Bom, vamos lá, nossa primeira ferramenta é uma das mais conhecidas na nossa área, o nome dela é Volatility.
1) Volatility
O Volatility Framework é um coleção de ferramentas, de código livre e gratuita, para análise de memória RAM. Normalmente utilizada em ambientes Linux, e já presente em algumas distribuições, como o Kali Linux por exemplo, mas pode ser usado em máquinas windows também.
link:
2) FTK Imager
O FTK Imager é uma ferramenta de visualização e geração de imagens de dados que permite examinar arquivos e pastas em discos rígidos locais, unidades de rede, CDs / DVDs e revisar o conteúdo de imagens forenses ou despejos de memória. Usando o FTK Imager, você também pode criar hashes SHA1 ou MD5 de arquivos, exportar arquivos e pastas de imagens forenses para disco, revisar e recuperar arquivos que foram excluídos da Lixeira (but, desde que seus blocos de dados não tenham sido sobrescritos) e uma imagem forense para visualizar seu conteúdo no Windows Explorer.
3) CAINE
CAINE (Computer Aided Investigative Environment) é o Live CD do Linux que contém uma grande quantidade de ferramentas forenses digitais. Os recursos incluem uma GUI fácil de usar, criação de relatórios semiautomáticos e ferramentas para computação forense móvel, análise forense de rede, recuperação de dados e muito mais, esse é o sistema operacional dos peritos de computação forense.
4) HxD
HxD é um dos meus favoritos pessoais. É um editor hexadecimal de fácil utilização que permite realizar edição e modificação de baixo nível de um disco bruto ou da memória principal (RAM). O HxD foi projetado com facilidade de uso e desempenho em mente e pode lidar com arquivos grandes sem problemas. Os recursos incluem pesquisa e substituição, exportação, checksums / digests, shredder de arquivos embutido, concatenação ou divisão de arquivos, geração de estatísticas e muito mais.
5) ExifTool
O ExifTool é um aplicativo de linha de comando usado para ler, gravar ou editar informações de metadados de arquivos. É rápido, poderoso e suporta uma grande variedade de formatos de arquivo (embora os tipos de arquivo de imagem sejam sua especialidade). O ExifTool pode ser usado para analisar as propriedades estáticas de arquivos suspeitos em uma investigação forense baseada em host, por exemplo. Uma aplicação legal é usar essa ferramenta para pegar propriedades para saber a localização GPS onde uma imagem foi tirada por exemplo.
6) Sistema IPED
É um programa computacional forense desenvolvido no Brasil, por peritos federais, para a investigação na Operação Lava Jato. O software permite:
- Análise integrada das informações armazenadas nos dispositivos digitais apreendidos;
- Recuperação de arquivos deletados;
- Identificação de criptografia;
- Localização de palavras;
- Reconhecimento óptico de caracteres;
- Detecção de nudez;
- Cruzamento de informações;
- Rastreamento de localização;
- Entre outras funcionalidades.
Com uma interface simples e intuitiva, o software pode ser executado em Windows, Linux e Mac OS, possui alta escabilidade, que possibilita utilizar em número ilimitado de computadores, portabilidade, arquitetura multihread e processamento em batch, ajudando na análise de grandes volumes de dados em qualquer dia e horário da semana.
7) AutoSpy
O Autopsy é um programa, para realizar perícia digital, fácil de usar e baseado em GUI, que permite analisar com eficiência discos rígidos e smart phones. Ele possui uma arquitetura de plug-in que permite encontrar módulos complementares ou desenvolver módulos personalizados em Java ou Python.
- Casos com vários usuários: colabore com os colegas examinadores em casos grandes.
- Análise da linha do tempo: exibe eventos do sistema em uma interface gráfica para ajudar a identificar a atividade.
- Pesquisa por palavra-chave: Módulos de extração de texto e índice pesquisados permitem encontrar arquivos que mencionam termos específicos e encontram padrões de expressões regulares.
- Artefatos da Web: Extrai atividade da Web de navegadores comuns para ajudar a identificar a atividade do usuário.
- Análise de registro: Usa o RegRipper para identificar documentos e dispositivos USB acessados recentemente.
