Более 70 бесплатных инструментов для форензики

Более 70 бесплатных инструментов для форензики




Изучение различных ситуаций, которые произошли в сфере информационной безопасности, уступает по популярности пентестам. В то же время это является особой научной дисциплиной, результаты которой активно применяются на практике, что создаёт необходимость для формирования условий, способствующих развитию рассматриваемого направления. Достаточно весомый вклад в это дело вносит сообщество Open Source. Стоит рассмотреть то, что имеется на GitHub, и узнать, какие инструменты для сбора информации и исследования доказательств в данной сфере могут использовать люди на бесплатной основе.

Стоит отметить, что здесь имеется не полный список программного обеспечения, которое могут использовать в своей работе криминалисты. К примеру, тут отсутствуют специализированные программы для исследования зловредов. Также стоит сказать, что разделение всего ПО на различные группы не является официальной классификацией. Деление тут осуществляется условно, чтобы было более удобно читать.

Инструменты для выполнения большого количества функций

ADIA

Представляет собой набор опенсорсных инструментов, которые применяются для расследований в электронном формате. Инструмент подходит для сбора информации. В него включены: Autopsy, Sleuth Kit, Digital Forensics Framework, log2timeline, Xplico и Wireshark. Его можно получить в качестве образов для VirtualBox и VMware.

Попробовать

SIFT Workstation

Включает в себя перечень инструментов, которые распространяются на бесплатной основе и используются для форензики. Это опенсорсный тулкит, который может использоваться для различных целей. Он основан на Ubuntu LTS 20.04, а также является детально задокументированным.

Попробовать

Autopsy

Обладает большим количеством функций. Именно поэтому он стоит в числе первых в этой подборке. В нём содержится графический интерфейс, используемый для анализа образов дисков The Sleuth Kit, PhotoRec, STIX. Программа имеет в своём составе платформу, которая применяется для цифровой криминалистики. Здесь реализована поддержка сторонних модулей Python и Java. Это помогает расширить потенциал применяемой платформы.

Попробовать

Skadi

Ещё один набор опенсорсных программ. Благодаря этому набору можно заниматься сбором информации, обрабатывать её, осуществлять расширенное исследование артефактов, имеющих отношение к криминалистическому расследованию. Также здесь можно анализировать изображения. Программы работают на следующих ОС: MacOS, Windows и Linux. К преимуществам можно отнести то, что они легко поддаются масштабированию.

Попробовать

Программы для ведения общего расследования

Kuiper

Это платформа, которая нацелена на исследование и сбор доказательной базы. В ней содержится достаточно хорошо проработанный интерфейс. Также тут имеется централизованный контроль парсеров. Инструмент может осуществлять загрузку большого количества артефактов, поступающих из разных каналов. Он даёт возможность всем аналитикам отмечать и распределять файлы по разным группам.

Попробовать

IRIS

Является веб-приложением, которое используется для обеспечения возможности общей работы над трудными и запутанными задачами во время расследования преступлений. С его помощью можно более быстро и эффективно обмениваться файлами. К примеру, инструмент позволяет проводить обмен журналами Windows. Утилита может разворачиваться на ПК или серверах. Это осуществляется из Docker-образа.

Попробовать

The Hive

Применяется для рассмотрения инцидентов безопасности. Используется для широкого круга профессионалов. Инструмент может внедряться в MISP. У него хорошо разработанная ролевая модель.

Попробовать

Orochi

Применяется для общего исследования дампов памяти. Фактически состоит из интерфейса для Volatility 3. Позволяет сохранять итоги обработки данных в ElasticSearch.

Попробовать

GRR Rapid Response

Служит для сортировки атак. Он позволяет исследовать атаки в реальном времени. В состав входит python-агент и контролирующий python-сервер. Их ставят на целевые системы. Здесь производится доступ низкого уровня и автоматическое составление планов заданий, которые повторяются.

Попробовать

Timesketch

Применяется для timeline analysis. Восстанавливает и показывает особенности произошедшей ситуации.

Попробовать

DFIRTrack

Инструмент нацелен на анализ крупных инцидентов, связанных со многими системами. Развёртывание осуществляется в Ubuntu. Оно базируется на Django, а для функционирования применяется Postgre SQL.

Попробовать

Наблюдение хостов

POFR

Является клиент-серверным инструментом для сбора информации о произошедших событиях. Он позволяет обеспечить регистрацию информации о проведении всех процессов в системе. Также тут проходит регистрация информации об исполнении определённых процессов, получении доступа к файлам, сетевых соединениях. После сбора всех данных проводится передача отчётности на сервер согласно протоколу SSH.

Попробовать

Fleetdm

Ещё один инструмент, который применяется для наблюдения за хостами. Его применяет osquery для работы с журналами событий. Инструмент проводит сбор их с целевых систем. Данная работа осуществляется в реальном времени.

