Ücretsiz ve Açık Kaynak Adli Araçlar
Giriş
Juniper Research’e göre, işletmelere yapılan siber suç kayıpları 2019 yılına kadar 2 trilyon doları geçecek. Her gün dünyanın her yerinde meydana gelen veri ihlalleriyle birlikte bilgisayar adli bilişim uzmanlarına olan talep de artacak. Yetkisiz bir sunucu erişimini araştırmanız, dahili bir insan kaynakları durumuna bakmanız veya yeni bir beceri öğrenmek istemeniz gerekse de, bu ücretsiz ve açık kaynaklı bilgisayar adli tıp araçları, sabit disk adli bilişimi de dahil olmak üzere derinlemesine analizler yapmanıza yardımcı olacak, hafıza analizi, adli görüntü keşfi ve mobil adli bilişim. Bununla birlikte, doğru araçları kullanmak her zaman işleri daha hızlı taşımanıza ve daha verimli sonuçlar almanıza yardımcı olabilir.
A-Adli Araç Kitleri
Bunlar, çeşitli ayrıntılı dijital adli görevleri yürütebilecek çok amaçlı adli araçlardır.
1-SANS Araştırmacı Adli Araç Takımı (SIFT)
Ubuntu’ya dayanarak, SIFT ayrıntılı bir adli analiz veya olay müdahale çalışması yapmak için gereken tüm önemli araçlara sahiptir. Gelişmiş adli format (AFF), uzman tanık formatı (E01) ve RAW kanıtı (DD) formatındaki analizi destekler. Veri dosyalarını oymak, sistem günlüklerinden zaman çizelgesi oluşturmak, geri dönüşüm kutularını incelemek ve çok daha fazlası için araçlarla birlikte gelir.
SIFT, mevcut araçlara ve bunların kullanımına alışmanıza olanak sağlayan kullanıcı belgeleri sağlar. Ayrıca, bir sistemde kanıtların nerede bulunabileceğini de açıklar. Araçlar terminal penceresinden manuel olarak veya üst menü çubuğu yardımıyla açılabilir.
Bugüne kadar 100.000’den fazla indirme olan SIFT, yaygın olarak kullanılan açık kaynaklı adli ve olay müdahale aracı olmaya devam ediyor.
Yeni temel özellikler
- Ubuntu LTS 16.04 Tabanı
- 64-bit taban sistemi
- Otomatik DFIR paketi güncellemesi ve kişiselleştirmesi
- VMware cihazı adli tıp ile mücadele etmeye hazır
- Windows ve Linux arasında çapraz uyumluluk
- Bağımsız (.iso) ile kurulum veya VMware Player / Workstation ile kullanım seçeneği
- Http://sift.readthedocs.org/ adresindeki çevrimiçi dokümantasyon projesi
Artıları: Belleğin daha iyi kullanılması, modern adli araç ve teknikler, genişletilmiş dosya sistemi desteği.
Bağlantı: https://digital-forensics.sans.org/community/downloads
2-Sleuth Kit Otopsi
Autopsy , akıllı telefonları ve sabit diskleri verimli bir şekilde analiz eden dijital bir adli platformdur. Dünya çapında kolluk kuvvetleri, ordu ve şirketler de dahil olmak üzere çok sayıda kullanıcı tarafından bir bilgisayar sistemi üzerinde araştırmalar yapmak için kullanılıyor. Kullanımı kolay bir arayüze sahip, verileri hızlı bir şekilde işler ve düşük maliyetlidir. Sleuth Kit, komut satırı araçlarından ve disk görüntülerinin analizini ve dosya kurtarmayı sağlayan bir C kütüphanesinden oluşan bir koleksiyondur. Otopsi aracının arka ucunda kullanılır.
Autopsy’nin temel özellikleri:
- Zaman Çizelgesi Analizi — Grafik olayı görüntüleme için gelişmiş arayüz.
