Многофункциональные инструменты
Name | Interface | Platform | Manufacturer | Licence |
EnCase Forensic | GUI | Windows | Guidance Software | Commercial |
FTK (Forensic Toolkit) | GUI | Windows | AccessData | Commercial |
Forensic Explorer | GUI | Windows | GetData | Commercial |
X-Ways Forensics | GUI | Windows | X-Way Software Technology AG | Commercial |
Mac Marshal Forensic Edition™ | GUI | Macintosh | Architecture Technology | Commercial |
BlackLight | GUI | Anywhere | BlackBag Technologies | Commercial |
Autopsy | GUI | Anywhere | Brian Carrier | Opensource |
Живые CD/DVD
Name | Interface | Platform | Manufacturer | Licence |
SIFT | – | – | SANS | Freeware |
PALADIN | – | – | SAMURI | Freeware |
DEFT | – | – | DEFT Staff | Freeware |
Helix | – | – | e-fense | Commercial |
BackTrack | – | – | BackTrack Linux | Freeware |
C.A.IN.E | – | – | Caine | Freeware |
Блокировка записи
Name | Interface | Platform | Manufacturer | Licence |
Tableau Forensic Bridge | – | – | Tableau | Commercial |
Wiebetech Dock | – | – | Wiebetech | Commercial |
Анализ регистра
Name | Interface | Platform | Manufacturer | Licence |
REGA(REGistry Analyzer) | GUI | Windows | 4&6tech | Commercial |
Registry Recon | GUI | Windows | Arsenal Recon | Commercial |
Registry Workshop | GUI | Windows | TorchSoft | Commercial |
RegRipper | CLI | Windows | Harlan Carvey | Opensource |
UserAssist | GUI | Windows | Didier Stevens | Freeware |
Registry Binary Parser | GUI | Windows | woanware | Freeware/Opensource |
RegRipperRunner | GUI | Windows | woanware | Freeware/Opensource |
ForensicUserInfo | GUI | Windows | woanware | Freeware/Opensource |
USBDeviceForensics | GUI | Windows | woanware | Freeware/Opensource |
Windows USB Storage Parser (usp) | CLI | Windows | TZWorks | Freeware/Commercial |
Yet Another Registry Utility (yaru) | CLI | Windows | TZWorks | Freeware/Commercial |
Windows ShellBag Parser (sbag) | CLI | Windows | TZWorks | Freeware/Commercial |
Computer Account Forensic Artifact Extractor (cafae) | CLI | Windows | TZWorks | Freeware/Commercial |
Анализ метаданных файловых систем
Name | Interface | Platform | Manufacturer | Licence |
mft2csv | GUI | Windows | joakim | Freeware |
anlyzeMFT | CLI | Anywhere | David Kovar | Opensource |
MFTView | GUI | Windows | Sanderson Forensics | Freeware |
NTFS Directory Enumerator | CLI | Windows | TZWorks | Freeware/Commercial |
Windows $MFT and NTFS Metadata Extractor Tool | CLI | Windows | TZWorks | Freeware/Commercial |
Windows INDX Slack Parser | CLI | Windows | TZWorks | Freeware/Commercial |
Graphical Engine for NTFS Analysis (gena) | CLI | Windows | TZWorks | Freeware/Commercial |
Анализ событий
Name | Interface | Platform | Manufacturer | Licence |
Event Log Explorer | GUI | Windows | FSPro Labs | Commercial |
Log Parser | CLI | Windows | Microsoft | Freeware |
NTFS Log Tracker | GUI | Windows | blueangel | Freeware |
NTFS TriForce | CLI | Windows | David Cowen | Freeware |
Windows Journal Parser (jp) | GUI | Windows | TZWorks | Freeware/Commercial |
Windows Event Log Viewer | GUI | Windows | TZWorks | Freeware/Commercial |
Windows Event Log Parser | GUI | Windows | TZWorks | Freeware/Commercial |
UsnJrnl2Csv | CLI | Windows | joakim | Freeware |
LogFile Parser | CLI | Windows | joakim | Freeware |
Анализ малвари
Name | Interface | Platform | Manufacturer | Licence |
PeStudio | GUI | Windows | Marc Ochsenmeier | Freeware |
PEView | GUI | Windows | Wayne J. Radburn | Freeware |
Automater | CLI | Win & Lin | TEKDEFENSE | OpenSource |
Noriben | CLI | Windows | Rurik | OpenSource |
Анализ артефактов веб-браузеров
Name | Interface | Platform | Manufacturer | Licence |