Попробовать

Zentral

Специальная программа для осуществления наблюдения за конечными точками. Используется для сбора журналов случившихся ситуаций. Для этого применяется osquery. Тут имеется гибкая система уведомлений. Также программа обладает разными хранилищами информации: Splunk, Azure Log Analytics, Elastic Stack.

Попробовать

Intel MQ

Представляет собой систему для обработки случившихся событий в автоматическом режиме. Программа может применяться для последующего исследования. Её структура состоит из модулей, ботов для сбора информации.

Попробовать

Meerkat

Представляет собой несколько модулей PowerShell. Они используются для нахождения артефактов систем на ОС Windows. При этом нет необходимости заранее инсталлировать агент. Варианты применения предполагают реакцию на опасности, основное наблюдение и сопоставление снапшотов.

Попробовать

Velociraptor

Является инструментом для получения данных о том, в каком положении пребывают хосты. Для этого применяется гибкий язык VQL. Таким образом, можно существенно автоматизировать получение артефактов.

Попробовать

IOC-сканеры

Fenrir

Это bash-скрипт широкого круга использования для поиска в системах Linux, OSX и Unix. Может работать с большим количеством индикаторов компрометации.

Попробовать

Fastfinder

Программа используется на разных платформах. Служит для нахождения файлов, которые вызывают подозрения. Может работать с контрольными суммами md5/sha1/sha256. Помимо этого, она поддерживает постоянные выражения и правила YARA.

Попробовать

Loki

Является примитивной программой для поиска индикаторов с целью проверки итоговых точек.

Попробовать

Сбор артефактов

ir-rescue

Представляет собой несколько сценариев для Windows и Unix. Они помогают собрать много данных, относящихся к криминалистической сфере. Эта информация способна удовлетворить нужды для большей части проводимых расследований. Осуществляет запуск большого количества инструментов и команд. По этой причине она оставляет много следов.

Попробовать

osquery

Проводит анализ ОС, данные которой пригодятся специалистам по базам данных. Программа воспринимает ОС в качестве информационной базы с высоким уровнем производительности. Такой подход даёт возможность применять SQL для всего содержимого ПК. Может использоваться для Linux, macOS, Windows и FreeBSD.

Попробовать

artifactcollector

Относится к агентам с возможностью настройки. Он служит для сбора артефактов из ОС Windows, macOS и Linux. Способен получать файлы, каталоги, данные из реестра, WMI. Может внедряться в Digital Forensics Artifact Repository.

Попробовать

FastIR Artifacts

Собирает артефакты на разных платформах. Поддерживает Digital Forensics Artifact Repository.

Попробовать

UAC

Применяет инструментарий систем Unix. Они необходимы для автоматического сбора артефактов. Подходит для macOS и Android.

Попробовать

DFTimewolf

Фреймворк, занимающийся поиском, обработкой и передачей информации, нужной для расследования.

Попробовать

DFIR ORC

Обеспечивает деликатный сбор: таблиц, ответвлений реестра и журналов ПК на ОС Windows. Минимизирует воздействие на ОС, в которой применяется. Отсутствует необходимость дополнительного ПО, не производит много файлов и процессов. По результатам работы проводится запись необходимой информации.

Попробовать

AChoir

Является сценарием для применения в реальном времени и сбора артефактов ОС Windows.

Попробовать

CyLR

Собирает криминалистические артефакты. Подходит для систем NTFS.

Попробовать

Работа с реестром

Regipy и RegRippy

Применяются для чтения и получения информации из реестра Windows. Созданы на Python.

Тут и тут

RegRipper

Служит для получения информации из реестра. Программа с открытым кодом. Создана на Perl.

Попробовать

Обработка журналов

APT Hunter

Применяется для нахождения активностей, вызывающих подозрения. Подходит для журналов ОС Windows. Автоматически проводит сбор журналов Scheduled Task, System, Operational, Security, Power shell, Power shell Sysmon, WinRM, Terminal Services, Windows Defender. Распределяет события на основе их важности. Также формирует статистику, способствующую обнаружению аномалии.

Попробовать

Logdissect

Используется для исследования, отбора и передачи информации и файлов журнала. Работает с ОС Windows или JSON.

Попробовать

LogonTracer

Проводит анализ ОС Windows Active Directory. Она занимается связью имени хоста и аккаунта. Обнаруженные события, которые имеют отношение к использованию системы, записываются программой, после чего выводятся в качестве схем. Даёт возможность провести реконструкцию истории посещений.

Попробовать

USB Rip

Элементарная консольная программа, позволяющая восстановить прошедшие подключения USB-устройств к ПК на Linux. Передаёт информацию на JSON-файл.

Попробовать

Stream Alert

Система не использует серверы. Применяется для исследования журналов. Процесс проводится в реальном времени. Создана на Python. Информация может приниматься из разных источников. Обладает встроенной системой оповещений. Информация сохраняется в зашифрованном виде.

