Τεχνική Νομοθεσία Για Μηχανικούς Πληροφορικής/Αναλύστε ένα εργαλείο λογισμικού για FORENSICS
HELIX3 (Ωττας Ιωάννης, Γαρδίκης Θάνος)
επεξεργασίαHELIX3
Το Helix είναι σε μορφή live CD και βασίζεται σε Linux αλλά και windows,δημιουργήθηκε και χρησιμοποιείται στην αντιμετώπιση περιστατικών σε computer forensics και σε e-discovery σενάρια (ηλεκτρονική ανακάλυψη π.χ να εντοπίσει άσεμνες συμπεριφορές κτλ). Το Helix προσφέρει μεγάλη προστασία στον υπολογιστή μας χωρίς να κοστίζει και μπορούμε να το κατεβάσουμε δωρεάν στη http://www.e-fense.com/products.php Μέσα από αυτό μπορούμε να αποκτήσουμε πρόσβαση σε μια πληθώρα εργαλείων ανοικτού κώδικα.
-Ένα μειονέκτημα είναι ότι χρησιμοποιείται live και είναι συνεχώς σε μεταβαλλόμενο περιβάλλον [live analysis] για την συλλογή και ανάλυση των δεδομένων.
-Το πλεονέκτημα εδώ είναι πως δεν λειτουργοί σε μη μεταβαλλόμενο “νεκρό” περιβάλλον το όποιο είναι το ενδεδειγμένο για λειτουργίες τύπου digital forensics.
ΔΥΝΑΤΟΤΗΤΕΣ ΚΑΙ ΕΡΓΑΛΕΙΑ:
System information: Εδώ μπορούμε να δούμε συγκεντρωτικά τα στοιχειά [driver, network, running processes κτλ] για το προς εξέταση σύστημα.
Live Acquisition: Εργαλεία όπως Helix acquisition, FTK image, winner, MDD χρησιμοποιούνται για να πάρουμε αντίγραφα τόσο των σκληρών δίσκων όσο και μνήμης.
Incident Response: Εδώ υπάρχουν προγράμματα τα όποια μας επιτρέπουν την συλλογή πολλών και χρησίμων στοιχείων από το προς εξέταση σύστημα. Εργαλεία όπως WFT,FRU,IRCR2 και τα nigiland. Πέρα από αυτά υπάρχουν και αλλά εργαλεία για την ανάκτηση διαγραμμένων αρχείων η μυστικών κωδικών ο εντοπισμός rootkits συλλογή στοιχείων στο διαδίκτυο και ο έλεγχος registry.
Browse Contents:Μέσα από τα γραφικό περιβάλλον το helix3 μπορούμε να περιηγηθούμε στα αποθηκευμένα δεδομένα προς εξέταση τα στοιχείου. Μας ενημερώνει επίσης για της ημερομηνίες δημιουργίας , πρόσβασης και τροποποίησης αρχείων.
Scan of Pictures:Εδώ πέρα μπορούμε να εντοπίσουμε εύκολα εικόνες και φωτογραφίες που είναι αποθηκευμένες στον υπολογιστή που θα εξετάσουμε.
Investigative Notes:Εδώ Το Helix3 μας δίνει ένα περιβάλλον στο όποιο μπορούμε ν καταγράψουμε την εξέλιξη ερευνά μας. Το σωστά διαμορφωμένο interface του, η πληθώρα των προγραμμάτων που περιέχει, η σωστή αρχειοθέτηση τους στις αντίστοιχες κατηγορίες και η δέσμευση της e-fense για υποστήριξη και ανανέωση του συγκεκριμένου Live CD καθιστούν το Helix3 μια λύση digital forensics.
Σημείωση: η έκδοση helix3 που χρειαζόμαστε είναι 2009R1,αυτή ήταν η τελευταία ελεύθερη διαθέσιμη έκδοση πριν η helix εξαγοραστεί.
