Hoe goed je als forensisch onderzoeker ook bent, zonder tools is het onderzoeken van een computer een lastige aangelegenheid. Gelukkig voor deze beroepsgroep zijn er talloze toolkits en andere programma's te vinden die helpen bij het vinden van digitale sporen. De software is in veel gevallen vrij beschikbaar en kan, afhankelijk van de complexiteit, door menig IT hobbyist en ethousiasteling gebruikt worden. Hieronder een lijst van populaire en veel gebruikte forensische tools, die ook nog eens gratis zijn. De lijst is niet compleet, en aanvullingen zijn dan ook zeker welkom.
System Forensics, Investigation & Response
De eerste drie tools op deze lijst worden tijdens de "System Forensics, Investigation & Response" cursus van SANS Amsterdam 2006 behandeld (tweede week november). Later deze week voelen we SANS nog aan de tand over de cursus, maar hier alvast de gebruikte software:
Sleuthkit
De SleuthKit, die voorheen bekend stond als TASK, is een verzameling van digitale onderzoekstools. De tools draaien op Linux, OS X, FreeBSD, OpenBSD en Solaris, en zijn in staat om FAT, NTFS, UFS, EXT2FS en EXT3FS te analyseren. De file system tools laten het file systems van een verdachte computer op een "non-intrusive" manier onderzoekers. Omdat de software niet afhankelijk is van het besturingssysteem om bestandssystemen te verwerken, worden verwijderde en verborgen content zichtbaar.
Autopsy Forensic Browser
De Autopsy Forensic Browser is eigenlijk een aanvulling op de Sleuthkit. Om de vervelende command line tools te vervangen zorgt de browser voor een grafische interface waarmee ze bediend kunnen worden. Hierdoor wordt het makkelijker om een onderzoek uit te voeren. Autopsy biedt case management, image integrity, keyword searching en ander geautomatiseerde operaties.
Windows Forensic Toolchest
De Windows Forensic Toolchest, ontwikkeld door Fool Moon Software & Securtiy, automatiseert "live forensics" en incident response (hoewel het ook voor auditing wordt gebruikt). WFT verzamelt security-gerelateerde informatie en toont die niet alleen op een manier die voor de gebruiker geschikt is, maar ook op een manier die tijdens een rechtszaak gebruikt kan worden.
Overige Toolkit's
The Coroner's Toolkit
The Coroner's Toolkit, het werk van Dan Farmer en Wietse Venema (en dat is inderdaad de Nederlander die verantwoordelijk is voor Postfix), is een verzameling tools voor een "post-mortem analyse" van een UNIX systeem na een inbraak. De software draait op FreeBSD, OpenBSD, BSD/OS, SunOS/Solaris en Linux. De ontwikkelaars waarschuwen dat de toolkit nog niet helemaal is afgewerkt en daardoor niet voor iedereen geschikt is.
Browser Tools
DumpAutoComplete v0.7: Dumpt de inhoud van Firefox's AutoComplete cache (en autocomplete bestanden) in XML formaat.
Pasco v1.0: Een forensische analyse tool voor het onderzoeken van "Internet Explorer activiteiten" (Pasco betekent in het Latijns browsen).
Galleta v1.0: Bekijkt de inhoud van de cookie bestanden van Internet Explorer.
History Reader voor IE 5.x en 6.x: Leest alle informatie in de history database en maakt een lijst in chronologische of alfabetische volgorde.
Overig
PMDump: Dumpt de geheugen inhoud van een proces naar een bestand, zonder het proces te stoppen.
PHLAK: De [P]rofessional [H]acker's [L]inux [A]ssault [K]it is een complete verzameling voor de security professional en bevat tools voor forensics, penetratie testen, security analyse en auditing.
Open Computer Forensics Architecture: De Open Computer Forensics Architecture (OCFA) is een modulair computer forensisch raamwerk ontwikkeld door de KLPD. Het heeft als doel om het digitale forensisch proces te versnellen en onderzoekers via een makkelijk te gebruiken interface direct toegang tot in beslag genomen gegevens te geven. De architectuur vormt een omgeving waar bestaande forensische tools en libraries eenvoudig aan toegevoegd kunnen worden.
PyFlag: Deze "Forensic en Log Analyse GUI" is ontwikkeld om het proces van log file analyse en forensisch onderzoek te vereenvoudigen.
Helix: Is een aangepaste distributie van de Knoppix Live Linux CD. Helix is zo ontworpen dat het de host computer op geen enkele wijze "aanraakt" wat handig is tijdens een forensisch onderzoek.
RDD: Forensische DD van het Nederlands Forensisch Instituut. In tegenstelling tot de meeste kopieerprogramma's is rdd robuust als het gaat om leesfouten, wat erg belangrijk is in een forensische omgeving.
Tulp2G: Forensisch raamwerk voor het extracten en decoderen van gegevens in electronische apparaten.
Nog veel meer handige tools zijn te vinden op http://www.forensics.nl/tools
Deze posting is gelocked. Reageren is niet meer mogelijk.