image

Zelf detective spelen; overzicht forensische tools

donderdag 26 oktober 2006, 12:42 door Redactie, 14 reacties

Hoe goed je als forensisch onderzoeker ook bent, zonder tools is het onderzoeken van een computer een lastige aangelegenheid. Gelukkig voor deze beroepsgroep zijn er talloze toolkits en andere programma's te vinden die helpen bij het vinden van digitale sporen. De software is in veel gevallen vrij beschikbaar en kan, afhankelijk van de complexiteit, door menig IT hobbyist en ethousiasteling gebruikt worden. Hieronder een lijst van populaire en veel gebruikte forensische tools, die ook nog eens gratis zijn. De lijst is niet compleet, en aanvullingen zijn dan ook zeker welkom.

System Forensics, Investigation & Response
De eerste drie tools op deze lijst worden tijdens de "System Forensics, Investigation & Response" cursus van SANS Amsterdam 2006 behandeld (tweede week november). Later deze week voelen we SANS nog aan de tand over de cursus, maar hier alvast de gebruikte software:

Sleuthkit
De SleuthKit, die voorheen bekend stond als TASK, is een verzameling van digitale onderzoekstools. De tools draaien op Linux, OS X, FreeBSD, OpenBSD en Solaris, en zijn in staat om FAT, NTFS, UFS, EXT2FS en EXT3FS te analyseren. De file system tools laten het file systems van een verdachte computer op een "non-intrusive" manier onderzoekers. Omdat de software niet afhankelijk is van het besturingssysteem om bestandssystemen te verwerken, worden verwijderde en verborgen content zichtbaar.

Autopsy Forensic Browser
De Autopsy Forensic Browser is eigenlijk een aanvulling op de Sleuthkit. Om de vervelende command line tools te vervangen zorgt de browser voor een grafische interface waarmee ze bediend kunnen worden. Hierdoor wordt het makkelijker om een onderzoek uit te voeren. Autopsy biedt case management, image integrity, keyword searching en ander geautomatiseerde operaties.

Windows Forensic Toolchest
De Windows Forensic Toolchest, ontwikkeld door Fool Moon Software & Securtiy, automatiseert "live forensics" en incident response (hoewel het ook voor auditing wordt gebruikt). WFT verzamelt security-gerelateerde informatie en toont die niet alleen op een manier die voor de gebruiker geschikt is, maar ook op een manier die tijdens een rechtszaak gebruikt kan worden.

Overige Toolkit's

The Coroner's Toolkit
The Coroner's Toolkit, het werk van Dan Farmer en Wietse Venema (en dat is inderdaad de Nederlander die verantwoordelijk is voor Postfix), is een verzameling tools voor een "post-mortem analyse" van een UNIX systeem na een inbraak. De software draait op FreeBSD, OpenBSD, BSD/OS, SunOS/Solaris en Linux. De ontwikkelaars waarschuwen dat de toolkit nog niet helemaal is afgewerkt en daardoor niet voor iedereen geschikt is.

Browser Tools

DumpAutoComplete v0.7: Dumpt de inhoud van Firefox's AutoComplete cache (en autocomplete bestanden) in XML formaat.

Pasco v1.0: Een forensische analyse tool voor het onderzoeken van "Internet Explorer activiteiten" (Pasco betekent in het Latijns browsen).

Galleta v1.0: Bekijkt de inhoud van de cookie bestanden van Internet Explorer.

History Reader voor IE 5.x en 6.x: Leest alle informatie in de history database en maakt een lijst in chronologische of alfabetische volgorde.

Overig

PMDump: Dumpt de geheugen inhoud van een proces naar een bestand, zonder het proces te stoppen.

PHLAK: De [P]rofessional [H]acker's [L]inux [A]ssault [K]it is een complete verzameling voor de security professional en bevat tools voor forensics, penetratie testen, security analyse en auditing.

Open Computer Forensics Architecture: De Open Computer Forensics Architecture (OCFA) is een modulair computer forensisch raamwerk ontwikkeld door de KLPD. Het heeft als doel om het digitale forensisch proces te versnellen en onderzoekers via een makkelijk te gebruiken interface direct toegang tot in beslag genomen gegevens te geven. De architectuur vormt een omgeving waar bestaande forensische tools en libraries eenvoudig aan toegevoegd kunnen worden.

PyFlag: Deze "Forensic en Log Analyse GUI" is ontwikkeld om het proces van log file analyse en forensisch onderzoek te vereenvoudigen.