Πηγές: [helix.e-fense.com/forums] http://www.e-fense.com/products.php http://forensicswiki.org/wiki/Helix3 http://www.pcmag.gr/
EPPB Elcomsoft Phone Password Breaker (Κώστας Παπακώστας, Νίκος Φραγκογιάννης)
επεξεργασίαΤο Elcomsoft Phone Password Breaker (EPPB) επιτρέπει την πρόσβαση σε backup από το iTunes, το iCloud, από BlackBerry και σε δεδομένα απο Windows Phone συσκεύες. Το EPPB είναι το πρώτο και μοναδικό εργαλείο στην αγορά για την ανάκτηση κωδικών σε iPhone/iPad/iPod και BlackBerry. Το πρόγραμμα ανακτά τον πρωτότυπο κωδικό που προστατεύει κρυπτογραφημένα backup που περιέχουν βιβλία διευθύνσεων, αρχεία κλήσεων, SMS, ημερολόγια, στιγμιότυπα κάμερας, ρυθμίσεις λογαριασμών voice mail και email, εφαρμογές, ιστορικό των browser και μνήμη cache. Το EPPB σου επιτρέπει:
Να έχεις πρόσβαση σε προστατευμένα με κωδικούς backup σε iPhone (μέχρι και το 5s) σε όλα τα iPad, iPad mini και σε όλες τις συσκευές αφής iPod
Να κατεβάσεις και να αποκρυπτογραφήσεις backup από το iCloud για το iPhone δεδομένου ότι το ID και ο κωδικός είναι γνωστά ή χρησιμοποιώντας την πιστοποίηση απο το iCloud
Να αποκρυπτογραφήσεις Key Chains (αποθηκευμένοι κωδικοί σε λογαριασμούς mail) από προστατευμένα με κωδικό backup των iTune, δεδομένου ότι υπάρχει το κλειδί ασφαλείας, backup από το iCloud και μη-κρυπτογραφημένα backup από τα iTune.
Να έχεις πρόσβαση σε προστατευμένα με κωδικό backup της BlackBerry, τα οποία συμπεριλαμβάνουν και τους κωδικούς που έχουν οριστεί από Wallet applications
Να επαναφέρεις κωδικούς των συσκευών BlackBerry και να αποκρυπτογραφήσεις την κάρτα SD της BlackBerry.
Να αποκρυπτογραφήσεις backup σε συσκευές που έχουν έως και BlackBerry 10.2 OS δεδομένου ότι υπάρχει ο BlackBerry ID password.
Να κατεβάσεις ευαίσθητα δεδομένα όπως SMS, επαφές και σημειώσεις από Windows Phone Cloud backup υποθέτοντας ότι γνωρίζεις τα πιστοποιητικά του λογαριασμού Microsoft.
Απαιτήσεις συστήματος.
Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8.
Σύγχρονα CPU με υποστήριξη SSE2 (συνιστάται AES-NI)
Περίπου 8 MB χωρητικότητα στον σκληρό δίσκο.
Μια η περισσότερες υποστηριζόμενες κάρτες γραφικών NVIDIA ή AMD, ή ένα Tableau TACC1441 (συνιστάται για την επιτάχυνση υλικού).
Μια δυνατότητα του EPPB είναι η Elcomsoft GPU Acceleration.
Η τελευταία γενιά της τεχνολογίας Elcomsoft GPU Acceleration μπορεί να χρησιμοποιήσει την επεξεργαστική δύναμη των GPU απεριόριστων σειρών από κάρτες γραφικών της NVIDIA και της AMD (όπως NVIDIA GeForce 8, 9, 100, 200, 400, 500, 600, 700 και AMD Radeon HD 5000, 6000, 7000, R7, R9), αυξάνοντας δραματικά την ταχύτητα της ανάκτησης κωδικών πρόσβασης από iPhone/iPad/iPod και BlackBerry όταν μια ή περισσότερες υποστηριζόμενες κάρτες γραφικών παρευρίσκονται στον υπολογιστή.
Αυτή η λειτουργία παρέχει πραγματικές επιδόσεις υπερυπολογιστή σε τιμές καταναλωτή.Συγκεκριμένα η Home Edition κοστίζει 79€, η Professional Edition 199€
και η Forensic Edition 399€
Πηγές: http://www.elcomsoft.com/help/en/eppb/ , http://www.elcomsoft.com/eppb.html
CD/DVD Inspector (Κωνσταντίνος Κούζας , Ευαγγελία Καλαμπάκα)
επεξεργασίαΤο CD/DVD Inspector είναι ένα επαγγελματικό λογισμικό για την εντατική ανάλυση και εξαγωγή δεδομένων από CD-R, CD-RW και όλων των τύπων των μέσων DVD συμπεριλαμβανομένων των HD DVD και Blu-Ray σχεδιασμένο για τους επαγγελματίες στην ανάκτηση δεδομένων,της εγκληματολογίας, και της επιβολής του νόμου.
