En İyi 10 Dijital Adli Bilişim Yazılım Uzmanının Kullandığı
Dijital teknoloji kullanılarak birçok suçun işlendiği günümüz dijital çağında çok önemli hale gelen Adli Bilişim, adli bilişim anlayışına sahip olarak, neyin, nasıl ve ne zaman gerçekleştiğini bulmak amacıyla bir bilgisayar sisteminde oluşturulan veya içerilen verileri analiz etme sürecidir. ve ilgili insanlar.
Verileri toplar, analiz eder ve elektronik olarak saklanan bilgileri korur, böylece veriler daha sonra kanıt olarak kullanılabilir.
Gereksinimler:
Kali Linux işletim sistemi
Güncellenmiş Python Sürümü
Kali Linux, dijital adli tıp ve penetrasyon testi için tasarlanmış Debian’dan türetilmiş bir Linux dağıtımıdır. Adli sekmesinde, açık bir şekilde dijital adli tıp gerçekleştirmek amacıyla oluşturulmuş bir aygıt koleksiyonu bulunur.
1. Autopsy
Dijital adli operasyonları gerçekleştirme zamanı geldiğinde ordu, kolluk kuvvetleri ve diğer kuruluşlar tarafından kullanılır. Bu paket muhtemelen açık kaynak yoluyla sağlanan en sağlam paketlerden biridir, yaklaşımlarına daha fazla odaklanan diğer birçok küçük paketin işlevlerini web tarayıcısı tabanlı bir kullanıcı arayüzü ile tek bir düzgün uygulamada birleştirir.
Disk görüntülerini araştırmak için kullanılır. Otopsiye tıkladığınızda hizmeti başlatır ve kullanıcı interfazına http://9999:Localhost/autopsy adresindeki web tarayıcısından erişilebilir .
Kullanıcıya yeni bir vaka dosyası oluşturmak için gereken tüm seçenekleri sunar: Vaka Adı, Açıklama, Araştırmacı Adı, Ana Bilgisayar Adı, Ana Bilgisayar saat dilimi vb.
İşlevleri şunları içerir: Zaman çizelgesi analizi, anahtar kelime arama, web yapıları, karma filtreleme, veri oyma, multimedya ve uzlaşma göstergeleri. RAW veya E01 formatlarındaki disk görüntülerini kabul eder ve belirli bir durum için neyin gerekli olduğuna bağlı olarak HTML, XLS ve gövde dosyasında raporlar oluşturur.
Sağlamlığı, onu bu kadar harika yapan şeydir, içinde kapsadığınız vaka yönetimi, analizi veya raporlamasıdır.
2. Binwalk
Binwalk, ikili görüntülerle uğraşırken kullanılır, görüntü dosyasını keşfederek gömülü dosyayı ve yürütülebilir kodu bulma yeteneğine sahiptir. Ne yaptığını bilenler için çok güçlüdür, doğru kullanılırsa, bir hack’in ortaya çıkarılmasına yol açabilecek ürün yazılımı görüntülerinde gizlenmiş hassas bilgileri bulmak için kullanılabilir veya istismar edilecek bir boşluk bulmak için kullanılabilir.
Python ile yazılmıştır ve libmagic kitaplığını kullanır, bu da onu Unix dosya yardımcı programı için oluşturulan sihirli imzalarla kullanım için mükemmel hale getirir. Müfettişler için işleri kolaylaştırmak için, aygıt yazılımlarında en sık bulunan imzaları tutan ve anormallikleri tespit etmeyi kolaylaştıran sihirli bir imza dosyası içerir.
3. Bulk Extractor
Bulk Extractor, bir siber araştırmacı dijital kanıt dosyasından belirli türde verileri çıkarmak istediğinde, e-posta adreslerini, URL’leri, ödeme kartı numaralarını vb. çıkarabildiği için çok ilginç bir pakettir .
Dizinler, dosyalar ve disk görüntüleri üzerinde çalışır. Veriler kısmen bozulabilir veya sıkıştırılabilir, her yolu bulacaktır.
Bulk Extractor, URL’ler, e-posta kimlikleri ve daha fazlası gibi tekrar tekrar bulunan verilerde bir kalıp oluşturmaya yardımcı olan özelliklerle birlikte gelir ve bunları bir histogram biçiminde sunar. Bulunan verilerden bir kelime listesi oluşturma özelliği vardır, bu şifreli dosyaların şifrelerini kırmaya yardımcı olabilir.
Sıkıştırılmış verileri (ZIP, PDF ve GZIP dosyaları gibi) ve eksik veya kısmen bozuk verileri işleyebildiği için diğer araçların kaçırdığı e-posta adreslerini, URL’leri ve kredi kartı numaralarını bulur. JPEG’leri, ofis belgelerini ve diğer türdeki dosyaları sıkıştırılmış veri parçalarından ayırabilir. Şifrelenmiş RAR dosyalarını algılar ve parçalar.
Ayrılmamış alanda bulunan sıkıştırılmış dosyalarda bile, verilerde bulunan tüm sözcükleri temel alan sözcük listeleri oluşturur. Bu kelime listeleri şifre kırmak için faydalı olabilir.