- Karma Filtreleme – Bilinen hatalı dosyaları işaretler ve bilinen iyi dosyalara bakar.
- Anahtar Kelime Arama – Belirtilmiş anahtar kelime arama, dosya aramayı kolaylaştırır.
- Web Eserleri – Web tarayıcılarından yer imlerini, geçmişi ve çerezleri çıkarma.
- Veri Oyma — PhotoRec kullanarak silinen dosyaları ayrılmamış alandan kurtarma .
- Multimedya — EXIF’i resimlerden çıkarmak ve videoları izlemek.
- Uzlaşma Göstergeleri — STIX kullanarak bir bilgisayarı tarayın .
Artıları: İyi belgeler ve destek
Eksileri: Unix’e dayandığından özel kullanıcı becerileri gerektirir.
Bağlantı: http://www.sleuthkit.org/autopsy/
3-Oksijen Adli Paket
Ücretsiz ve profesyonel sürümlerde mevcut olan bu adli tıp aracı, bir cep telefonundan kanıt toplamanıza yardımcı olur. Seri numarası, IMEI, OS vb. Tüm cihaz bilgilerini toplar ve mesajları, kişileri ve arama kayıtlarını kurtarır. Dosya tarayıcı özelliği, fotoğraflara, belgelere, videolara ve cihaz veritabanına erişmenizi ve bunları analiz etmenizi sağlar.
Bazı daha önemli özellikler şunlardır:
- Yerleşik bulut veri kurtarma.
- Kişi birleştirme, uygulama hesapları da dahil olmak üzere tüm kaynaklardan bağlantılı profilleri tanımlamaya yardımcı olur.
- Sosyal grafik özellikleri, en sık iletilen kişileri tanımlayarak soruşturmayı yürütmeyi kolaylaştırır.
- Harita özelliği, tüm check-in’leri, harita aramalarını, ziyaret edilen web sitelerini ve bu durumda incelenen tüm cihazların coğrafi konum meta verilerini içeren mesajları bulur.
- Zaman çizelgesi özelliği, en aktif kullanıcı saatlerini ve cihazın kullanıldığı en yaygın yolları gösterir.
- İletileri diğer üç mobil adli araçtan, JTAG / ISP görüntülerinden, RAW / DD dosyalarından ve talaş kaldırma işlemlerinden içe aktarma izni verir.
Artıları: Bluetooth, USB kablosu, iTunes yedeklemeleri, diğer adli yazılım yedeklemeleri ve Android yedeklemeleri gibi verileri ayıklamak için çeşitli yollar sunar. Ayrıca, ana arayüz basit ve kullanımı kolaydır. Gelişmiş veri analizi sağlar ve birçok kullanışlı veri analizi özelliğine sahiptir.
Eksileri: Rakipleri XRY ve UFED’in aksine, ücretsiz sürümü Android yedeklerini kırma veya iPhone’u kilitleme gibi gelişmiş özellikler sunmuyor.
Bağlantı: https://www.oxygen-forensic.com/en/
4-DEFT Sıfır
DEFT (dijital kanıt ve adli tıp araç seti), profesyonellerin ve uzman olmayan kişilerin adli verileri ve dijital kanıtları toplamasına ve korumasına olanak sağlayan Linux tabanlı bir dağıtımdır. Özgür ve açık kaynaklı işletim sistemi, en iyi bilgisayar adli tıp açık kaynak uygulamalarından bazılarına sahiptir. DEFT Zero, 2017 yılında piyasaya sürülen hafif bir versiyondur.
Yararlı özelliklerinden bazıları şunlardır:
- UEFI ve güvenli önyükleme ile 32 ve 64 bit donanım desteği.
- NVMExpress hafızalarını ve eMMC hafızalarını destekler.
- DEFT Zero Linux 2017.1 üç önyükleme modunda çalıştırılabilir: GUI modu, RAM önyükleme GUI modu ve metin modu.
