Ich sage euch: man muß noch Chaos in sich haben, um einen tanzenden Stern gebären zu können (“Also sprach Zarathustra”, Friedrich Nietzsche)
46 инструментов судебной экспертизы информационной безопасности
Здесь представлена подборка бесплатных утилит компьютерной криминалистики, которые абсолютно необходимы при проведении судебной экспертизы для проведения расследования инцидентов информационной безопасности.
Дисковые инструменты и сбор данных
Arsenal Image Mounter — утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
DumpIt — утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
FTK Imager — просмотр и клонирование носителей данных в среде Windows.
Guymager — многопоточный утилита с GUI для создания образов дисков под управлением Linux.
Live RAM Capturer — утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
NetworkMiner — инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
Magnet RAM Capture — утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
OSFClone — утилита live CD/DVD/USB для создания dd или AFF образов.
OSFMount — утилита для монитирования образов дисков, также позволяет создавать RAM-диски.
Электронная почта
EDB Viewer — утилита для просмотра файлов EDB Outlook без сервера Exchange.
Mail Viewer — утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
MBOX Viewer — утилита для просмотра электронных писем и вложений MBOX.
OST Viewer — утилита для просмотра файлов OST Outlook без сервера Exchange.
PST Viewer — утилита для просмотра файлов PST Outlook без сервера Exchange.
Файлы и данные
analyzeMFT — утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
bstrings — утилита поиска в двоичных данных, включая поиск регулярных выражений.
Crowd Response — консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
Crowd Inspect — утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
DCode — утилита преобразует различные типы данных в значения даты / времени.
Defraser — утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
eCryptfs Parser — утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
ExifTool — утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
IORegInfo — утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
mac_apt — утилита для работы с образами E01, DD, DMG.