18.01.2018 10:37
LukaSafonov 13 25800 Источник
image

В этой статье представлены бесплатные инструменты для проведения расследования инцидентов информационной безопасности.

Дисковые инструменты и сбор данных


  • Arsenal Image Mounter утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
  • DumpIt утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
  • EnCase Forensic Imager утилита для создания доказательных файлов EnCase.
  • Encrypted Disk Detector утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
  • EWF MetaEditor утилита для редактирования метаданных EWF (E01).
  • FAT32 Format утилита для форматирования дисков большой емкости в FAT32.
  • Forensics Acquisition of Websites браузер, предназначенный для захвата веб-страниц для проведения расследований.
  • FTK Imager просмотр и клонирование носителей данных в среде Windows.
  • Guymager многопоточный утилита с GUI для создания образов дисков под управлением Linux.
  • Live RAM Capturer утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
  • NetworkMiner инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
  • Magnet RAM Capture утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
  • OSFClone утилита live CD/DVD/USB для создания dd или AFF образов.
  • OSFMount утилита для монитирования образов дисков, также позволяет создавать RAM-диски.


Анализ электронной почты


  • EDB Viewer утилита для просмотра файлов EDB Outlook без сервера Exchange.
  • Mail Viewer утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
  • MBOX Viewer утилита для просмотра электронных писем и вложений MBOX.
  • OST Viewer утилита для просмотра файлов OST Outlook без сервера Exchange.
  • PST Viewer утилита для просмотра файлов PST Outlook без сервера Exchange.


Анализ файлов и данных


  • analyzeMFT утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
  • bstrings утилита поиска в двоичных данных, включая поиск регулярных выражений.
  • CapAnalysis утилита просморта PCAP.
  • Crowd Response консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
  • Crowd Inspect утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
  • DCode утилита преобразует различные типы данных в значения даты / времени.
  • Defraser утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
  • eCryptfs Parser утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
  • Encryption Analyzer утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
  • ExifTool утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
  • File Identifier онлайн анализ типа файлов (более 2000).
  • Forensic Image Viewer утилита для извлечения данных из изображений.
  • Link Parser утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
  • Memoryze анализ образов RAM, включая анализ «page» файлов.
  • MetaExtractor утилита для извеления мета-информации из офисных документов и pdf.
  • Shadow Explorer утилита для просмотра и извлечения файлов из теневых копий.


Инструменты для Mac OS


  • Audit утилита для вывода аудита и журналов OS X.
  • Disk Arbitrator блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
  • FTK Imager CLI for Mac OS консольная версия для Mac OS утилиты FTK Imager.
  • IORegInfo утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
  • mac_apt утилита для работы с образами E01, DD, DMG.
  • Volafox утилита для анализа памяти в Mac OS X.


Мобильные устройства


  • iPBA2 утилита анализа резервных копий iOS.
  • iPhone Analyzer утилита анализа файловой структуры Pad, iPod и iPhone.
  • ivMeta утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
  • Rubus утилита для деконструирования резервных файлов Blackberry .ipd.
  • SAFT извлечение SMS, журналов звонков и контактов из Android устройств.



Предыдущие статьи данного цикла:

Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок.
Компьютерная криминалистика (форензика): подборка полезных ссылок.

Комментарии (13)


  1. EndUser
    18.01.2018 23:49
    #10624204

    А я по старинке mark0.net/soft-trid-e.html
    Over 9000 типов файлов идентифицирует.


  1. chicagoist
    19.01.2018 08:19
    #10624468

    Где-то этому учат?


    1. background_space_jpg_no-r
      19.01.2018 11:18
      #10624774

      Нет. Эти знания передаются генетически.


      1. ilijaz
        19.01.2018 13:29
        #10625124

        Вопрос в другом. Где эти знания могут пригодиться и стоит ли на это тратить время.


    1. Germanets
      19.01.2018 11:30
      #10624802

      Из собственного опыта — совсем немного могут обучить на старших курсах специальностей, связанных с компьютерной безопасностью(специальность Компьютерная безопасность, КОИБАС и т.п.).
      В качестве обмена опытом — частенько можно столкнуться на CTF-соревнованиях, особенно в варианте Task-based CTF(Jeopardy), в категориях forensic\misc, можно как попробовать поучаствовать самому, так и в составе какой-то команды, а если это не интересно — то можно банально почитать разборы подобных заданий.
      Проблема в том, что часть из этих знаний, скажем так, потенциально опасная, и легально их можно применить в очень узких рамках: либо в исследовании своей собственной деятельности, либо очень ограничено в каком-нибудь отделе ИБ крупной компании, либо во всевозможных Отлелах К МВД и подобных госорганизациях.
      Если действительно есть интерес развиваться в эту сторону — я бы посоветовал пару месяцев поизучать наиболее популярные прогаммы на себе и своём компьютере, а дальше пытаться устроиться в отдел ИБ достаточно крупной компании(предварительно узнав, что там действительно будет возможность таким регулярно заниматься), или в какой-то из исследовательских центров при том же МВД.


    1. bublik_xD
      19.01.2018 11:39
      #10624826

      У нас в Германии есть в некоторых университетах целое направление. Оно называеться IT-Forensic/Computer Forensic/Cybercrime. Там реально обучают всему этому.
      Вот например: Bachelor of Science и как продолжение специализации Master of Science


  1. julliet_peru
    19.01.2018 11:28
    #10624796

    А может кто-нибудь рассказать, как подобные утилиты можно использовать, чтобы мониторить несанкционированную активность на своем компе?


    1. bondbig
      19.01.2018 11:46
      #10624838

      Это совсем другие утилиты


      1. vis_inet
        21.01.2018 20:49
        #10627694

        А можете рассказать про них?


  1. bublik_xD
    19.01.2018 11:28
    #10624798

    Спасибо за интересную подборку!


  1. Juiceee
    19.01.2018 11:28
    #10624800

    Мне кажется, можно было бы и форензик-дисты в общий список этого добра включить


  1. EvilsInterrupt
    19.01.2018 11:59
    #10624868

    Я иногда использую Free-версию Encryption Analyzer: www.passware.com/encryption-analyzer. Сейчас продукты Passware становятся все более и более популярными у форензиков за бугром. Как вывод, при работе на фрилансе с форензиками надо учитывать то чем они пользуются


  1. Darkhon
    22.01.2018 10:57
    #10628168

    + Shellbag Analyzer. Позволяет просмотреть историю посещённых папок (в том числе сетевых), зачастую за последние несколько лет, включая те, которые уже удалены.