Δημιουργήθηκε από τους Paul Crowley και Andrew Dangerfield οι οποίοι εργάζονται στην InfinaDyne.Η 1η έκδοση κυκλοφόρησε το 1999 με το όνομα CD-R Inspector η οποία χρησιμοποιήθηκε για τις υπηρεσίες του FBI.Στη συνέχεια το 2003 ακολούθησε η 2η έκδοση όπου μετονομάστηκε σε CD/DVD Inspector.Έπειτα αναβαθμήστηκε στην 3η και 4η έκδοση. Η κυκλοφορία της τρέχουσας έκδοσης 4.1 του CD/DVD Inspector βασίζεται στις προηγούμενες εκδόσεις και εισάγει μια σειρά από συναρπαστικά νέα χαρακτηριστικά και δυνατότητες. Μπορεί να διαβάσει αρχεία τύπου E01. Ενώ αυτά τα αρχεία μας δείχνουν μόνο ένα τμήμα του περιεχομένου του CD, και σε ορισμένες περιπτώσεις είναι οι μοναδικές πληροφορίες που μπορούμε να αντλήσουμε. Το CD / DVD Inspector περιέχει μια πλήρη επανεξέταση της εφαρμογής των system files που υπάρχουν σε ένα CD, DVD και Blu-Ray.Έτσι μας δίνει την δυνατότητα να ξαναχτίσουμε πληροφορίες καταλόγου και ανάκτησης δεδομένων ακόμη και όταν αυτά έχουν καταστραφεί. Αν και δεν είναι το μοναδικό διαθέσιμο προϊόν με αυτή τη λειτουργία, είναι η μόνη που έχει δοκιμαστεί πλήρως από το FBI ,το Υπουργείο Άμυνας, καθώς επίσης έχει αποδείξει την αξία της και σε μια σειρά δικαστικών υποθέσεων. Το CD / DVD Inspector εντοπίζει αρχεία που περιέχουν γραφικό περιεχόμενο (ART, BMP, GIF, JPEG, TIFF, κ.λπ.) ανεξάρτητα από την επέκταση του αρχείου. Υποστηρίζει RAW εικόνες πάνω από 125 διαφορετικές ψηφιακές φωτογραφικές μηχανές. Επίσης το εργαλείο αυτό έχει την ικανότητα παρουσίασης και έκθεσης αναφορών σχετικά με τις ιδιότητες του CD/DVD όπως παραδείγματος χάρη : το αρχικό μέγεθος του,την ημερομηνία δημιουργίας του,το σύνολο των αρχείων και φακέλων που περιέχει. Επιτρέπει στους χρήστες να επιλέγουν το επίπεδο των αυτόματων επαναλήψεων που εκτελούνται κάθε φορά που αντιμετώπισε ένα σφάλμα δεδομένων, δίνοντας τη δυνατότητα να μετατρέψει δυσανάγνωστους τομείς δεδομένων σε αναγνωσίμους , εξισορροπώντας έτσι την ταχύτητα εξέτασης με πληρότητα. Με την πάροδο του χρόνου και την ανάπτυξη της τεχνολογίας το εν λόγω λογισμικό είναι συμβατό με περιφερειακές συσκευές (ρομποτικά συστηματα) που παράγονται από την ίδια εταιρεία. Όλα τα ρομποτικά συστήματα επεξεργασίας έχουν εκτεταμένες δυνατότητες αναφοράς και συλλογής στοιχείων από τους δίσκους σε .iso ή .ZIP μορφή χρησιμοποιώντας την πλήρη ικανότητα του CD / DVD Inspector για να ανακαλύπτει τα χαμένα, διαγραμμένα και τα κρυφά αρχεία για τα μέσα μαζικής ενημέρωσης.
Τέλος είναι πλήρως συμβατό με 32 και 64 bit εκδόσεις των Windows 95, Windows 2000 ,Windows XP SP2 και SP3, Windows Vista, Windows 7, 8 και 8.1.Η ελάχιστη μνήμη RAM που συνιστάται με τα Windows XP είναι 512ΜΒ. Η ελάχιστη μνήμη RAM που συνιστάται με τα Windows Vista ή νεότερη έκδοση είναι 1GB.Η τελική του τιμή από την InfinaDyne ανέρχεται στα 699$.
Πηγές
1)http://www.infinadyne.com/cddvd_inspector.html 2)http://www.forensicswiki.org/wiki/CD/DVD_Inspector
Free Oxygen Forensic® Suite (Standard) (Κυριάκος Πέτρου Γιώργος Κουβάτας)
επεξεργασίαTo Oxygen Forensic Suite αναφέρεται σε μια συλλογή από ολοκληρωμένα εργαλεία και λειτουργίες που έχουν σχεδιαστεί για την εξαγωγή και την ανάλυση πληροφοριών από φορητές συσκευές, όπως smartphones, PDA και άλλες συσκευές που κατασκευάζονται από διάφορες εταιρείες. Ο σκοπός του Oxygen Forensic Suite είναι η εφαρμογή προηγμένων αλγορίθμων ανάκτησης δεδομένων, προκειμένου να συλλέγεται ένα σημαντικό ποσοστό πληροφοριών από διάφορα ψηφιακά μέσα αποθήκευσης τα οποία στη συνέχεια χρησιμοποιούνται για τη δημιουργία ενός νομικού συνόλου αποδεικτικών στοιχείων.