- Análise de arquivos LNK: identifica atalhos e documentos acessados
- Análise de e-mail: analisa mensagens no formato MBOX, como o Thunderbird.
- EXIF: Extrai informações de localização geográfica e câmera de arquivos JPEG.
- Classificação de tipo de arquivo: agrupe arquivos por tipo para encontrar todas as imagens ou documentos.
- Reprodução de Mídia: Veja vídeos e imagens no aplicativo e não exija um visualizador externo.
- Visualizador de miniaturas: exibe miniaturas de imagens para ajudar a visualizar imagens rapidamente.
- Análise robusta do sistema de arquivos: Suporte para sistemas de arquivos comuns, incluindo NTFS, FAT12 / FAT16 / FAT32 / ExFAT, HFS +, ISO9660 (CD-ROM), Ext2 / Ext3 / Ext4, Yaffs2 e UFS do The Sleuth Kit.
- Filtragem de conjuntos de hash: filtre os arquivos conhecidos usando NSRL e sinalize arquivos inválidos conhecidos usando hashsets personalizados nos formatos HashKeeper, md5sum e EnCase.
- Tags: marque arquivos com nomes de tag arbitrários, como ‘favorito’ ou ‘suspeito’, e adicione comentários.
- Extração de Strings Unicode: Extrai strings de espaço não alocado e tipos de arquivos desconhecidos em vários idiomas (árabe, chinês, japonês, etc.).
- Detecção de tipo de arquivo com base em assinaturas e detecção de incompatibilidade de extensão.
- Módulo de arquivos interessantes irá sinalizar arquivos e pastas com base no nome e caminho.
- Suporte Android: extrai dados de SMS, registros de chamadas, contatos, Tango, palavras com amigos e muito mais.
Formatos de entrada - A autópsia analisa imagens de disco, unidades locais ou uma pasta de arquivos locais. As imagens de disco podem estar no formato raw / dd ou E01. O suporte E01 é fornecido pela libewf.
8) Xplico
O Xplico é um NFAT (Network Forensic Analysis Tool) de código aberto que tem como objetivo extrair dados de aplicativos do tráfego da Internet (por exemplo, o Xplico pode extrair uma mensagem de e-mail do tráfego POP, IMAP ou SMTP). Os recursos incluem suporte para vários protocolos (por exemplo, HTTP, SIP, IMAP, TCP, UDP), remontagem de TCP e a capacidade de gerar dados para um banco de dados MySQL ou SQLite, entre outros.
9) DFF — Digital Forensics Framework
é uma ferramenta open source de análise forense disponível para os sistemas Windows e Linux e dentre suas características estão:
Preserva cadeia de custódia
Software de Bloqueio, Criptografia
Acesso a dispositivos Locais e Remotos
Discos, Dispositivos Removíveis, Drivers Remotos
Leitura de arquivos nos formatos
Raw, Encase EWF, AFF 3 e etc…
Reconstrução de Disco de Máquinas Virtuais
Compatível com VmWare (VMDK)
Sistemas Windows e Linux
Regedit, Mailboxes, NTFS, EXTFS 2/3/4, FAT 12/16/32
Busca por (meta) data
Expressões Reguláres, Dicionários, Busca, Tags, Time-line
Recuperação de Dados
Arquivos, Diretórios, Espaços não-alocados
Memória Volátil
Processos Arquivos, Extração Binária, Conexões de Rede
10) SANS SIFT
O kit de ferramentas de investigação forense SANS (SIFT) é um Live CD baseado no Ubuntu que inclui todas as ferramentas necessárias para conduzir uma investigação forense ou de resposta a incidentes. Ele suporta a análise dos formatos de evidência de Especialista Testemunha (E01), Advanced Forensic Format (AFF) e RAW (dd). O SIFT inclui ferramentas como o log2timeline para gerar uma linha do tempo a partir de logs do sistema, Scalpel para a criação de arquivos de dados, Rifiuti para examinar a lixeira e muito mais
Bom, espero que tenha gostado a lista de ferramentas para usar nas suas investigações como perito de forense computacional.
E se você ainda não é um perito mas quer se tornar um, acesse o curso mais completo de computação forense do Brasil clicando aqui http://bit.ly/afd-forensedigitalbrasil.