Helix: Is een aangepaste distributie van de Knoppix Live Linux CD. Helix is zo ontworpen dat het de host computer op geen enkele wijze "aanraakt" wat handig is tijdens een forensisch onderzoek.

RDD: Forensische DD van het Nederlands Forensisch Instituut. In tegenstelling tot de meeste kopieerprogramma's is rdd robuust als het gaat om leesfouten, wat erg belangrijk is in een forensische omgeving.

Tulp2G: Forensisch raamwerk voor het extracten en decoderen van gegevens in electronische apparaten.

Nog veel meer handige tools zijn te vinden op http://www.forensics.nl/tools

Reacties (14)
26-10-2006, 16:21 door Anoniem
Mischien nog een leuke tip met dir voor de gene die het nog niet wisten.
Kan je onder msdos als je in de map c:documenten en settings bent
een overzicht krijgen met alle onlangs geopende documenten files films
etc etc etc inclusief met datum en tijd.Het commando hier voor is dir/x/s.
26-10-2006, 20:07 door Karl Hungus
27-10-2006, 01:19 door Anoniem
In de afgelopen paar jaar heb ik getracht een aantal tools te verzamelen
die mij kunnen ondersteunen bij pro-actief onderzoek, en bij (forensisch)
onderzoek van incidenten. Door de veelzijdigheid van incidenten krijg je
vanzelf inzicht in de behoeften aan bepaalde tools.
Alhoewel ik de tools die in het artikel genoemd worden zeker niet zal
bekritiseren heb ik zelf het liefst mijn "toolkit" altijd op zak als usb stick en
is deze voornamelijk toegespitst op onmiddelijk gebruik in de windows
omgeving. Het is voor mij belangrijk dat de tools vanaf usb stick direct
gebruikt kunnen worden, een overzicht kunnen genereren dat leesbaar is
voor het management en bij voorkeur gratis of niet te duur zijn.

Evidence Mover (http://www.microforensics.com/)
Evidence Mover automates transferring evidentiary data from one location
to another—verified 100-percent intact. Simply specify the source and
destination directories; Evidence Mover does the rest.

Forensic Registry List (http://rudy.meijer.googlepages.com/)
Dit programma zoekt naar een woord in het register en geeft de register
sleutel tesamen met de datum en tijd waarop de sleutel gewijzigd is weer
in een lijst. T.b.v. forensisch onderzoek kan ook in off-line registers gezocht
worden. Er kan een tijdstip worden opgegeven zodat alle
registerwijzigingen van b.v. het afgelopen uur worden weergegeven.
Hierdoor is eenvoudig inzicht te krijgen in wat een software installatie of
een virus in het register heeft aangepast.

Recover My Files (http://www.recovermyfiles.com/)
"Recover My Files combines simplicity of use and speed with the most
powerful data recovery engine, together with a unique capability of "on-the-
fly" viewing while the search is being conducted."

Winaudit (http://www.pxserver.com/)
The programme reports on virtually every aspect of computer inventory and
configuration. Results are displayed in web-page format, categorised for
ease of viewing and text searching. Whether your interest is in software
compliance, hardware inventory, technical support, security or just plain
curiosity, WinAudit has it all. The programme has advanced features such
as service tag detection, hard-drive failure diagnosis, network port to
process mapping, network connection speed, system availability statistics
as well as Windows® update and firewall settings.

Natuurlijk de diverse tools van Nirsoft (http://www.nirsoft.net/)

PC On/Off Time (http://www.neuber.com/free/pctime/index.html)
This free time tracking tool shows the times your computer has been active
during the last 3 weeks, with no previous setup required. The software
doesn't need to run in the background, because Windows OS tracks login
and logoff times (working hours) by default, and the program analyses it.

Online Forensics of Win32 System Guide
(http://www.first.org/resources/guides/ofw32.zip)
This document will attempt to outline how to take volatile data from a live
system before evidence is possibly lost.

Doc Scrubber (http://www.docscrubber.com)
Analyze Word Documents and discover hidden or potentially embarassing
data they may contain.

Forensic IE History Reconstructor (http://www.d-construct.co.uk/)
The software is designed to rebuild web pages from within the Temporary
Internet Cache.