Χρησιμοποιώντας πρωτόκολλα χαμηλού επιπέδου δίνει τη δυνατότητα στους χρήστες να εξάγουν για κάποια συγκεκριμένη συσκευή που είναι υπό εξέταση πληροφορίες από:
1 | Δεδομένων του τηλεφώνου όπως βασικές πληροφορίες της κάρτας SIM |
2 | Λίστα επαφών (συμπεριλαμβανομένων των κινητών, ενσύρματα, αριθμούς φαξ,ταχυδρομικές διευθύνσεις, επικοινωνία φωτογραφίες και άλλα στοιχεία επικοινωνίας) |
3 | Μηνύματα E-mail με συνημμένα |
4 | Μηνύματα SMS (μηνύματα, ημερολόγιο, φακέλους, τα διαγραμμένα μηνύματα με κάποιους περιορισμούς) |
5 | Τα στοιχεία των ομάδων επαφών |
6 | Όλα τα αρχεία από τη μνήμη του τηλεφώνου, καθώς και από την κάρτα λάμψης, συμπεριλαμβανομένων των εγκατεστημένων εφαρμογών και των δεδομένων τους |
7 | Αναπάντητες / Εξερχόμενες / εισερχόμενες κλήσεις |
8 | GPRS, EDGE, CSD, HSCSD και Wi-Fi δεδομένα |
9 | Σημειώσεις κειμένου |
10 | Organizer (συναντήσεις ημερολογίου, ραντεβού, σημειώσεις, υπενθυμίσεις κλήση, επετείους και γενέθλια,εργασίες) |
11 | Τα μηνύματα πολυμέσων με συνημμένα |
12 | Φωτογραφίες και εικόνες gallery |
13 | Βίντεο κλιπ και ταινίες |
14 | Τα αρχεία φωνής και κλιπ ήχου |
15 | Βάσεις δεδομένων διαφόρων πληροφοριών |
16 | FM Ραδιοφωνικοί Σταθμοί (ως μέρος του προγράμματος περιήγησης αρχείων) |
17 | Web cache και τους σελιδοδείκτες του προγράμματος περιήγησης |
18 | Δραστηριότητα Lifeblog: όλα τα κύρια γεγονότα με γεωγραφικές συντεταγμένες |
19 | Ακεραιότητα δεδομένων προστασία με MD5, SHA-1, SHA-2, CRC, haval, GOST |
Οι λειτουργίες που υποστηρίζει το συγκεκριμένο λογισμικό εξαρτάται από το μοντέλο της συσκεύης. Το Oxygen Forensic Suite συνδυάζει την απλότητα και το μικρό κόστος καθιστώντας το λογισμικό αυτό ιδανικό για την εξαγωγή και επεξεργασία συγκεκριμένων πληροφοριών από συσκευές. Ο οδηγος χρήσης του λογισμικού είναι ιδιαίτερα κατατοπιστικός με ελάχιστες κινήσεις για τη σύνδεση (via USB, serial, Infrared or Bluetooth) και σε πολύ λίγα λεπτά μπορεί ο χρήστης να εξάγει όλες τις πληροφορίες μιας συσκευής. Μπορεί μάλιστα μέσω του λογισμικού να δημιουργήσει αναφορές για τη χρήση τους από κάποια υπηρεσία για δικαστικούς ή αστυνομικούς σκοπούς. Επιπρόσθετα δίνει τη δυνατότητα φιλτραρίσματος των πληροφοριών για την εξόρυξη συγκεκριμένης πληροφορίας.
Το Oxygen Forensic Suite δημιουργεί εκθέσεις δεδομένων οποιασδήποτε συσκευής προσφέροντας στη αστυνομία ή σε οποιαδήποτε άλλη υπηρεσία διερευνά περιστατικά τη δυνατότητα να παρακολουθεί συσκευές, να βλέπει τα στατιστικά στοιχεία επικοινωνίας και να αντλέι δεομένα της συσκευής που μπορούν να προσφέρουν σημαντική πληροφόρηση. Η εκτεταμένη γκάμα συμβατών συσκευών, μαζί με την υποστήριξη Unicode και το ενσωματωμένο πρόγραμμα προβολής αρχείων, καθιστά το λογισμικό αυτό ένα αξιόπιστο εργαλείο για τη διεκπεραίωση ενδελεχών ερευνών.
