10 ferramentas que um perito de Forense Digital nunca pode esquecer

Bom, vamos lá, nossa primeira ferramenta é uma das mais conhecidas na nossa área, o nome dela é Volatility.

1) Volatility

O Volatility Framework é um coleção de ferramentas, de código livre e gratuita, para análise de memória RAM. Normalmente utilizada em ambientes Linux, e já presente em algumas distribuições, como o Kali Linux por exemplo, mas pode ser usado em máquinas windows também.

link:

Screenshot Kali 2019.4 — Ferramente Volatility ₢

2) FTK Imager

O FTK Imager é uma ferramenta de visualização e geração de imagens de dados que permite examinar arquivos e pastas em discos rígidos locais, unidades de rede, CDs / DVDs e revisar o conteúdo de imagens forenses ou despejos de memória. Usando o FTK Imager, você também pode criar hashes SHA1 ou MD5 de arquivos, exportar arquivos e pastas de imagens forenses para disco, revisar e recuperar arquivos que foram excluídos da Lixeira (but, desde que seus blocos de dados não tenham sido sobrescritos) e uma imagem forense para visualizar seu conteúdo no Windows Explorer.

3) CAINE

CAINE (Computer Aided Investigative Environment) é o Live CD do Linux que contém uma grande quantidade de ferramentas forenses digitais. Os recursos incluem uma GUI fácil de usar, criação de relatórios semiautomáticos e ferramentas para computação forense móvel, análise forense de rede, recuperação de dados e muito mais, esse é o sistema operacional dos peritos de computação forense.

4) HxD

HxD é um dos meus favoritos pessoaisÉ um editor hexadecimal de fácil utilização que permite realizar edição e modificação de baixo nível de um disco bruto ou da memória principal (RAM). O HxD foi projetado com facilidade de uso e desempenho em mente e pode lidar com arquivos grandes sem problemas. Os recursos incluem pesquisa e substituição, exportação, checksums / digests, shredder de arquivos embutido, concatenação ou divisão de arquivos, geração de estatísticas e muito mais.

5) ExifTool

O ExifTool é um aplicativo de linha de comando usado para ler, gravar ou editar informações de metadados de arquivos. É rápido, poderoso e suporta uma grande variedade de formatos de arquivo (embora os tipos de arquivo de imagem sejam sua especialidade). O ExifTool pode ser usado para analisar as propriedades estáticas de arquivos suspeitos em uma investigação forense baseada em host, por exemplo. Uma aplicação legal é usar essa ferramenta para pegar propriedades para saber a localização GPS onde uma imagem foi tirada por exemplo.

6) Sistema IPED

É um programa computacional forense desenvolvido no Brasil, por peritos federais, para a investigação na Operação Lava Jato. O software permite:

  • Análise integrada das informações armazenadas nos dispositivos digitais apreendidos;
  • Recuperação de arquivos deletados;
  • Identificação de criptografia;
  • Localização de palavras;
  • Reconhecimento óptico de caracteres;
  • Detecção de nudez;
  • Cruzamento de informações;
  • Rastreamento de localização;
  • Entre outras funcionalidades.

Com uma interface simples e intuitiva, o software pode ser executado em Windows, Linux e Mac OS, possui alta escabilidade, que possibilita utilizar em número ilimitado de computadores, portabilidade, arquitetura multihread e processamento em batch, ajudando na análise de grandes volumes de dados em qualquer dia e horário da semana.

7) AutoSpy

O Autopsy é um programa, para realizar perícia digital, fácil de usar e baseado em GUI, que permite analisar com eficiência discos rígidos e smart phones. Ele possui uma arquitetura de plug-in que permite encontrar módulos complementares ou desenvolver módulos personalizados em Java ou Python.