XNView (http://www.xnview.com/)
is a very fast, free graphic files browser, viewer and converter. Supports
more than 400 graphics formats, multi platform. Probably the best tool of
this kind, it also handles proprietary formats other tools do not because of
legal issues (example: opens and converts WBZ format from Webshots).
Very usefull for contentscans on corporate networks. Can also generate
filelistings.

Als er interesse is heb ik nog wel wat meer software tips. Vooral de tools
voor het gebruik in grotere netwerken of active directory omgevingen blijven
vaak onderbelicht. Hierdoor heb ik zelf de nodige gegevens bij elkaar
gesprokkeld.
27-10-2006, 10:40 door Anoniem
Veel zaken gaan stuk doordat de klant al aan de slag is gegaan zonder
vergunning. Dat is bij de rechter niet uit te leggen en kan je tevens op een
boete van 11.500 euro komen te staan..
28-10-2006, 00:53 door Anoniem
PMDump: crashed overigens als je het export na een file en dan opend
met notepad of edit etc..
28-10-2006, 07:08 door Anoniem
Koekie,

PMdump files kun je lezen met Filealyzer. Te vinden op de
site van Spybot S&D.

Ik heb Helix geprobeerd. Met grote gevolgen. Heb Norton anti
-virus en mijn firewall opnieuw moeten installeren. En van
alles wordt niet meer bij het booten opgestart. Snelle
schone opstart nu. Een geluk bij een ongeluk zeg maar.
28-10-2006, 11:59 door Anoniem
PMdump files kun je lezen met Filealyzer. Te vinden op de
site van Spybot S&D.

Thx,Heb em gevonden :
http://www.safer-networking.org/nl/download/index.html

Zit hier overigens geen spy ware in want Spybot - Search & Destroy 1.4
Ben ik wel eens tegen gekomen bij een kennis toen ik de pc aan het
repareren was en dat was echt een ramp omdat programma te
verwijderen.
28-10-2006, 20:40 door Anoniem
Koekie,
Filealyzer is een losse download. Spybot staat toch overal
goed bekend. Ik heb nooit moeite gehad deze te verwijderen.
Adaware en Windows defender draai ik ook. En die melden
hier ook niets verkeerd over Spybot.
29-10-2006, 20:07 door Anoniem
Ik weet niet waaraan het lag dan maar thx for info wilde even zeker weten
dat het de goede site was :)
29-10-2006, 21:14 door G-Force
[color=black]
...door menig IT hobbyist...


Men gaat hier kennelijk voorbij aan het feit dat iemand die
geen opsporingsbevoegdheid heeft, ook niet naar strafbare
feiten mag speuren. Wettelijk gezien (volgens het Wetboek
van Strafvordering) mag dit alleen gebeuren door algemene opsporingsambtenaren (AOA artikel 141 WbvSv) of bijzondere opsporingsambtenaren (BOA). Hoe men het verkregen
bewijs dan wil gaan gebruiken in een strafproces is mij nog niet
helemaal duidelijk. Maar als de Nederlandse rechter erachter
komt dat het bewijs op onrechtmatige wijze is verkregen, dan
is er een vormfout ontstaan die het hele bewijs van
forensisch onderzoek naar de prullenbak verwijst.

Men is dus wel gewaarschuwd als men zelf gaat onderzoeken...[/color]
19-11-2006, 22:16 door Anoniem
Ook een tool waar ik zeer goede resultaten mee heb bereikt
is "Forensic Lab"
eveneens van de site http://rudy.meijer.googlepages.com. Dit
programma is erg klein ( 130 KB). Het hoeft niet
geinstalleerd te worden en kan daardoor vanaf een USB drive
opgestart worden. Het genereert mooie rapporten in XML, is
erg snel en bovendien helemaal gratis!
20-03-2008, 14:07 door Anoniem
Ben op zoek naar een tool die msn log files (chat files) leesbaar maakt?
Wie heeft een oplossing voor mij?

Franklin
13-03-2009, 13:58 door Anoniem
Je eigen msn chatlogs kun je altijd lezen, die van anderen niet als dat zo is ingesteld (privacy weet je nog).
Deze lezen is dus ook een beetje strafbaar.
13-03-2009, 14:00 door colani
Beste Franklin,

Ik weet niet wat je bedoeling is?
Je eigen MSN chatlog kun je altijd lezen vanuit msn, die van anderen gelukkig niet (privacy weet je nog).
Er zal vast wel een tooltje voor zijn, maar alleen het vragen hiernaar is volgens mij al strafbaar....

Suc6 Colani
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.