WEFA(WEb browser Forensic Analyzer) | GUI | Windows | 4&6 Tech | Commercial |
Web Historian | GUI | Windows | Mandiant | Freeware |
IEF(Internet Evidence Finder) | GUI | Windows | Magnet Forensics | Commercial |
ChromeForensics | GUI | Windows | woanware | Freeware |
FireFoxForensics | GUI | Windows | woanware | Freeware |
firefoxsessionstoreextractor | GUI | Windows | woanware | Freeware |
Windows ‘index.dat’ Parser (id) | CLI | Windows | TZWorks | Freeware/Commercial |
BrowsingHistoryView | GUI | Windows | NirSoft | Freeware |
IECacheView | GUI | Windows | NirSoft | Freeware |
IECookiesView | GUI | Windows | NirSoft | Freeware |
IEHistoryView | GUI | Windows | NirSoft | Freeware |
ChromeCacheView | GUI | Windows | NirSoft | Freeware |
ChromeHistoryView | GUI | Windows | NirSoft | Freeware |
MozilaCacheView | GUI | Windows | NirSoft | Freeware |
MozilaCookieView | GUI | Windows | NirSoft | Freeware |
MozilaHistoryView | GUI | Windows | NirSoft | Freeware |
SafariCacheView | GUI | Windows | NirSoft | Freeware |
SafariHistoryView | GUI | Windows | NirSoft | Freeware |
OperaCacheView | GUI | Windows | NirSoft | Freeware |
WebBrowserPassView | GUI | Windows | NirSoft | Freeware |
MyLastSearch | GUI | Windows | NirSoft | Freeware |
Анализ баз данных
Name | Interface | Platform | Manufacturer | Licence |
Exchange EDB Viewer | GUI | Windows | Lepide Software | Freeware |
ESEDatabaseView | GUI | Windows | NirSoft | Freeware |
EseDbViewer | GUI | Windows | woanware | Freeware |
SQLite Expert | GUI | Windows | Bogdan Ureche | Commercial |
Oxygen SQLite Viewer | GUI | Windows | Oxygen Forensic | Commercial |
SQLite Database Browser | GUI | Win & Mac | Tabuleiro | Opensource |
OracleForensics Tools | – | – | – | – |
Анализ электронной почты
Name | Interface | Platform | Manufacturer | Licence |
E-mail Examiner | GUI | Windows | Paraben | Commercial |
Mail Viewer | GUI | Windows | MiTeC | Freeware |
Email Utilities | GUI | Windows | Stellar Information Systems | Commercial |
Email Recovery Tools | GUI | Windows | Lepide Software | Commercial |
Сетевая форензика
Name | Interface | Platform | Manufacturer | Licence |
WireShark | GUI | Anywhere | WireShark | Freeware |
NetworkMiner | GUI | Windows | NETRESEC | Commercial |
RSA NetWitness | GUI | Win & Lin | RSA | Commercial |
Ostinato | GUI | Anywhere | Pstavirs | Opensource |
Packet Builder | GUI | Windows | Colasoft | Freeware |
SplitCap | CLI | Windows | NETRESEC | Opensource |
tshark | CLI | Anywhere | WireShark | Freeware |
Scapy | CLI | Anywhere | Philippe Biondi | Opensource |
tcpdump | CLI | Anywhere | – | Freeware (Cheatsheet) |
DNS Query Utility (dqu) | CLI | Windows | TZWorks | Freeware/Commercial |
Packet Capture ICMP Carver (pic) | CLI | Windows | TZWorks | Freeware/Commercial |
Network Xfer Client/Server Utility (nx) | CLI | Windows | TZWorks | Freeware/Commercial |
snorbert | CLI | Windows | Woanware | Freeware |
SessionViewer | CLI | Windows | Woanware | Freeware |
enumdotnet | CLI | Windows | Woanware | Freeware |
Мобильная форензика
Name | Interface | Platform | Manufacturer | Licence |
MD Series | – | – | GMDSystem | Commercial |
Cellebrite Mobile Forensics | – | – | Cellebrite | Commercial |
Device Seizure | – | – | Paraben | Commercial |
XRY Series | – | – | Micro Systemation | Commercial |
Oxygen Forensic® Suite | GUI | Windows | Oxygen Software | Commercial |
MPE+ | GUI | Windows | Access Data | Commercial |
Lantern | GUI | Mac | KatanaForensics | Commercial |
iPhone Backup Browser | GUI | Windows | rene.devichi | Commercial |
Анализ хэшей
Name | Interface | Platform | Manufacturer | Licence |
HashTab | GUI | Win & Mac | Implbits | Free/Comm |
