Подборка бесплатных утилит компьютерной криминалистики (форензики)

    image

    В этой статье представлены бесплатные инструменты для проведения расследования инцидентов информационной безопасности.

    Дисковые инструменты и сбор данных


    • Arsenal Image Mounter утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
    • DumpIt утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
    • EnCase Forensic Imager утилита для создания доказательных файлов EnCase.
    • Encrypted Disk Detector утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
    • EWF MetaEditor утилита для редактирования метаданных EWF (E01).
    • FAT32 Format утилита для форматирования дисков большой емкости в FAT32.
    • Forensics Acquisition of Websites браузер, предназначенный для захвата веб-страниц для проведения расследований.
    • FTK Imager просмотр и клонирование носителей данных в среде Windows.
    • Guymager многопоточный утилита с GUI для создания образов дисков под управлением Linux.
    • Live RAM Capturer утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
    • NetworkMiner инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
    • Magnet RAM Capture утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
    • OSFClone утилита live CD/DVD/USB для создания dd или AFF образов.
    • OSFMount утилита для монитирования образов дисков, также позволяет создавать RAM-диски.


    Анализ электронной почты


    • EDB Viewer утилита для просмотра файлов EDB Outlook без сервера Exchange.
    • Mail Viewer утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
    • MBOX Viewer утилита для просмотра электронных писем и вложений MBOX.
    • OST Viewer утилита для просмотра файлов OST Outlook без сервера Exchange.
    • PST Viewer утилита для просмотра файлов PST Outlook без сервера Exchange.


    Анализ файлов и данных


    • analyzeMFT утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
    • bstrings утилита поиска в двоичных данных, включая поиск регулярных выражений.
    • CapAnalysis утилита просморта PCAP.
    • Crowd Response консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
    • Crowd Inspect утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
    • DCode утилита преобразует различные типы данных в значения даты / времени.
    • Defraser утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
    • eCryptfs Parser утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
    • Encryption Analyzer утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
    • ExifTool утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
    • File Identifier онлайн анализ типа файлов (более 2000).
    • Forensic Image Viewer утилита для извлечения данных из изображений.
    • Link Parser утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
    • Memoryze анализ образов RAM, включая анализ «page» файлов.
    • MetaExtractor утилита для извеления мета-информации из офисных документов и pdf.
    • Shadow Explorer утилита для просмотра и извлечения файлов из теневых копий.


    Инструменты для Mac OS


    • Audit утилита для вывода аудита и журналов OS X.
    • Disk Arbitrator блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
    • FTK Imager CLI for Mac OS консольная версия для Mac OS утилиты FTK Imager.
    • IORegInfo утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
    • mac_apt утилита для работы с образами E01, DD, DMG.
    • Volafox утилита для анализа памяти в Mac OS X.


    Мобильные устройства


    • iPBA2 утилита анализа резервных копий iOS.
    • iPhone Analyzer утилита анализа файловой структуры Pad, iPod и iPhone.
    • ivMeta утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
    • Rubus утилита для деконструирования резервных файлов Blackberry .ipd.
    • SAFT извлечение SMS, журналов звонков и контактов из Android устройств.




    Предыдущие статьи данного цикла:

    Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок.
    Компьютерная криминалистика (форензика): подборка полезных ссылок.
    Pentestit 592,14
    Информационная безопасность
    Поделиться публикацией

    Вакансии компании Pentestit

    Комментарии 18
    • +1
      А я по старинке mark0.net/soft-trid-e.html
      Over 9000 типов файлов идентифицирует.
      • –1
        Где-то этому учат?
        • Нет. Эти знания передаются генетически.
          • 0
            Вопрос в другом. Где эти знания могут пригодиться и стоит ли на это тратить время.
          • 0
            Из собственного опыта — совсем немного могут обучить на старших курсах специальностей, связанных с компьютерной безопасностью(специальность Компьютерная безопасность, КОИБАС и т.п.).
            В качестве обмена опытом — частенько можно столкнуться на CTF-соревнованиях, особенно в варианте Task-based CTF(Jeopardy), в категориях forensic\misc, можно как попробовать поучаствовать самому, так и в составе какой-то команды, а если это не интересно — то можно банально почитать разборы подобных заданий.
            Проблема в том, что часть из этих знаний, скажем так, потенциально опасная, и легально их можно применить в очень узких рамках: либо в исследовании своей собственной деятельности, либо очень ограничено в каком-нибудь отделе ИБ крупной компании, либо во всевозможных Отлелах К МВД и подобных госорганизациях.
            Если действительно есть интерес развиваться в эту сторону — я бы посоветовал пару месяцев поизучать наиболее популярные прогаммы на себе и своём компьютере, а дальше пытаться устроиться в отдел ИБ достаточно крупной компании(предварительно узнав, что там действительно будет возможность таким регулярно заниматься), или в какой-то из исследовательских центров при том же МВД.
            • 0

              Ну да, у нас же ведь любой ИБ-специалист может с лёгкостью устроиться в управление-ка-эмвэдэ России и исследовательские центры при том же эмвэдэ. Вы правда считаете, что овчинка стоит выделки с этим органом исполнительной власти?

              • 0
                Устроиться можно легко в профильные НИИ, например, в НИИ, входящие в «Концерн „Автоматика“. Только прежде чем Вас туда пустят, нужно подождать примерно 3 месяца ФСБ-шной проверки… Из-за этого лично в мое подразделение „не дождались“ 4 человека.
            • +1
              У нас в Германии есть в некоторых университетах целое направление. Оно называеться IT-Forensic/Computer Forensic/Cybercrime. Там реально обучают всему этому.
              Вот например: Bachelor of Science и как продолжение специализации Master of Science
            • 0
              А может кто-нибудь рассказать, как подобные утилиты можно использовать, чтобы мониторить несанкционированную активность на своем компе?
              • 0

                Это совсем другие утилиты

                • 0
                  А можете рассказать про них?
              • 0
                Спасибо за интересную подборку!
                • 0
                  Мне кажется, можно было бы и форензик-дисты в общий список этого добра включить
                  • 0
                    Я иногда использую Free-версию Encryption Analyzer: www.passware.com/encryption-analyzer. Сейчас продукты Passware становятся все более и более популярными у форензиков за бугром. Как вывод, при работе на фрилансе с форензиками надо учитывать то чем они пользуются
                    • 0
                      + Shellbag Analyzer. Позволяет просмотреть историю посещённых папок (в том числе сетевых), зачастую за последние несколько лет, включая те, которые уже удалены.
                      • 0
                        Не про системный уровень, но тоже про вмешательство.
                        Error level analysis и clone stamp analysis для оценки исправления картинки фотошопом 29a.ch/photo-forensics
                        • 0
                          Ссылка битая — iPBA2 ipbackupanalyzer.com

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое