Сейчас те дни,в которых компьютерная или цифровая судебная экспертиза очень важна из-за преступлений, связанных с компьютером, Интернетом и мобильными телефонами.
Для проведения цифрового судебного расследования необходимы инструменты для извлечения необходимой информации с устройств.
Существует несколько коммерческих инструментов для судебно-медицинской экспертизы, однако для покупки требуется огромная сумма.
Сообщество разработчиков с открытым исходным кодом также внесло свой вклад в эту область, и есть несколько инструментов с открытым исходным кодом для цифровой судебной области.
Прежде чем исследовать известные инструменты для цифровой судебной экспертизы, следующие дистрибутивы Linux также содержат множество бесплатных судебных инструментов.
1) SIFT (SANS Investigative Forensic Toolkit)
Международная команда экспертов по судебно-медицинской экспертизе, инструкторы SANS, создала workstation SANS Inident Forenic Toolkit (SIFT) для реагирования на инциденты и использования цифровой криминалистики. Судебная система SIFT свободно доступна для всего сообщества.
Бесплатный инструментарий SIFT, который может соответствовать любой современной реакции на инцидент и судебно-медицинский инструментарий, который используется в курсах SANS.
Особенности дистрибутива SIFT следующие:
Базируется на Ubuntu LTS 14.04
32-битная базовая система
Свежие судебно-медицинские инструменты и методы
VMware Appliance готова к судебной экспертизе
Кросс-совместимость между Linux и Windows
Возможность установки автономного через (.iso) или использования через VMware Player / Workstation /
2) CAINE (Computer Aided INvestigative Environment)
CAINE – это прямой дистрибутив Linux, созданный в качестве проекта Digital Forensics.
CAINE предлагает полную судебную среду, которая организована для интеграции существующих программных средств в виде программных модулей и обеспечения графического интерфейса.
Оснобенности CAINE:
взаимодействующая среда, которая поддерживает цифровог четыры этапа цифрового расследования
удобный графический интерфейс
содержит инструменты с открытым исходным кодом
3) KALI (formerly Backtrack)
Kali Linux – это проект с открытым исходным кодом, который поддерживается и финансируется компанией Offensive Security, поставщиком услуг по обучению и защите от проникновения в мир мирового класса.
Kali Linux – это первый выбор тестера проникновения и безопасности.
Он имеет инструменты безопасности для разных целей.
Средства Open Source для анализа мобильных, сетевых и операционных систем доступны в Kali Linux.
4) DEFT linux ( Digital Evidence & Forensics Toolkit )
DEFT – это дистрибутив, созданный для компьютерной криминалистики, с целью запуска лайв на системах без вмешательства или искажения устройств (жестких дисков, pendrives).
Он основан на GNU Linux и может работать в прямом эфире (через CD / DVD или USB-накопитель), установлен или запущен как виртуальная машина на VMware / Virtualbox.
DEFT сопряжен с DART (известный как Digital Advanced Response Toolkit), системой судебной экспертизы, которая может работать в Windows и содержит лучшие инструменты для судебной экспертизы и реагирования на инциденты.
5) Martiux
Это полнофункциональный дистрибутив безопасности на основе Debian, состоящий из мощной группы из более чем 300 открытых исходных кодов и бесплатных инструментов, которые могут использоваться для различных целей, включая, помимо прочего, тестирование на проникновение, этический хакинг, администрирование системы и сети, кибер криминалистические исследования, тестирование безопасности, анализ уязвимости и многое другое.
Это дистрибутив, предназначенный для энтузиастов и профессионалов в области безопасности, хотя его можно использовать как стандартную систему по умолчанию.
Matriux предназначен для работы в среде Live, такой как CD / DVD или USB-накопитель, или его можно легко установить на ваш жесткий диск за несколько шагов.
Matriux также включает в себя набор средств компьютерной криминалистики и восстановления данных, которые могут использоваться для судебного анализа и поиска данных.
6) Santoku
Santoku посвящена мобильной криминалистике, анализу и безопасности и упакован в удобную платформу с открытым исходным кодом.
Его поддерживает фирма «nowsecure».
7) Volatility
Анализ памяти стал одной из самых важных тем для будущего цифровых исследований, и Volatility стала самой широко используемой в мире платформой для судебной экспертизы.
Это хорошо известная инфраструктура памяти для анализа инцидентов и анализа вредоносных программ, которая позволяет извлекать цифровые данные из дампов энергозависимой памяти (ОЗУ).
Volatility использовалась в некоторых наиболее важных исследованиях прошлого десятилетия.
Используя Volatility, вы можете извлекать информацию о запущенных процессах, открывать сетевые сокеты и сетевые подключения, загружать DLL для каждого процесса, кэширование реестра, идентификаторы процессов и т. д.
Он стал незаменимым инструментом цифрового расследования, которым пользуются сотрудники правоохранительных органов, военных, научных кругов и коммерческих исследователей во всем мире. Структура Volatility поддерживает как Windows, так и платформу linux для судебного расследования.
8) Linux “dd” утилита
Утилита «dd» идет по умолчанию в большинство дистрибутивов Linux, доступных сегодня (например, Ubuntu, Fedora).
Этот инструмент может использоваться для различных цифровых криминалистических задач, таких как судебное протирание диска (обнуление диска) и создание необработанного образа диска.
Это очень мощный инструмент, который может иметь разрушительные последствия, если не использоваться с осторожностью.
Перед использованием этого инструмента в реальном мире рекомендуется экспериментировать в безопасной среде.
9) Sleuth kit (Autopsy)
Sleuth Kit представляет собой инструментарий для цифровой криминалистики с открытым исходным кодом, который может использоваться для глубокого анализа различных файловых систем (FAT, NTFS, EXT2 / 3 и т. д. и необработанных изображений).
Autopsy – это графический интерфейс, который предназначен для Sleuth Kit (инструмент командной строки).
Он включает в себя такие функции, как анализ сроков, фильтрация хешей, анализ файловой системы и поиск по ключевым словам с возможностью добавления других модулей для расширенной функциональности.
10) Xplico
Xplico – это инструмент для криминалистического анализа с открытым исходным кодом.
Он в основном используется для извлечения полезных данных из приложений, которые используют интернет-и сетевые протоколы.
Он поддерживает большинство популярных протоколов, включая HTTP, IMAP, POP, SMTP, SIP, TCP, UDP, TCP и другие.
Выходные данные инструмента хранятся в базе данных SQLite базы данных MySQL.
Он также поддерживает IPv4 и IPv6.
Он уже доступен в дистрибутивах Kali Linix, DEFT, Security Onion и Matriux.
Вывод
В этой статье рассказывается о вкладе опен соурса в цифровую криминалистическую область.
Обсуждаются бесплатные и наиболее известные инструменты, относящиеся к разной области цифровой судебной экспертизы.
В списке перечислены несколько дистрибутивов Linux, которые содержат множество бесплатных инструментов для судебной экспертизы.