Artıları: Çalıştırmak için sadece 400 MB bellek gerekiyor. Bu, yavaş veya eski bir PC’de bile çalıştırılabileceği anlamına gelir.
Bağlantı: http://www.deftlinux.net/2017/02/13/deft-zero-2017-1-ready-for-download/
B-Ağ Adli Araçları
Bu araçlar, ağ genelinde faaliyetin çıkarılması ve adli analizine yardımcı olur.
1-WireShark
WireShark, en yaygın kullanılan ağ protokolü analizörlerinden biridir. Şebeke aktivitenizi mikroskobik seviyede incelemenizi sağlar. Wireshark, devlet kurumları, şirketler ve eğitim kurumları tarafından yaygın olarak kullanılmaktadır.
- Sürekli olarak eklenen protokol sayısı ile birçok protokolün derinlemesine araştırılmasını sağlar.
- Çevrimdışı ve çevrimiçi analiz.
- Windows, Solaris, Linux, FreeBSD, Mac OS, NetBSD ve diğerlerini içeren çoklu platformları destekler.
- Ağ verileri TTY modu (Tshark yardımcı programı) veya grafiksel bir kullanıcı arayüzü ile göz atabilir.
- Güçlü ekran filtreleri.
- Güçlü VoIP analizi
- Okuma / yazma, tcpdump (libpcap), Cisco Secure IDS iplog, Ağ Genel Sniffer® (sıkıştırılmış ve sıkıştırılmamış), Novell LANalyzer gibi birden fazla dosya biçiminde etkinleştirilebilir.
- Veriler IEEE 802.11, Ethernet, FDDI, Token Ring ve diğerlerinden canlı olarak okunabilir.
- Kerberos, ISAKMP, IPsec, SSL / TLS, WPA / WPA2 ve WEP dahil olmak üzere çeşitli protokoller için şifre çözme işlemini destekler.
- Çıktının CSV, XML veya düz metne dışa aktarılmasını destekler
Artıları: Ağ verilerindeki küçük ayrıntıları açığa çıkarmak için derine inin.
Eksileri: Tam olarak aradığınız çözümü belirlemez ve çözmeniz için ham verileri büyük dosyalara aktarır.
Bağlantı: www.wireshark.org
2-Network Miner
Bu, Windows, Mac OS X, Linux ve FreeBSD için bir ağ adli analiz aracıdır (NFAT). Bu araçlar ücretsiz olarak ve profesyonelce ücretli olarak sunulur. Network Miner’ın ücretsiz sürümü
- Ana bilgisayar adlarını, oturumları, açık portları ve işletim sistemlerini tespit etmek için ağ üzerinde trafik oluşturmadan paketleri yakalayan pasif bir ağ dinleyicisi olarak çalışın.
- PCAP dosyalarını ayrıştırıp çevrimdışı analiz yapılmasına izin verin.
- PCAP dosyalarından iletilen sertifikaları ve dosyaları yeniden oluşturun.
- Kullanıcı dostu bir arayüz ile çıkarılan verileri sunarak adli analistlerin zaman kazanın.
Artıları: Ağ trafiğini yakalar, potansiyel haydut ana bilgisayarları araştırır, yakalanan trafikten dosyaları toplar ve ayıklar.
Bağlantı: http://www.filecroco.com/download-networkminer
3-Xplico
Bu, uygulama trafiğini internet trafiğinden çıkarabilen açık kaynaklı bir ağ adli analiz aracıdır (NFAT). Örneğin, Xplico bir pcap dosyasından e-posta, HTTP içeriği, VoIP çağrısı, FTP, TFTP vb. Xplico’nun önemli özellikleri şunlardır:
- HTTP, IMAP, POP, SIP, SMTP, UDP, TCP, Ipv6 protokollerini destekler
- Çok iş parçacığı
- Uygulama protokolü için porttan bağımsız protokol tanımlama
- Veri ve bilgileri MySQL veya SQLite veritabanı olarak verir
- Bir XML dosyasını yeniden birleştirilen her veri kümesiyle ilişkilendirir
- Ters DNS araması
- Dosya sayısında veya veri boyutunda boyut sınırı yok
- IPv4 ve IPv6’yı destekler
- Modüler bileşenler, yani giriş arayüzü, çıkış arayüzü ve protokol kod çözücüsü.