Πηγές 1.http://www.softpedia.com/get/Mobile-Phone-Tools/Nokia/Oxygen-Forensic-Suite.shtml 2.http://www.softexia.com/mobile-phone-tools/oxygen-forensic-suite/ 3.http://www.shouldiremoveit.com/oxygen-forensic-suite-2014-117857-program.aspx
VHD ( Virtual Hard Disk ) [Πιτσέλης,Γιαπράκης]
επεξεργασίαVHD ( Virtual Hard Disk )
Είναι μια μορφή αρχείου που αντιπροσωπεύει ένα εικονικό σκληρό δίσκο (HDD). Μπορεί να περιέχει ό, τι βρίσκεται σε ένα φυσικό σκληρό δίσκο, όπως τμήματα του δίσκου και ένα σύστημα αρχείων , το οποίο με τη σειρά του μπορεί να περιέχει τα αρχεία και τους φακέλους .Συνήθως χρησιμοποιείται σαν το σκληρό δίσκο μιας εικονικής μηχανής . Ένα Virtual Hard Disk επιτρέπει σε πολλαπλά λειτουργικά συστήματα να βρίσκονται σε ένα μοναδικό μηχάνημα υποδοχής . Αυτή η μέθοδος επιτρέπει στους προγραμματιστές να δοκιμάσουν το λογισμικό σε διαφορετικά λειτουργικά συστήματα χωρίς το κόστος ή την ταλαιπωρία της εγκατάστασης ενός δεύτερου σκληρού δίσκου ή δημιουργώντας μια ξεχωριστή κατάτμηση για ένα ενιαίο σκληρό δίσκο. Η δυνατότητα να τροποποιήσετε άμεσα μια εικονική μηχανή στο σκληρό δίσκο από έναν εξυπηρετητή υποστηρίζει πολλές εφαρμογές, όπως οι εξής: • Μετακίνηση αρχείων ανάμεσα σε ένα VHD και το σύστημα αρχείων υποδοχής • Δημιουργία αντιγράφων ασφαλείας και ανάκτησης • Antivirus και ασφάλεια • Διαχείριση της εικόνας και επιδιόρθωση • Μετατροπή δίσκων (φυσικό σε εικονικό και το αντίστροφο) • Τη διαχείριση του κύκλου ζωής και προβλέψεων
Οι VHDs εφαρμόζονται ως αρχεία που βρίσκονται στο εγγενές σύστημα αρχείων υποδοχής. Τα παρακάτω είδη των μορφές VHD υποστηρίζεται από τη Microsoft Virtual PC και Virtual Server:
• Σταθερή εικόνα του σκληρού δίσκου: ένα αρχείο που έχει κατανεμηθεί για το μέγεθος του εικονικού δίσκου. Σταθερή VHDs αποτελούνται από μια πρώτη εικόνα του δίσκου ακολουθείται από ένα υποσέλιδο VHD (512 ή πρώην 511 bytes). • Δυναμική εικόνα του σκληρού δίσκου: ένα αρχείο που σε κάθε δεδομένη στιγμή είναι τόσο μεγάλο όσο τα πραγματικά δεδομένα που γράφονται σε αυτό, καθώς και το μέγεθος της κεφαλίδας και του υποσέλιδού του. Δυναμική και differencing VHDs αρχίζουν με ένα αντίγραφο του υποσέλιδου VHD (γεμισμένο με 512 bytes), και για τη δυναμική ή differencing VHDs που δημιουργούνται από τα προϊόντα της Microsoft αυτό οδηγεί σε ένα VHD-μπισκότο κορδόνι conectix στην αρχή του αρχείου VHD. • Διαφοράς εικόνα του σκληρού δίσκου: μια σειρά από τροποποιημένα μπλοκ (διατηρείται σε ξεχωριστό αρχείο αναφέρεται ως «κατ 'εικόνα του παιδιού") σε σύγκριση με ένα γονέα εικόνα. Η Διαφορετικότητα σκληρή μορφή εικόνας δίσκου επιτρέπει την έννοια της αναίρεσης : όταν είναι ενεργοποιημένη, όλες οι αλλαγές σε ένα σκληρό δίσκο που περιέχεται μέσα σε ένα VHD (τη μητρική εικόνα) αποθηκεύεται σε ένα ξεχωριστό αρχείο (η εικόνα του παιδιού). Οι επιλογές είναι διαθέσιμες για να αναιρέσετε τις αλλαγές στο VHD, ή να τις συγχωνεύσει μόνιμα στο VHD. Διαφορετικές εικόνες παιδιών με βάση την ίδια μητρική εικόνα, επίσης, να επιτρέψει την «κλωνοποίηση» των VHDs τουλάχιστον το καθολικά μοναδικό αναγνωριστικό (GUID) πρέπει να είναι διαφορετική. Συνδέεται με έναν σκληρό δίσκο:. Ένα αρχείο που περιέχει ένα σύνδεσμο σε ένα φυσικό σκληρό δίσκο ή διαμέρισμα ενός φυσικού σκληρό δίσκο.