md5deep/hashdeep | CLI | Anywhere | Jesse Kornblum | Freeware |
ssdeep | CLI | Anywhere | ManTech | Freeware |
NSRL Hashsets | – | – | NIST | Freeware |
Восстановление данных
Name | Interface | Platform | Manufacturer | Licence |
RMF(Recover My Files) | GUI | Windows | GetData | Commercial |
R-Studio | GUI | Anywhere | R-Tools Technology | Commercial |
Power Data Recovery | GUI | Windows | MiniTool® Solution | Commercial |
Фреймворки
Одним из самых популярных фреймворков является Volatility Framework — фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM).
Для тестирования фреймворка рекомендую воспользоваться готовыми образами RAM.
DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.
PowerForensics предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.
Sleuth Kit (TSK) — это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.
MIG: Mozilla InvestiGator — это платформа для проведения оперативных исследований на удаленных конечных точках. Фремйворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.
bulk_extractor — позволяет извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».
PhotoRec — мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.
Анализ сетевого взаимодействия
SiLK (System for Internet-Level Knowledge) — предназначен для эффективного сбора, хранения и анализа данных сетевого потока. SiLK идеально подходит для анализа трафика на магистрали или границе крупного, распределенного предприятия или провайдера среднего размера.
Wireshark — этот сетевой анализатор пакетов (или сниффер) может быть эффективно использован для анализа трафика (в том числе и вредоносного). Один из популярнейших инструментов. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode).
Реал-тайм утилиты
- grr — GRR Rapid Response: инструмент для расследования и анализа инцидентов.
- mig — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов.
Работа с образами (создание, клонирование)
- dc3dd — улучшенная версия консольной утилиты dd.
- adulau/dcfldd — еще одна улучшенная версия dd.
- FTK Imager — FTK Imager- просмотр и клонирования носителей данных в среде Windows.
- Guymager — просмотр и клонирования носителей данных в среде Linux.
Извлечение данных
- bstrings — улучшенная версия популярной утилиты strings.
- bulk_extractor — выявления email, IP-адресов, телефонов из файлов.
- floss эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ.
- photorec — утилита для извления данных и файлов изображений.
-
DMDE — DM Disk Editor and Data Recovery Software
- The PC-3000 UDMA is a hardware-software solution intended for diagnosing and repairing HDDs based on SATA
Работа с RAM
- inVtero.net — фреймворк, отличающийся высокой скоростью работы.
- KeeFarce — извлечение паролей KeePass из памяти.
- Rekall — анализ дампов RAM, написанный на python.
- volatility — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти.
- VolUtility — веб-интерфейс для Volatility framework.
Сетевой анализ
- SiLK Tools — инструменты для анализа трафика для облегчения анализа безопасности крупных сетей.
- Wireshark — известнейший сетевой сниффер.
Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)
- FastIR Collector — обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.)
- FRED — кросплатформенный анализатор реестра Windows.
- MFT-Parsers — лист сравнения MFT-парсеров (MFT — Master File Table).
- MFTExtractor — MFT-парсер.
- NTFS journal parser — парсер журналов NTFS.
- NTFS USN Journal parser — — парсер журналов USN.
- RecuperaBit — восстановление NTFS данных.
- python-ntfs — анализ NTFS данных.
- https://github.com/snovvcrash/usbrip (https://drive.google.com/file/d/1icgopzdFKT9sO7lUpG102MDhTi8CTcj9/view)
Исследование OS X
- OSXAuditor — OS X аудитор.
