22 Ferramentas GRÁTIS de Investigação Forense para Perito em Segurança Informática

A violação de dados acontece quase todos os dias.

Uma das maiores brechas de dados são;

• JP Morgan Chase
• Banco da América
• HSBC
• Banco TD

li>Targetli>Tumblerli>Depósito Residencialli>MeuEspaço

• eBay
• Adobe System Inc
• iMesh

Juniper Research sugere que o Cibercrime custará mais de $5 triliões de dólares ao negócio até 2024. Assim, a procura de peritos forenses em informática também aumentará.

Ferramentas são o melhor amigo do administrador; utilizar a ferramenta certa ajuda-o sempre a mover as coisas mais rapidamente e a torná-lo produtivo. A investigação forense é sempre um desafio, uma vez que poderá reunir toda a informação possível para a prova e o plano de atenuação.

Aqui estão algumas das ferramentas de investigação forense informática de que precisaria. A maioria delas é gratuita!

Autopsia

Autopsia é um programa forense digital de código aberto baseado em GUI para analisar discos rígidos e smartphones de forma eficiente. A autópsia é utilizada por milhares de utilizadores em todo o mundo para investigar o que aconteceu no computador.

É amplamente utilizada por examinadores corporativos, militares para investigar, e algumas das características são.

• Análise de correio electrónico
• Detecção do tipo de ficheiro
• Reprodução de ficheiros multimédia
• Análise de registo
• Recuperação de fotografias a partir de cartão de memória
• Geolocalização e câmara fotográfica informação de ficheiros JPEG
• Extrair actividade web de um navegador

li>Mostrar eventos do sistema numa interface gráficali>Análise da linha do tempoli>Extrair dados do Android – SMS, registos de chamadas, contactos, etc.

Tem relatórios extensos a gerar em HTML, formato de ficheiro XLS.

Detector de disco encriptado

Detector de disco encriptado pode ser útil para verificar unidades físicas encriptadas. Suporta TrueCrypt, PGP, BitLocker, Safeboot volumes encriptados.

Wireshark

Wireshark é uma ferramenta de captura e análise de rede para ver o que está a acontecer na sua rede. Wireshark será útil para investigar o incidente relacionado com a rede.

Magnet RAM Capture

P>Pode usar Magnet RAM capture para capturar a memória física de um computador e analisar artefactos na memória.

P>Suporta o sistema operativo Windows.

Mineiro de rede

Um analisador forense de rede interessante para Windows, Linux & MAC OS X para detectar SO, nome da máquina, sessões, e abrir portas através de checagem de pacotes ou por ficheiro PCAP. Network Miner fornece artefactos extraídos numa interface de utilizador intuitiva.

NMAP

NMAP (Network Mapper) é uma das mais populares redes e ferramentas de auditoria de segurança. O NMAP é suportado na maioria dos sistemas operativos, incluindo Windows, Linux, Solaris, Mac OS, HP-UX, etc. É de código aberto tão livre.

RAM Capturer

RAM Capturer de Belkasoft é uma ferramenta livre para descarregar os dados da memória volátil de um computador. É compatível com o sistema operativo Windows. Os despejos de memória podem conter a palavra-passe do volume encriptado e as credenciais de login para webmails e serviços de redes sociais.

Forensic Investigator

Se estiver a usar Splunk, então Forensic Investigator será uma ferramenta conveniente. É uma aplicação Splunk e tem muitas ferramentas combinadas.

• WHOIS/GeoIP lookup
• Ping
• Digitalizador de portas
• Banner grabber
• Descodificador/parador deURL
• XOR/HEX/Base64 conversor
• SMB Share/NetBIOS viewer
• Virus Total lookup

FAW

FAW (Aquisição Forense de Sítios Web) é adquirir páginas Web para investigação forense, que tem as seguintes características.

• Capturar a página inteira ou parcial
• Capturar todos os tipos de imagem
• Capturar o código fonte HTML da página web
• Integração com Wireshark

HashMyFiles

HashMyFiles irá ajudá-lo a calcular os hashes MD5 e SHA1. Funciona em quase todos os últimos OS.

Crowd Response

Response by Crowd Strike é uma aplicação do Windows para recolher informação do sistema para resposta a incidentes e compromissos de segurança. Pode ver os resultados em XML, CSV, TSV, ou HTML com a ajuda de CRConvert. Corre em 32 ou 64 bit do Windows XP acima.

Crowd Strike tem algumas outras ferramentas úteis para investigação.

• Totrtilla – encaminha anonimamente tráfego TCP/IP e DNS através do Tor.
• Shellshock Scanner – verifica a vulnerabilidade do shellshock na sua rede.

>Shellshock Scanner – faça um scan à sua rede em busca de vulnerabilidade de hemorragia cardíaca OpenSSL.

NFI Defraser

Defraser forensic tool pode ajudá-lo a detectar ficheiros multimédia completos e parciais nos fluxos de dados.

ExifTool

ExifTool ajuda-o a ler, escrever, e editar meta-informações para um número de tipos de ficheiros. Pode ler EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, etc.

Toolsley

Toolsley tem mais de dez ferramentas úteis para investigação.

• Verificador de assinatura de ficheiro
• Identificador de ficheiro
• Hash & Validar

Inspecteur binário

• Encodificador de texto
• Gerador de dados URI
• Gerador de palavras-passe

SIFT

SIFT (conjunto de ferramentas forenses de investigação SANS) está disponível gratuitamente como estação de trabalho Ubuntu 14.04. SIFT é um conjunto de ferramentas forenses de que precisa e uma das mais populares plataformas de resposta a incidentes de código aberto.

Dumpzilla

Extrair toda a informação excitante do Firefox, Iceweasel e Seamonkey browser para ser analisada com Dumpzilla.

História do navegador

Foxton tem duas ferramentas excitantes gratuitas.

1. Browser history capturer – capturar o histórico do browser (cromo, firefox, IE & edge) histórico no Windows OS.
2. Browser history viewer – extrair e analisar o histórico da actividade da Internet da maioria dos browsers modernos. Os resultados são mostrados no gráfico interactivo, e os dados históricos podem ser filtrados.

ForensicUserInfo

Extrair a seguinte informação com ForensicUserInfo.

• li>RID
• LM/NT Hash
• Resetalho de palavras-passe/Data de expiração da conta
• Contagem de login/data de falha
• Grupos
• Percurso do perfil

Pista negra

Blacktrack é uma das plataformas mais populares para testes de penetração, mas também tem capacidade forense.

Paladin

PALADIN suite forense – a suite forense Linux mais famosa do mundo é uma distro Linux modificada baseada no Ubuntu disponível em 32 e 64 bit.

Paladin tem mais de 100 ferramentas sob 29 categorias, quase tudo o que é necessário para investigar um incidente. O Autospy está incluído na versão mais recente – Paladin 6.

Sleuth Kit

O Sleuth Kit é uma colecção de ferramentas de linha de comando para investigar e analisar o volume e sistemas de ficheiros para encontrar as provas.

CAINE

CAINE (Computer Aided Investigate Environment) é uma distro Linux que oferece a plataforma forense completa que tem mais de 80 ferramentas para analisar, investigar, e criar um relatório accionável.

Conclusion

Espero que as ferramentas acima mencionadas o ajudem a lidar mais eficientemente com o incidente de Ciber-segurança e tornem o processo de investigação mais rápido. Se é novo na investigação forense, então talvez queira verificar este curso.