В этой статье представлены бесплатные инструменты для проведения расследования инцидентов информационной безопасности.

Дисковые инструменты и сбор данных

• Arsenal Image Mounter утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
• DumpIt утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
• EnCase Forensic Imager утилита для создания доказательных файлов EnCase.
• Encrypted Disk Detector утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
• EWF MetaEditor утилита для редактирования метаданных EWF (E01).
• FAT32 Format утилита для форматирования дисков большой емкости в FAT32.
• Forensics Acquisition of Websites браузер, предназначенный для захвата веб-страниц для проведения расследований.
• FTK Imager просмотр и клонирование носителей данных в среде Windows.
• Guymager многопоточный утилита с GUI для создания образов дисков под управлением Linux.
• Live RAM Capturer утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
• NetworkMiner инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
• Magnet RAM Capture утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
• OSFClone утилита live CD/DVD/USB для создания dd или AFF образов.
• OSFMount утилита для монитирования образов дисков, также позволяет создавать RAM-диски.

Анализ электронной почты

• EDB Viewer утилита для просмотра файлов EDB Outlook без сервера Exchange.
• Mail Viewer утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
• MBOX Viewer утилита для просмотра электронных писем и вложений MBOX.
• OST Viewer утилита для просмотра файлов OST Outlook без сервера Exchange.
• PST Viewer утилита для просмотра файлов PST Outlook без сервера Exchange.

Анализ файлов и данных

• analyzeMFT утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
• bstrings утилита поиска в двоичных данных, включая поиск регулярных выражений.
• CapAnalysis утилита просморта PCAP.
• Crowd Response консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
• Crowd Inspect утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
• DCode утилита преобразует различные типы данных в значения даты / времени.
• Defraser утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
• eCryptfs Parser утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
• Encryption Analyzer утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
• ExifTool утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
• File Identifier онлайн анализ типа файлов (более 2000).
• Forensic Image Viewer утилита для извлечения данных из изображений.
• Link Parser утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
• Memoryze анализ образов RAM, включая анализ «page» файлов.
• MetaExtractor утилита для извеления мета-информации из офисных документов и pdf.
• Shadow Explorer утилита для просмотра и извлечения файлов из теневых копий.

Инструменты для Mac OS

• Audit утилита для вывода аудита и журналов OS X.
• Disk Arbitrator блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
• FTK Imager CLI for Mac OS консольная версия для Mac OS утилиты FTK Imager.
• IORegInfo утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
• mac_apt утилита для работы с образами E01, DD, DMG.
• Volafox утилита для анализа памяти в Mac OS X.

Мобильные устройства

• iPBA2 утилита анализа резервных копий iOS.
• iPhone Analyzer утилита анализа файловой структуры Pad, iPod и iPhone.
• ivMeta утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
• Rubus утилита для деконструирования резервных файлов Blackberry .ipd.
• SAFT извлечение SMS, журналов звонков и контактов из Android устройств.

---

Предыдущие статьи данного цикла:

Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок.
Компьютерная криминалистика (форензика): подборка полезных ссылок.