Компьютерная криминалистика — это процесс фиксирования, идентификации, извлечения и документирования цифровых доказательств для последующего использования в судебном процессе. Существует множество программных продуктов, которые помогают облегчить этот процесс. Данные программы предоставляют полный отчет, который впоследствии может быть использован для юридических процедур.
Ниже приведен подобранный вручную список из 10 лучших программных продуктов для форензики (цифровой криминалистики) в 2020 году, с описанием функционала и ссылками на веб-сайты. Список содержит как программное обеспечение с открытым исходным кодом (бесплатное), так и коммерческое (платное).
ВОЗМОЖНОСТИ
- Поиск и просмотр файлов без изменения метаданных.
- Автоматическое создание и запись MD5, SHA1 и SHA256 хэшей файлов.
- Создает копию диска, включая скрытый HPA раздел.
- Работает со всеми файловыми системами.
- Встроенная программа просмотра эскизов графики и реестра
- Интегрированный просмотрщик электронной почты Outlook, истории браузера, реестра и тд.
- Разработано в соответствии со спецификацией NIST Disk Imaging Tool Specification 3.1.6 для обеспечения высокого качества.
- Поддержка VMware для запуска захваченного образа.
ProDiscover Forensics
Мощный инструмент компьютерной безопасности, который позволяет специалистам правоохранительных органов находить все данные на компьютерном диске, одновременно защищая улики и создавая отчеты о качестве доказательств для использования в судебном разбирательстве.
ProDiscover — это дисковая система криминалистики, которая предоставляет множество функций для захвата и анализа дисков. Продукт поддерживает широкий спектр файловых систем Windows, Linux и Mac. ProDiscover гарантирует, что процессы захвата и анализа выполняются с применением криминалистических методов. Полученные отчеты отвечают требованиям доказательного качества.
ProDiscover интегрирован с полнотекстовым поисковым движком, набором встроенных средств просмотра и методов сравнения хэшей, все вместе это обеспечивает криминалистов простотой в использовании и в то же время мощным инструментарием. ProDiscover был разработан для удовлетворения требований NIST Imaging Tool Specification.
Dot C Technologies Pvt Ltd.
Third Floor, Nirvanaz, Plot No 240
Road No. 36, Jubilee Hills
Hyderabad — 500033
Telangana, India
Тел. +91 99084 99000
ВОЗМОЖНОСТИ
- Клонирование дисков.
- Чтения сырых (.dd) файлов образов, ISO, VHD, VHDX, VDI и VMDK.
- Полный доступ к дискам, RAID-массивам и образам размером более 2 ТБ (более 232 секторов) с размерами секторов до 8 КБ.
- Встроенная интерпретация JBOD, RAID 0, RAID 5, RAID 5EE и RAID 6, RAID для Linux, динамических диско Windows, LVM2.
- Автоматическая идентификация потерянных/удаленных разделов.
- Встроенная поддержка FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660/Joliet, UDF.
- Расчет массовых хешей для файлов (Adler32, CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD-128, RipeMD-160, Tiger-128, Tiger-16, Tiger-192, TigerTree).
X-Ways Forensics — это передовая рабочая среда для компьютерных экспертов-криминалистов. Работает под Windows XP/2003/Vista/2008/7/8/8.1/2012/10/2016*, 32 бит/64 бит, стандарт/PE/FE. По сравнению со своими конкурентами, X-Ways Forensics более эффективен в использовании, не ресурсоемок, находит удаленные файлы и поисковые запросы.
X-Ways Forensics полностью портативен и при желании может работать с USB-накопителя на любой системе Windows без установки. Скачивается и устанавливается в течение нескольких секунд (всего несколько мегабайт, а не гигабайт).
X-Ways Forensics базируется на шестнадцатиричном и дисковом редакторе WinHex и является частью эффективной модели рабочего процесса, в которой компьютерные криминалисты обмениваются данными и сотрудничают со следователями, использующими X-Ways Investigator.
X-Ways AG
PO box 62 02 08
50695 Cologne
Germany
Тел. +49 3212-123 2029
ВОЗМОЖНОСТИ
- Глубокая проверка сотен протоколов.
- Захват в реальном времени и анализ в автономном режиме.
- Стандартный трехпанельный браузер пакетов.
- Захваченные сетевые данные можно просматривать через графический интерфейс или с помощью утилиты TTY-режима TShark.