Artıları: Dosya sayısında veya veri boyutunda boyut sınırı yoktur. Komut satırı daha fazla ayrıntı gösterir ve coğrafi harita özelliği web arayüzünün yanı sıra konsol modunda da kullanılabilir.
Eksileri: paketleri kopyalayıp iki ayrı disektöre göndermek mümkün değildir; bunun yerine, bir paket için ortalama işlem süresi, Xplico’da saniye başına ortalama paket sayısından daha yüksek olduğundan, paketleri kaybetme olasılığı vardır.
Bağlantı: www.xplico.org
C-Adli Görüntüleme Araçları
Bu araçlar, disk görüntülerini mikroskobik düzeyde analiz etmenize yardımcı olur.
1-FTK Görüntüleyici
bu, bir sabit sürücü, ağ sürücüsü ve CD / DVD’deki dosya ve klasörleri çalışabileceği bir veri önizleme ve görüntüleme aracıdır. Size sağlar:
- adli hafıza dökümlerini veya görüntülerini gözden geçirin.
- Veri bloklarının üzerine önceden yazılmadıysa, geri dönüşüm kutusundan silinmiş MD5 veya SHA1 dosya karmaları oluşturun.
- içeriklerini tarayıcıda görüntülemek için adli görüntüleri bağlayın.
Artıları: Bit bit görüntü oluşturur ve sürücünün tam bir kopyasını oluşturur; böylece araştırmacının silinmiş veya geri alınamaz dosyaları görüntülemesini sağlar. Ayrıca, her resim için gelecekteki aramaları kolaylaştıran bir anahtar kelime endeksi oluşturur.
Eksileri: Dosyaları oymaz ve özyinelemeli dışa aktarma yeteneklerinden yoksundur.
Bağlantı: http://accessdata.com/product-download/ftk-imager-version-3.4.3
2-Linux “dd”
Linux dd, çoğu Linux dağıtımında (Fedora, Ubuntu) varsayılan olarak yüklenen güçlü bir araçtır. Bir klasör, dosya veya sürücünün ham görüntüsünü oluşturmak gibi bir dizi adli görevi yürütmek için kullanılabilir.
Olumsuz tarafı, doğru kullanılmadığı takdirde çok yıkıcı olabilir, bu nedenle bazı kullanıcılardan “Veri Destroyer” ismini kazandırabilir. Bu nedenle, önce komutu güvenli bir ortamda test etmeniz ve ardından gerçek verilere uygulamanız önerilir.
3-IXImager
Bu, taşınabilir ortamdan çalışan bir mikro çekirdekte küçük ve hızlı başlatılan bir adli görüntü analizi ile birlikte gelir. Cihazı fiziksel olarak önyükler, bir bilgisayar sistemini yakalar ve doğrular ve dosya sistemini yeniden yapılandırır.
Anahtar özellikler:
- Veri bozulmalarını güvenle hesaplar.
- Belgeleri ve veri kurcalama kaydeder.
- Yüksek hızlı veri sıkıştırma RW kullanır.
- Verilerin farklı dosya sistemlerini, medya türlerini ve çıktı aygıtlarını kapsayabilme özelliğine sahiptir.
- Detaylı veri toplama kayıtları oluşturur.
- Kullanıcı eylemleri için şifreli kimlik doğrulama günlük dosyası oluşturur ve tahrif edilmesini önlemek için kilitler.