Попробовать

Взаимодействие с образами и памятью ОС

AVML

Собирает сведения из памяти ОС Linux, не зависящей от электроснабжения. Создана на Rust. Используется с целью развёртывания в статический бинарный файл. Помогает получать информацию «вслепую», без знания конкретной версии дистрибутива операционной системы.

Попробовать

Volatility

Является распространённым фреймворком для изучения дампов ОЗУ. Допускается до 18 версий ОС. Способна работать с дампами ядра Virtualbox. Также допускается функционирование со снапшотами VMware.

Попробовать

LiME

Модуль ядра, который требует дополнительной загрузки. Используется для захвата информации из памяти техники, работающей на ОС Linux. Может применяться для смартфонов на Android.

Попробовать

INDX Parse

Позволяет получить артефакты NTFS.

Попробовать

Bmap-tools

Применяется для создания копий файлов с применением карты блоков.

Попробовать

Recupera Bit

Программа реконструирует файловую систему и восстанавливает данные в NTFS-системе.

Попробовать

Mem Proc FS

Программа, упрощающая доступ к памяти устройства.

Попробовать

nTimetools

Набор инструментов для обработки временных меток в NTFS-системе Windows. Точность работы до 100 наносекунд.

Попробовать

Sleuth Kit

Представляет собой библиотеку для изучения образов, нахождения улик.

Попробовать

Dof

Помогает найти и распознать артефакты Docker-контейнеров. Показывает все моменты сборки образа. Может создавать файловую систему контейнера, расставляет артефакты по времени.

Попробовать

Получение сетевых артефактов

Dumpzilla

Схожая программа для получения данных из браузеров. Работает с Firefox, Iceweasel и Seamonkey.

Попробовать

hindsight

Элементарная программа для исследования артефактов. Работает на основе Chromium. Даёт возможность провести анализ посещений и загрузок в браузере, а также прочих важных данных, включая пароли и расширения. Все сведения отображаются на шкале времени.

Попробовать

Обработка метаданных

Exiv2

Библиотека для метаданных Exif, IPTC, XMP и ICC.

Попробовать

FOCA

Позволяет находить данные в документах, загруженных в интернет. Функционирует с Adobe InDesign, Open Office, Microsoft Office, PDF и SVG.

Попробовать

Exif Tool

Обработка метаданных из разных форматов.

Попробовать

Pdf Parser

Применяется для получения сведений из файла PDF.

Попробовать

Инструментарий для Mac

ESF Playground

Позволяет просматривать события в ESF. Работает в режиме реального времени.

Попробовать

macOS Artifact Parsing Tool

Применяется для работы с образами дисков, получения информации, представляющей интерес для расследования. Является фреймворком на базе Python. Есть плагины для работы с артефактами.

Попробовать

Knockknock

Показывает весь перечень компонентов, исполняющихся в macOS в автоматическом режиме.

Попробовать

Инструментарий для телефонов

Andriller

Программа собирает данные с техники на Android. Применяется для разблокировки телефона.

Попробовать

MobSF

Является системой для исследования посторонних программ в автоматическом режиме. Позволяет оценить уровень безопасности приложений. Работает с бинарными файлами, у которых изначальный код находится в архиве. Формирует REST API для внедрения в конвейер Dev Sec Ops или CI/CD.

Попробовать

ALEAPP

Парсер Protobuf и журналов событий для техники Android.

Попробовать

iLEAPP

Аналогичное решение для iOS.

Попробовать

Разные инструменты

Digital Forensics Artifact Repository

Информационная база в рассматриваемой области.

Попробовать

Bitscout

Применяется для формирования LiveCD/LiveUSB, которые могут использоваться в криминалистике.

Попробовать

sherloq

Инструментарий для экспертизы фотографий в цифровом формате, которые могут использоваться для суда.

Попробовать

Sigma

Формат подписи для систем SIEM.

Попробовать

bulk extractor

Осматривает содержание данных, находит в них требуемые сведения (фото, адреса или JSON snippets).

Попробовать

swap_digger

Bash-скрипт, извлекающий файл подкачки Linux в автоматическом режиме. Нахождение данных аккаунта, адресов почты, состава интернет-форм, ключей SSID Wi-Fi.

Попробовать

fflib

Формат для создания образов дисков, а также данных, используемых в криминалистике.

Попробовать

LaZagne

Применяется для извлечения паролей на ПК.

Попробовать

Fibratus

Применяется для трассировки и анализа ядра Windows.

Попробовать


Форензика уступала пентестингу по количеству подходящих инструментов, находящихся в общем доступе. Постепенно различие в количестве снижается. Расследование преступлений в киберсфере становится более доступным для всех специалистов.



Great! Next, complete checkout for full access to All-In-One Person
Welcome back! You've successfully signed in
You've successfully subscribed to All-In-One Person
Success! Your account is fully activated, you now have access to all content
Success! Your billing info has been updated
Your billing was not updated