Çok iş parçacıklıdır; bulk_extractor’ı iki katı çekirdek sayısına sahip bir bilgisayarda çalıştırmak, bir çalışmayı genellikle yarı sürede tamamlamasını sağlar.
Sürücüdeki en yaygın e-posta adreslerini, URL’leri, etki alanlarını, arama terimlerini ve diğer türdeki bilgileri gösteren histogramlar oluşturur.
4. Chkrootkit
Bu program çoğunlukla canlı önyükleme ayarında kullanılır. Herhangi bir kurulu rootkit için ana bilgisayarı yerel olarak kontrol etmek için kullanılır. Bir uç noktayı sağlamlaştırmaya çalışmak veya bir bilgisayar korsanının bir sistemi tehlikeye atmadığından emin olmak işe yarar.
Rootkit modifikasyonu, son günlük silme işlemleri, hızlı ve kirli dizi değiştirmeler ve geçici silmeler için sistem ikili dosyalarını algılama özelliğine sahiptir. Bu, yapabileceklerinin sadece bir tadı, paket ilk bakışta basit görünüyor, ancak dijital adli tıp araştırmacısı için yetenekleri paha biçilemez.
5. Foremost
Dijital bir olayı çözmeye yardımcı olabilecek silinmiş dosyalar? Sorun değil, Foremost, verileri biçimlendirilmiş disklerden ayırabilen, kullanımı kolay bir açık kaynak paketidir. Dosya adının kendisi kurtarılamayabilir, ancak içerdiği veriler oyulabilir.
En başta ABD Hava Kuvvetleri özel ajanları tarafından yazılmıştır. Dizin bilgileri kaybolsa bile, bir üstbilgi ve altbilgi listesine başvurarak dosyaları bölebilir, bu hızlı ve güvenilir kurtarma sağlar.
6. Galleta
Bir tanımlama bilgisi izini takip ederken, bunları bir elektronik tablo programına aktarılabilecek bir biçime ayrıştırır.
Çerezleri anlamak, kırılması zor bir somun olabilir, özellikle çerezler işlenen bir siber suçta kanıt olabilirse, bu program araştırmacılara verileri daha iyi bir biçimde yapılandırma ve çalıştırmalarına izin verme yeteneği vererek yardımcı olabilir. çoğu genellikle verilerin bir elektronik tablo biçiminde olmasını gerektiren bir analiz yazılımı aracılığıyla.
7. Hashdeep
Bu program, karmalarla uğraşırken bir zorunluluktur. Varsayılanları MD5 ve SHA-256’ya odaklanmıştır. Bir kümeye taşınmış mevcut dosyalar veya bir kümeye yerleştirilen yeni dosyalar, eksik dosyalar veya eşleşen dosyalar olabilir, Hashdeep tüm bu dijital adli tıp koşullarıyla çalışabilir ve incelenebilir raporlar verebilir, denetimler yapmak için çok faydalıdır.
En güçlü yönlerinden biri, zamanın önemli olduğu durumlarda ayrılmaz olan çoklu algoritmalarla özyinelemeli karma hesaplamalar gerçekleştirmesidir.
8. Photorec
PhotoRec, çeşitli dosya belgelerini, multimedyayı, arşivleri ve USB sürücüler, sabit disk sürücüleri, android telefonlar, hafıza kartları ve daha fazlası gibi çeşitli depolama ortamlarından kurtarmanıza izin veren güvenilir bir dosya alma paketidir. Bunların dışında cihaz aynı zamanda dijital kameralardan veri kurtarma özelliğine sahiptir ve tüm yaygın dosya sistemleri ile çalışır.
9. Volafox
Python’da yazılmış olan bellek analizi için kullanılıyor, MAC OS X için bellek adli bilişimine odaklanıyor. Intel x86 ve IA-32e çerçevesi üzerinde çalışıyor. Sistem belleğinde bulunan kötü amaçlı yazılımı veya başka bir kötü amaçlı programı bulmaya çalışıyorsanız, gidilecek yol budur.
10. Volatility
Volatility, bellek adli tıp söz konusu olduğunda en popüler çerçevelerden biridir. Araştırmacıların geçici bellek (RAM) örneklerinden dijital verileri çıkarmasını sağlayan python tabanlı bir pakettir. Windows’un 64 ve 32-bit varyantlarının çoğu, android dahil Linux dağıtımlarının seçici tatları ile kullanılmak üzere uyumludur.
Ham format, kilitlenme dökümleri, hazırda bekletme dosyaları veya VM anlık görüntüleri gibi çeşitli biçimlerde bellek dökümlerini kabul eder, makinenin çalışma zamanı durumu hakkında keskin bir fikir verebilir, bu, ana bilgisayarın araştırmasından bağımsız olarak yapılabilir.
Dikkate alınması gereken bir şey var, şifresi çözülen dosyalar ve parolalar RAM’de saklanır ve varsa, sabit diskte şifrelenmiş olabilecek dosyaları araştırmak çok daha kolay olabilir ve genel inceleme süresi önemli ölçüde azaltılabilir.
Kaynak:
https://hackersonlineclub.com/top-10-digital-forensics-software/