExaminer – Apple OS X & iOS цифровая криминалистика
• @blackbagtech
• @carrier4n6 – Brian Carrier, атор Autopsy и Sleuth Kit
• @CindyMurph – Detective & Digital Forensic Examiner
• @forensikblog – Специалист в компьютерной криминалистике
• @HECFBlog – сертифицированный инструктор SANS
• @Hexacorn – DFIR+вредоносное программное обеспечение
• @hiddenillusion
• @iamevltwin – Mac Nerd, Криминалистический аналитик, Автор и инструктор SANS FOR518
• @jaredcatkinson – Криминалистическая PowerShell

• @maridegrazia – Эксперт по компьютерным криминалистам

• @sleuthkit
• @williballenthin
• @XWaysGuide

Блоги
link removed – еженедельные обновления темы - криминалистика

Другое

• /r/computerforensics/ – Subreddit для компьютерной криминалистики
• ForensicPosters – Постеры структур файловых систем