Πλεονεκτήματα Σημαντικά οφέλη προκύπτουν από τη δυνατότητα να εκκινήσετε έναν υπολογιστή από έναν εικονικό σκληρό δίσκο: 1. Ευκολία εγκατάστασης: IT οργανισμούς να αναπτύξουν τυποποιημένο, «προ-χτισμένο» διαμορφώσεις για έναν μοναδικό VHD. Ως παράδειγμα, οι οργανώσεις μηχανικών λογισμικού που χρειάζονται ένα συγκεκριμένο σύνολο εργαλείων για ένα συγκεκριμένο έργο θα μπορούσε απλώς να «τραβήξει» το καταλλήλως διαμορφωμένη VHD από μια θέση δικτύου. 2. Δημιουργία αντιγράφων ασφαλείας-και-Επαναφορά: Αλλαγές στα περιεχόμενα ενός VHD (όπως decent από τον ιό, ή τυχαία διαγραφή των σημαντικών αρχείων) είναι εύκολα αναστρέψιμη. 3. Απομόνωση Multi-User: Πολλά σύγχρονα λειτουργικά συστήματα υποστηρίζουν με πολλούς χρήστες, αλλά προσφέρουν διαφορετικούς βαθμούς προστασίας μεταξύ τους (για παράδειγμα, ένας χρήστης του λειτουργικού συστήματος θα μπορούσε να μολυνθεί από έναν ιό που μολύνει άλλους χρήστες, ή να κάνoυν αλλαγές στο λειτουργικό σύστημα που επηρεάζει κι άλλους χρήστες). Δίνοντας σε κάθε χρήστη τη δική τους εκδοχή του λειτουργικού συστήματος-ας πούμε, δημιουργώντας για κάθε ένα από αυτά ένα VHD differencing βασίζεται σε μια βασική εγκατάσταση του OS-αλλαγές σε οποιοδήποτε συγκεκριμένο παιδί εικόνα θα έχει καμία επίδραση σε οποιαδήποτε από τις άλλες εικόνες του παιδιού. Παραπομπή: http://en.wikipedia.org/wiki/VHD_(file_format)
PTK Forensics (ΜΙΛΙΛΗ ΕΙΡΗΝΗ,ΜΑΡΓΑΡΙΤΗ ΑΘΗΝΑ)
επεξεργασίαΤι είναι το Forensic Computing
Η ανάπτυξη της ηλεκτρονικής τεχνολογίας και του διαδικτύου και η καταλυτική διείσδυσή τους στη ζωή μας τις τελευταίες δεκαετίες, έχουν αλλάξει δραματικά τον τρόπο που ζούμε, παράγουμε, συναλλασσόμαστε και διασκεδάζουμε. Εκτός όμως από τη θετική συμβολή της τεχνολογίας στον πολιτισμό μας, υπάρχει και η σκοτεινή της πλευρά, όταν οι νέες τεχνολογίες και το internet χρησιμοποιούνται για τη διάπραξη κακόβουλων επιθέσεων σε άτομα ή επιχειρήσεις, για πράξεις που ακροβατούν στα όρια του νόμου ή τον παραβιάζουν, με στόχο το παράνομο κέρδος, τη δυσφήμηση, την απώλεια κερδών και πελατών ή ακόμη και τη μείωση της εμπιστοσύνης του κοινού στις καινοτόμες τεχνολογίες και σε θεσμούς. Ο όρος Ηλεκτρονικό Έγκλημα ή Ηλεκτρονική Εγκληματικότητα χρησιμοποιείται για να περιγράψει εκείνες τις αξιόποινες πράξεις που τελούνται με τη χρήση ενός συστήματος ηλεκτρονικής επεξεργασίας δεδομένων και κλιμακώνονται από οικονομικές απάτες και κλοπή προσωπικών στοιχείων, μέχρι παράνομη διείσδυση σε υπολογιστικά συστήματα, εκβιασμό, υπεξαιρέσεις και μια σειρά ακόμα από παράνομες ενέργειες. Όταν οι επιθέσεις αποκαλύπτονται και συλλαμβάνονται οι ένοχοι, έρχεται η στιγμή της συλλογής αδιάσειστων αποδείξεων ενοχής, ώστε οι υπαίτιοι να οδηγηθούν στη δικαιοσύνη. Τότε καλούνται οι ειδικοί, οι οποίοι θα ανιχνεύσουν τους υπολογιστές που χρησιμοποιήθηκαν για την εγκληματική ενέργεια και θα εντοπίσουν τα ενοχοποιητικά στοιχεία. Η επιστήμη ή ο κλάδος της εγκληματολογίαςπου αναλαμβάνει τις συγκεκριμένες διαδικασίες, ονομάζεται Forensic Computing ή Computer Forensics.