  • Casos com vários usuários: colabore com os colegas examinadores em casos grandes.
  • Análise da linha do tempo: exibe eventos do sistema em uma interface gráfica para ajudar a identificar a atividade.
  • Pesquisa por palavra-chave: Módulos de extração de texto e índice pesquisados ​​permitem encontrar arquivos que mencionam termos específicos e encontram padrões de expressões regulares.
  • Artefatos da Web: Extrai atividade da Web de navegadores comuns para ajudar a identificar a atividade do usuário.
  • Análise de registro: Usa o RegRipper para identificar documentos e dispositivos USB acessados ​​recentemente.
  • Análise de arquivos LNK: identifica atalhos e documentos acessados
  • Análise de e-mail: analisa mensagens no formato MBOX, como o Thunderbird.
  • EXIF: Extrai informações de localização geográfica e câmera de arquivos JPEG.
  • Classificação de tipo de arquivo: agrupe arquivos por tipo para encontrar todas as imagens ou documentos.
  • Reprodução de Mídia: Veja vídeos e imagens no aplicativo e não exija um visualizador externo.
  • Visualizador de miniaturas: exibe miniaturas de imagens para ajudar a visualizar imagens rapidamente.
  • Análise robusta do sistema de arquivos: Suporte para sistemas de arquivos comuns, incluindo NTFS, FAT12 / FAT16 / FAT32 / ExFAT, HFS +, ISO9660 (CD-ROM), Ext2 / Ext3 / Ext4, Yaffs2 e UFS do The Sleuth Kit.
  • Filtragem de conjuntos de hash: filtre os arquivos conhecidos usando NSRL e sinalize arquivos inválidos conhecidos usando hashsets personalizados nos formatos HashKeeper, md5sum e EnCase.
  • Tags: marque arquivos com nomes de tag arbitrários, como ‘favorito’ ou ‘suspeito’, e adicione comentários.
  • Extração de Strings Unicode: Extrai strings de espaço não alocado e tipos de arquivos desconhecidos em vários idiomas (árabe, chinês, japonês, etc.).
  • Detecção de tipo de arquivo com base em assinaturas e detecção de incompatibilidade de extensão.
  • Módulo de arquivos interessantes irá sinalizar arquivos e pastas com base no nome e caminho.
  • Suporte Android: extrai dados de SMS, registros de chamadas, contatos, Tango, palavras com amigos e muito mais.
    Formatos de entrada
  • A autópsia analisa imagens de disco, unidades locais ou uma pasta de arquivos locais. As imagens de disco podem estar no formato raw / dd ou E01. O suporte E01 é fornecido pela libewf.

8) Xplico

O Xplico é um NFAT (Network Forensic Analysis Tool) de código aberto que tem como objetivo extrair dados de aplicativos do tráfego da Internet (por exemplo, o Xplico pode extrair uma mensagem de e-mail do tráfego POP, IMAP ou SMTP). Os recursos incluem suporte para vários protocolos (por exemplo, HTTP, SIP, IMAP, TCP, UDP), remontagem de TCP e a capacidade de gerar dados para um banco de dados MySQL ou SQLite, entre outros.

9) DFF — Digital Forensics Framework

é uma ferramenta open source de análise forense disponível para os sistemas Windows e Linux e dentre suas características estão:

Preserva cadeia de custódia
Software de Bloqueio, Criptografia

Acesso a dispositivos Locais e Remotos
Discos, Dispositivos Removíveis, Drivers Remotos

Leitura de arquivos nos formatos
Raw, Encase EWF, AFF 3 e etc…

Reconstrução de Disco de Máquinas Virtuais
Compatível com VmWare (VMDK)

Sistemas Windows e Linux
Regedit, Mailboxes, NTFS, EXTFS 2/3/4, FAT 12/16/32

Busca por (meta) data
Expressões Reguláres, Dicionários, Busca, Tags, Time-line

Recuperação de Dados
Arquivos, Diretórios, Espaços não-alocados

Memória Volátil
Processos Arquivos, Extração Binária, Conexões de Rede

10) SANS SIFT

O kit de ferramentas de investigação forense SANS (SIFT) é um Live CD baseado no Ubuntu que inclui todas as ferramentas necessárias para conduzir uma investigação forense ou de resposta a incidentes. Ele suporta a análise dos formatos de evidência de Especialista Testemunha (E01), Advanced Forensic Format (AFF) e RAW (dd). O SIFT inclui ferramentas como o log2timeline para gerar uma linha do tempo a partir de logs do sistema, Scalpel para a criação de arquivos de dados, Rifiuti para examinar a lixeira e muito mais

Bom, espero que tenha gostado a lista de ferramentas para usar nas suas investigações como perito de forense computacional.

E se você ainda não é um perito mas quer se tornar um, acesse o curso mais completo de computação forense do Brasil clicando aqui http://bit.ly/afd-forensedigitalbrasil.

Leia mais

Somos um escritório de alta qualidade para prestação servicos de Inteligência para pessoa física e jurídica.

NOSSOS SERVIÇOS

Empresarial
Familiar
Localização de Pessoas
Contra espionagem
Patrimônio
Direito Criminal

CONTATO

Telefone

 (11) 95758-3135

Telefone

(33) 98885-7277

ONDE ESTAMOS

Edifício Copan

Avenida Ipiranga, 200, São Paulo/SP

Somos um escritório de alta qualidade para prestação servicos de Inteligência para pessoa física e jurídica.

ONDE ESTAMOS

CONTATO

Copyright 2022. ADDP  BRASIL CNPJ 29.224.018/0001-59 I E conhecereis a verdade, e a verdade vos libertará. (João 8:32)

Abrir bate-papo
Precisa de ajuda?
ADDP BRASIL
Olá!
Em que podemos ajudar?