Bağlantı: https://www.perlustro.com/solutions/e-forensics/iximager
D-Hafıza adli tıp
1-Mıknatıs RAM Yakalama
Magnet Ram Capture, Magnet Forensics tarafından sağlanan birçok araçtan biridir. Bir bilgisayarın fiziksel hafızasını yakalayan ücretsiz bir araçtır. Bu, adli araştırmacıların bilgisayarın belleğindeki faydalı eserleri kurtarmasına ve analiz etmesine yardımcı olabilir.
Küçük bir bellek alanı kaplayan araç, bellekteki üzerine yazılan veriler en aza indirilirken çalıştırılabilir. Toplanan hafıza verileri RAW formatında dışa aktarılabilir ve adli analiz araçlarından herhangi birine yüklenebilir.
Aracın yakaladığı RAM kanıtı, işlemleri ve programları, ağ bağlantılarını, kayıt defteri kovanlarını, kötü amaçlı yazılım saldırı kanıtlarını, şifresi çözülmüş anahtarları ve dosyaları, kullanıcı adlarını ve şifreleri ve genellikle sabit diskte depolanmayan diğer etkinlikleri içerir.
Artıları: Tam fiziksel belleği hızlı bir şekilde toplar ve analiz edilen canlı sistemde az yer kaplar.
Bağlantı: https://www.magnetforensics.com/free-digital-forensics-software-tools/
2-Memoryze
Bu boş hafıza adli aracı, canlı hafızadaki kötü niyetli aktiviteyi keşfetmenize yardımcı olur. Bellekten görüntüleri alabilir ve analiz edebilir.
Anahtar özellikler:
- Tüm sistem belleğinin bir görüntüsünü oluşturma.
- Belirli bir sürücünün veya bellekteki tüm sürücülerin görüntüsünü diske oluşturma.
- Bir işlemin tam adres alanının bir diske görüntülenmesi.
- Tüm çalışan işlemleri sayma ve listeleme.
- Belleğe yüklenen sürücüleri belirleme.
Bağlantı: https://www.fireeye.com/services/freeware/memoryze.html
E-Web sitesi adli tıp
1-FAW (Adli Web Sitelerinin Toplanması)
Bu, adli soruşturma yürütmek üzere çevrimiçi olarak kullanılabilen web sitelerinden web sayfaları alan ilk tarayıcıdır.
Anahtar özellikleri şunlardır:
- Ana bilgisayar dosyalarını görüntüleme ve düzenleme.
- Ses / video çekimi.
- Web sayfasındaki iFrames için kod alınıyor.
- IP adresini ve web sayfasının ana bilgisayar adını alma.
- İngilizce, Fransızca, İtalyanca ve Lehçe dilleri için destek.
- Geliştirilmiş performans ve kararlılık.
Artıları: Görüntülenmekte olan web sayfalarındaki resim dosyalarını çıkarır. Kötü amaçlı yazılımın tespit edilmesine yardımcı olabilecek bir web sitesinde JavaScript ve CSS gibi dosyaları yakalayabilir. Bir kullanıcı tarafından görüntülenirken bir web sayfasını korur.
Bağlantı: www.fawproject.com
F-Çıkarılabilir Ortam Adli Tıp
1-USB Tarihçisi
Bu araç, tüm USB geçmişi bilgilerinizi Windows Tak ve Kullan kayıt defterinden ayrıştırabilir. Bu, makineye takılı olan USB sürücülerinin tam bir kaydını verebilir. Bu araç aslında çalma, hareket veya verilere yetkisiz erişim ile ilgili adli araştırmalar yapmak için tasarlanmıştır.
Artıları: Bilgisayar adını hızlı bir şekilde bulunan aygıtlara ayrıştırır, sihirbaz odaklı analiz özelliğine sahiptir, yedekleme günlüklerini ve SetupAPI günlüklerini ayrıştırır.
Bağlantı: http://www.4discovery.com/our-tools/