Ηλεκτρονικά Εγκλήματα και Forensic Computing
Η ραγδαία αύξηση των κρουσμάτων ηλεκτρονικού εγκλήματος και η αναποτελεσματικότητα των παραδοσιακών μεθόδων στην εξιχνίαση και τεκμηρίωσή τους, ανέδειξε την ουσιαστική συμβολή των computer forensics στον εντοπισμό, απόσπαση και ανάλυση στοιχείων από ηλεκτρονικά συστήματα με τέτοιον τρόπο, ώστε να στηρίξουν μια κατηγορία στο δικαστήριο. Οι δημόσιοι κατήγοροι όταν αντιμετωπίζουν περιπτώσεις ανθρωποκτονιών, οικονομικής απάτης, διακίνησης ναρκωτικών, πλαστογραφίας και υπεξαίρεσης, παιδικής πορνογραφίας κ.ά., χρησιμοποιούν ειδικούς στα computer forensics, οι οποίοι ανιχνεύουν τα ηλεκτρονικά αποδεικτικά στοιχεία και συμβάλλουν στη δημιουργία ισχυρής επιχειρηματολογίας. Οι ασφαλιστικές εταιρείες μπορούν να μειώσουν το κόστος των αποζημιώσεων, εάν αποδείξουν ασφαλιστική απάτη (π.χ. ηλεκτρονικές αποδείξεις σχετιζόμενες με δόλο σε ατυχήματα, εμπρησμούς ή περιπτώσεις εργατικών αποζημιώσεων). Σε αστικές δίκες χρησιμοποιούνται προσωπικά και επιχειρηματικά ηλεκτρονικά αρχεία, σε υποθέσεις που αφορούν σε διαζύγια, φυλετικές διακρίσεις ή παρενοχλήσεις. Οι επιχειρήσεις συχνά προσλαμβάνουν ειδικούς στα computer forensics για να συλλέξουν αποδείξεις σε περιπτώσεις συγκεκριμένων απειλών, π.χ. διαρροής εμπιστευτικών πληροφοριών, κατάχρησης, κλοπής, σεξουαλικής παρενόχλησης εργαζομένων ή παράνομης πρόσβασης σε υπολογιστές της εταιρείας. Οι εργαζόμενοι μπορούν επίσης να χρησιμοποιήσουν ειδικούς για να στοιχειοθετήσουν αγωγή εναντίον εταιρειών, σε περιπτώσεις παράνομων απολύσεων, διακρίσεων, προσωπικών δεδομένων κ.λπ. Τα ενοχοποιητικά στοιχεία που θα προκύψουν από την έρευνα των ειδικών μπορούν να χρησιμοποιηθούν εναντίον των κατηγορουμένων στο δικαστήριο. Οι ηλεκτρονικοί εγκληματίες μπορούν να παρεισφρήσουν πρακτικά σε οποιαδήποτε πλατφόρμα και να διαπράξουν μια ευρεία γκάμα εγκλημάτων. Τα συστήματα βέβαια προστατεύονται από συστήματα ελέγχου πρόσβασης, συνήθως εξαιρετικά αποτελεσματικά και ακριβά, αλλά συχνά οι παραλείψεις και τα λάθη αφήνουν 'κερκόπορτες' που επιτρέπουν στους hackers να παρεισφρήσουν σε web sitesκαι να αποσπάσουν πληροφορίες για λογαριασμούς, πιστωτικές κάρτες και κωδικούς πελατών ή να κλέψουν βιομηχανικά μυστικά από εταιρείες ή κυβερνητικούς οργανισμούς. Πρακτικά, για κάθε έγκλημα που διαπράττεται με τη χρήση ηλεκτρονικών υπολογιστών, οι ειδικοί των forensics καλούνται να συλλέξουν αποδείξεις που θα στηρίξουν τις κατηγορίες. Είναι σημαντικό να τονίσουμε εδώ, ότι τα αποδεικτικά στοιχεία που εντοπίζονται στους ηλεκτρονικούς υπολογιστές υπόκεινται στα ίδια πρότυπα και κριτήρια, όπως και αυτά που συλλέγονται από οποιαδήποτε σκηνή εγκλήματος: πρέπει να είναι αυθεντικά, ακριβή, πλήρη, πειστικά προς δικαστές και ενόρκους και συμβατά με το εθιμικό δίκαιο και τους κανόνες της νομοθεσίας. Ως εκ τούτου, η αξιοπιστία τους έγκειται σαφώς στην αυστηρή τήρηση των κανόνων που διέπουν τις διαδικασίες συλλογής αποδεικτικών στοιχείων και είναι κοινές για όλα τα είδη εγκλημάτων.
PTK Forensics (ΡΤΚ) είναι ένα μη-ελεύθερο, εμπορικό GUI εργαλείο για εγκληματολογίας μέσω υπολογιστή. Περιλαμβάνει, επίσης, μια σειρά από άλλες ενότητες του λογισμικού για τη διερεύνηση των ψηφιακών μέσων. Το λογισμικό δεν αναπτύσσεται πια.
ΡΤΚ λειτουργεί ως διεπαφή GUI για το Sleuth Kit, την απόκτηση και την εύρεση ψηφιακών μέσων για την έρευνα. Οι δείκτες αποθηκεύονται σε μια βάση δεδομένων SQL για την αναζήτηση ως μέρος μιας ψηφιακής έρευνας . PTK υπολογίζει μια υπογραφή hash (χρησιμοποιώντας SHA-1 και MD5 ) για τα κεκτημένα των μέσων ενημέρωσης για σκοπούς επαλήθευσης και συνέπεια.