Поиск exif
Internet Artifacts
- chrome-url-dumper — извлечение информации из Google Chrome.
- hindsight — анализ истории Google Chrome/Chromium.
Анализ временных интервалов
- plaso — извлечение и агрегация таймстапов.
- timesketch — анализ таймстапов.
Hex редакторы
- 0xED — HEX редактор OS X.
- Hexinator — Windows версия Synalyze It.
- HxD — маленький и быстрый HEX редактор.
- iBored — кросс-платформенный HEX редактор.
- Synalyze It! — HEX редактор в тимплейтами.
- wxHex Editor — кросс-платформенный HEX редактор со сравнением файлов.
Конверторы
- CyberChef — мультиинструмент для кодирования, декодирования, сжатия и анализа данных.
- DateDecode — конвертирование бинарных данных.
Анализ файлов
- 010 Editor Templates — тимплейты для редактора 010.
- Contruct formats — парсер различных видов файлов на python.
- HFSPlus Grammars — HFS+ составляющие для Synalysis
- Sleuth Kit file system grammars — составляющие для различных файловых систем.
- Synalyse It! Grammars — файловые составляющие для Synalyze It!
- WinHex Templates — файловые составляющие для WinHex и X-Ways
Обработка образов дисков
- imagemounter — утилита командной строки для быстрого монтирования образов дисков
- libewf — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01.
- xmount — конвертирования образов дисков.
Дисковые инструменты и сбор данных
- Arsenal Image Mounter утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
- DumpIt утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
- EnCase Forensic Imager утилита для создания доказательных файлов EnCase.
- Encrypted Disk Detector утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
- EWF MetaEditor утилита для редактирования метаданных EWF (E01).
- FAT32 Format утилита для форматирования дисков большой емкости в FAT32.
- Forensics Acquisition of Websites браузер, предназначенный для захвата веб-страниц для проведения расследований.
- FTK Imager просмотр и клонирование носителей данных в среде Windows.
- Guymager многопоточный утилита с GUI для создания образов дисков под управлением Linux.
- Live RAM Capturer утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
- NetworkMiner инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
- Magnet RAM Capture утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
- OSFClone утилита live CD/DVD/USB для создания dd или AFF образов.
- OSFMount утилита для монитирования образов дисков, также позволяет создавать RAM-диски.
Анализ электронной почты
- EDB Viewer утилита для просмотра файлов EDB Outlook без сервера Exchange.
- Mail Viewer утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
- MBOX Viewer утилита для просмотра электронных писем и вложений MBOX.
- OST Viewer утилита для просмотра файлов OST Outlook без сервера Exchange.
- PST Viewer утилита для просмотра файлов PST Outlook без сервера Exchange.
Анализ файлов и данных
- analyzeMFT утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
- bstrings утилита поиска в двоичных данных, включая поиск регулярных выражений.
- CapAnalysis утилита просморта PCAP.
- Crowd Response консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
- Crowd Inspect утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
- DCode утилита преобразует различные типы данных в значения даты / времени.
- Defraser утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
- eCryptfs Parser утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
- Encryption Analyzer утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
- ExifTool утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
- File Identifier онлайн анализ типа файлов (более 2000).
- Forensic Image Viewer утилита для извлечения данных из изображений.
- Link Parser утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
- Memoryze анализ образов RAM, включая анализ «page» файлов.
- MetaExtractor утилита для извеления мета-информации из офисных документов и pdf.
- Shadow Explorer утилита для просмотра и извлечения файлов из теневых копий.
Инструменты для Mac OS
- Audit утилита для вывода аудита и журналов OS X.
- Disk Arbitrator блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
- FTK Imager CLI for Mac OS консольная версия для Mac OS утилиты FTK Imager.
- IORegInfo утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
- mac_apt утилита для работы с образами E01, DD, DMG.
- Volafox утилита для анализа памяти в Mac OS X.
Мобильные устройства
- iPBA2 утилита анализа резервных копий iOS.
- iPhone Analyzer утилита анализа файловой структуры Pad, iPod и iPhone.
- ivMeta утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
- Rubus утилита для деконструирования резервных файлов Blackberry .ipd.
- SAFT извлечение SMS, журналов звонков и контактов из Android устройств.