Добрый день Хабр. Сегодня, мы с вами окунемся в «О дивный мир» форензики. В данной статье Мы решили собрать программы, которые помогут Вам в проведении расследований и, что немаловажно, будут при этом бесплатными.
DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.
NirSoft Utility’s
Открывает наш лист сайт, на котором представлена подборка из нескольких сотен различных бесплатных утилит для специалиста по форензике. Здесь все, начиная от восстановления пароля к Windows до сетевого инструментария. Большинство инструментов не требует установки и работает, не оставляя следов. Каждый сможет найти здесь что-то что поможет ему в конкретно взятой ситуации.
Ссылка: https://www.nirsoft.net/
BULK_EXTRACTOR
Великолепный инструмент, позволяющий сканировать образы дисков, файлы, каталоги файлов и т. д.) и извлекать из них структурированную информацию, такую как адреса электронной почты, телефоны, номера кредитных карт, GPS-координаты, фрагменты файлов JPEG и JSON без анализа или структуры файловой системы.
Ссылка: https://github.com/simsong/bulk_extractor
SHERLOQ
Целый набор полезных инструментов для экспертизы электронных изображений в одном флаконе. Сервис применяет самые последние исследовательские алгоритмы к графическим файлам, что позволяет не только определять их подлинность, но и получать подробное техническое заключение о проведенной проверке.
Ссылка: https://github.com/GuidoBartoli/sherloq
VIDEOCLEANER
Позволяет анализировать фото и видеофайлы большинства форматов. Очень полезен при проведении расследований, поскольку делает возможным улучшение качества отображения лиц, государственных номеров автомобилей и иных объектов. Он улучшает качество и яркость изображения, изменяет сатурацию и устраняет искажения.
Ссылка: https://videocleaner.com/
ArtEx (Artifact Examiner)
Полезный криминалистический инструмент, позволяющий визуализировать содержимое iOS-смартфонов, а также извлекать данные. Работает с jailbroken-устройством или предварительно приготовленным образом. Позволяет строить таймлайны, анализировать перемещения между сотовыми вышками с визуализацией на карте. Парсит мессенджеры, анализирует транзакции и распознает лица на фото.
Ссылка: http://doubleblak.com/
Andriller
Утилита с набором криминалистических инструментов для Android-смартфонов. Позволяет осуществлять извлечение и декодирование данных устройства. Вскрывает парольную защиту на входе в гаджет. Имеет настраиваемые декодеры для данных приложений из баз данных Android для декодирования сообщений.
Ссылка: https://github.com/den4uk/andriller
MOBILedit
Приложение для копирования телефона на любой операционной системе, которое помогает переносить контакты и сообщения с других телефонов, создавать локальные резервные копии контента и позволяет управлять телефоном на ПК через Wi-Fi.
Ссылка: https://www.mobiledit.com/app-mobiledit
HINDSIGHT
Инструмент для экспертизы браузеров на движке Chromium. Собирает и анализирует веб артефакты браузера. Позволяет работать с историей скачивания, записями кеша, закладками, записями автозаполнения, сохраненными паролями, настройками, расширениями, cookie. Удобно систематизирует записи и раскладывает их на таймлайне.
Ссылка: https://github.com/obsidianforensics/hindsight
HackBrowserData
Open Source продукт, позволяющий извлекать данные из целой линейки браузеров (Chrome/Chromium, Microsoft Edge, QQ, Brave, Opera, Vivaldi, Ynadex и FireFox). Успешно вытаскивает пароли, закладки, историю, ссылки на скачивания, cookie и много другое.
Ссылка: https://github.com/moonD4rk/HackBrowserData
XPLICO
Инструмент, позволяющий анализировать сетевой трафик (HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, Facebook, MSN, RTP, IRC, Paltalk и т.д.). Крайне полезный инструмент для криминалистов.
Ссылка: http://xplico.org/
FILE IDENTIFIER
Утилита, позволяющая распознавать неизвестные файлы на компьютере с Windows. Позволяет вам искать информацию о любом файле Windows, используя опцию контекстного меню. Всего инструмент распознает более 2000 типов файлов по собственной базе.
Ссылка: https://windowsfileviewer.com/file_identifier
OSF clone
Инструмент, позволяющий быстро и независимо от установленной операционной системы создавать или клонировать точные необработанные образы дисков. Поддерживает образы дисков в открытом формате Advance Forensics Format (AFF). Умеет создавать криминалистический образ диска, сохраняя все неиспользуемые сектора, свободное пространство, фрагментацию файлов и не удалённые записи файлов с исходного жесткого диска.
Ссылка: https://www.osforensics.com/tools/create-disk-images.html
Autopsy
Безусловный фаворит, не нуждающийся в представлении. Полноценная платформа для цифровой криминалистики с собственным графическим интерфейсом. Используется правоохранительными органами, военными и корпоративными экспертами. Платформа была разработана для работы с модулями сторонних разработчиков.
Ссылка: http://sleuthkit.org/autopsy/
iLEAPP
Парсер логов, событий и Plist для iOS 11-14. Если Вы хоть раз занимались копанием в plist файлах айфона, то в полной мере оцените этот софт.
Ссылка: https://github.com/abrignoni/iLEAPP
ForensicWiki
Ну и напоследок, целый веб-ресурс в формате Wiki посвященный цифровой криминалистике. Тут Вы сможете найти ответы на почти любые интересующие Вас вопросы.
Ссылка: https://forensicswiki.xyz
Подписывайтесь на наш блог и не пропустите новые подборки инструментов по различным направлениям Информационной безопасности.