- VoIP-анализ.
- Чтение/запись различных форматов файлов захвата.
- Данные могут быть прочитаны с Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI и др.
Wireshark — бесплатный анализатор пакетов с открытым исходным кодом.
Wireshark является ведущим и широко используемым в мире анализатором сетевых протоколов. Он позволяет видеть, что происходит в вашей сети на микроскопическом уровне и является стандартом де-факто (и часто де-юре) для многих коммерческих и некоммерческих предприятий, государственных учреждений и образовательных учреждений.
Wireshark очень похож на tcpdump, но имеет графический интерфейс, а также некоторые встроенные опции сортировки и фильтрации.
Разработка Wireshark процветает благодаря добровольным пожертвованиям сетевых экспертов по всему миру и является продолжением проекта, начатого Джеральдом Комбсом в 1998 году.
The Wireshark team
Gerald Combs
ВОЗМОЖНОСТИ
- Глубокая проверка сотен протоколов.
- Захват в реальном времени и анализ в автономном режиме.
- Стандартный трехпанельный браузер пакетов.
- Захваченные сетевые данные можно просматривать через графический интерфейс или с помощью утилиты TTY-режима TShark.
- VoIP-анализ.
- Чтение/запись различных форматов файлов захвата.
- Данные могут быть прочитаны с Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI и др.
MAGNET RAM Capture — это бесплатный инструмент получения изображений, предназначенный для захвата физической памяти компьютера подозреваемого, позволяющий следователям восстанавливать и анализировать ценные артефакты, которые часто встречаются только в памяти.
MAGNET RAM Capture имеет небольшую зону памяти, что означает, что следователи могут запускать программу, минимизируя данные, которые перезаписываются в память. Данные захваченной памяти можно экспортировать в формате Raw (.DMP/.RAW/.BIN) и легко загрузить в ведущие инструменты анализа, включая Magnet AXIOM и Magnet IEF.
Улики, которые можно найти в оперативной памяти, включают в себя процессы и программы, запущенные в системе, сетевые соединения, доказательства вторжения вредоносного ПО, разделы реестра, имена пользователей и пароли, расшифрованные файлы и ключи, а также свидетельства активности, которые обычно не хранятся на локальном жестком диске.
Magnet Forensics
Herndon, VA, 2250 Corporate Park Drive, Suite 130
20171
Тел. 1-844-638-7884
Сайт https://www.magnetforensics.com/resources/magnet-ram-capture/
ВОЗМОЖНОСТИ
- Анализ файловой системы XFS.
- Захват и просмотр образов APFS с жёстких дисков Mac®.
- Создание экспертных образов локальных жестких дисков, CD и DVD, флэш-накопителей или других устройств USB.
- Просмотр и восстановление файлов, которые были удалены из корзины.
- Создание хэшей файлов для проверки целостности данных.
FTK Imager — это инструмент предварительного просмотра данных и визуализации, который позволяет быстро оценить перспективность дальнейшего анализа с помощью криминалистической программы AccessData® Forensic Toolkit® (FTK).
FTK Imager также может создавать идеальные копии (криминалистические снимки) компьютерных данных без внесения изменений в исходные улики.
FTK Imager
5 Merchant Square, Room 106
London, W2 1AY
UK
Тел. +44 20 78569500
Сайт https://accessdata.com/products-services/forensic-toolkit-ftk/ftkimager
ВОЗМОЖНОСТИ
- Sleuth Kit (Инструменты для анализа файловой системы).
- Plaso и log2timeline (инструмент генерации временных рамок).
- ssdeep & md5deep (инструменты для хеширования).
- Foremost/Scalpel (File Carving).
- Wireshark (Сетевая криминалистика).
- Фреймворк волатильности (анализ памяти).
- Autopsy (GUI фронт-енд для Sleuthkit).
The SIFT Workstation представляет собой группу бесплатных программ с открытым исходным кодом для служб реагирования на инциденты и проведения криминалистической цифровой экспертизы в различных условиях.
The SIFT Workstation — это дистрибутив программ для компьютерной криминалистики, который устанавливается на Ubuntu 16.04 и выше, а также Windows 10 Creators Edition и выше. В дистрибутиве имеются все необходимые программы для проведения детальной цифровой криминалистической экспертизы и реагирования на инциденты.
The SIFT Workstation совместим с форматами экспертным свидетельским форматом (E01), расширенным криминалистическим форматом (AFF), необработанным форматом (dd) и форматами улик анализа памяти.
SIFT Workstation
Сайт https://digital-forensics.sans.org/community/downloads/
ВОЗМОЖНОСТИ The Sleuth Kit
- Анализ необработанных (т.е. dd), Expert Witness (т.е. EnCase) и AFF-образов файловой системы и диска.
- Поддерживает файловые системы NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660 и YAFFS2.
ВОЗМОЖНОСТИ Autopsy
- Анализ Реестра
- Анализ LNK-файла
- Анализ электронной почты
- EXIF
- Профессиональный анализ файловой системы
- Извлечение строк Юникода
Sleuth Kit® — это набор утилит командной строки и библиотека C, позволяющая анализировать образы дисков и восстанавливать из них файлы. Она используется за кулисами Autopsy и многих других инструментов с открытым исходным кодом и коммерческими программами для компьютерной криминалистики.
Autopsy® — это простая в использовании программа с графическим интерфейсом, позволяющая эффективно анализировать жесткие диски и смартфоны. Она имеет архитектуру плагина, позволяющую находить дополнительные модули или разрабатывать пользовательские модули на Java или Python.
Эти инструменты используются тысячами пользователей по всему миру. Коммерческое обучение, поддержка и индивидуальная разработка доступны через компанию Basis Technology.
Sleuth Kit
Сайт https://www.sleuthkit.org/sleuthkit/
Autopsy
Сайт https://www.sleuthkit.org/autopsy/
Форум
ВОЗМОЖНОСТИ
- Восстановление пароля для 280+ типов файлов: MS Office, PDF, Zip и RAR, QuickBooks, FileMaker, Lotus Notes, кошельки Bitcoin, Apple iTunes Backup, Mac OS X Keychain, менеджеры паролей и многие другие популярные приложения.
- Сбор облачных данных.
- Версия для Mac ОС.
- Аппаратное ускорение.
- Анализ оперативной памяти.
- Криминалистика для мобильных устройств.
- Дешифровка FDE.
Passware Kit Forensic — это полноценное криптографическое решение для обнаружения электронных улик, которое позволяет получать отчеты и расшифровывать все защищенные паролем объекты на компьютере. Программа распознает 280+ типов файлов и работает в пакетном режиме восстановления паролей.
Passware Kit Forensic — находит все зашифрованные или защищенные паролем документы, архивы и другие файлы. Сортирует по сложности расшифровки.
Passware Kit Forensic — быстрое сканирование образов памяти и файлов спящего режима. Извлечение ключей шифрования для FileVault2, TrueCrypt, VeraCrypt и BitLocker для мгновенной расшифровки дисков и контейнеров. Создание словарей паролей или извлечение паролей учетных записей для Windows и Mac.
Passware, Inc.
800 West El Camino Real, Suite 180
Mountain View, CA 94040
Phone/Fax: +1 (844) 727-7927 (Только по вопросам покупки)
ВОЗМОЖНОСТИ
- Восстановление паролей к файловым архивам.
- Восстановление паролей к почтовым ящикам.
- Восстановление паролей SQL.
- Дешифровщик дисков.
- Взломщик мобильных устройств.
- Комплект инструментов для криминалистической экспертизы iOS.
- Восстановление паролей PDF.
Elcomsoft Premium Forensic Bundle — для снятия парольной защиты и мобильной криминалистики с поддержкой максимального числа форматов данных, мобильных систем и облачных сервисов.
Elcomsoft Premium Forensic Bundle — включает все продукты компании из линеек компьютерной и мобильной криминалистики. Каждый продукт поставляется в максимальной редакции. Набор продуктов позволяет восстанавливать доступ к зашифрованным данным и подбирать пароли к защищённым документам за минимально возможное время.
Elcomsoft Premium Forensic Bundle — для мобильной криминалистики позволяет извлекать и расшифровывать данные как из физических устройств, так и из локальных резервных копий и облачных сервисов. В состав пакета включены продукты для извлечения, просмотра и анализа данных.
ООО «Элкомсофт»
Звездный бульвар 21, офис 615
Москва, 129085
Российская Федерация
Сайт https://www.elcomsoft.ru/police_and_law_enforcement_solutions.html