WindowsSCOPE (Αδέμης Θεόδωρος,Μουστάκας Αλέξανδρος)
επεξεργασίαWindowsSCOPE
Η WindowsSCOPE είναι μια εταιρία που παράγει προϊόντα ανάλυσης μνήμης και αντίστροφης μηχανικής για τα Windows, που χρησιμοποιούνται για την απόκτηση και την ανάλυση μεταβλητής μνήμης, ανίχνευση των rootkits ή άλλων κακόβουλων λογισμικών, όπως και ο εντοπισμός και η ανάλυση απειλών στον κυβερνοχώρο.
Απόκτηση Δεδομένων
επεξεργασίαΗ WindowsSCOPE υποστηρίζει τόσο την απόκτηση δεδομένων μέσω λογισμικού(software-based) όσο και με υλικού(hardware-assisted) για κλειδωμένους και ξεκλειδωμένους υπολογιστές. Το πρόσθετο υλικό της WindowsSCOPE(add-on) για την απόκτηση της μνήμης χρησιμοποιεί το PCI Express bus για άμεση πρόσβαση στη μνήμη του συστήματος. Τα στιγμιότυπα μνήμης που αποκτώνται με τα εργαλεία της WindowsSCOPE αποθηκεύονται σε ένα χώρο αποθήκευσης(repository), τα οποία μπορούν να χρησιμοποιηθούν αργότερα για να εντοπίσουν αλλαγές στην μνήμη με την πάροδο του χρόνου.
Ανάλυση Δεδομένων
επεξεργασίαΗ σουίτα προγραμμάτων της WindowsSCOPE παρέχει λεπτομέρειες για διεργασίες(processes), DLL αρχεία, και οδηγούς(drivers) που τρέχουν στον υπολογιστή κατά τη χρονική στιγμή του στιγμιότυπου της μνήμης, καθώς και πληροφορίες για τις ανοιχτές υποδοχές δικτύου(network sockets), τις κινήσεις αρχείων και τις αλλαγές στο μητρώο(registry). Παρέχει, επίσης, την δυνατότητα αποσυναρμολόγησης(disassembly) και ελεγχόμενα γραφήματα ροής(control flow graphing) για τον εκτελέσιμο κώδικα.
Cyber Forensics Δυνατότητες: |
---|
Εγκληματολογική σύλληψη αρχείων(Forensic capture), αντίστροφη μηχανική, ανάλυση παραβίασης στους κόμβους σε πραγματικό χρόνο, ανακάλυψη παρελθόντων παραβάσεων |
Ανάλυση σε βάθος πυρήνα(In-depth live kernel analysis), συστήματος εικονικής μνήμης, DLL αρχείων, οδηγών(drivers), λογισμικό χρήστη, θύρες δικτύου(network ports) και μητρώο(registry) |
Εγκληματολογία μνήμης(Memory forensics) μέσω της Quick AccessTM |
Υποβοηθούμενη από υλικό(Hardware-assisted) σύλληψη μνήμης (Ultimate) |
Εγκληματολογία μνήμης με χρήση δικτύου(Network-wide memory forensics)(Appliance) |
Παρακολούθηση όλου του δικτύου από το κινητό τηλέφωνο σε πραγματικό χρόνο (Live) |
CaptureGUARD Δυνατότητες: |
---|
Παράκαμψη κωδικών σε κλειδωμένους υπολογιστές |
Λήψη της μνήμης μέσω της ExpressCard και PCI Express |
Καταπολέμησης της αντίστροφης μηχανικής(Anti-reverse engineering) και αποσφαλμάτωσης(anti-debugging) |
Δυνατότητες για έλεγχο αδυναμιών στο κυβερνοχώρο(cyber vulnerabilities), συμπεριλαμβανομένης της μεθόδου process/code injection, αλλά και για κακόβουλη τροποποίηση δικαιωμάτων χρήστη(privilege escalation). |
Υλικό και Λογισμικό της WindowsSCOPE:
επεξεργασίαWindowsSCOPE Cyber Forensics - Ultimate
επεξεργασίαΕίναι μια σουίτα εφαρμογών ανάλυσης μνήμης με περιβάλλον χρήσης. Επιτρέπει την εισαγωγή WinDD dumps μνήμης τα οποία στη συνέχεια αναλύονται αυτόματα και παρουσιάζονται σε μία εύκολη για ανάγνωση μορφή. Η σουίτα περιλαμβάνει προγράμματα για την ανάλυση ψηφιακών αρχείων, ανάλυση της μνήμης, διερεύνηση εγκλήματος, ανίχνευση επίθεσης και ανάλυση στον κυβερνοχώρο(cyber attack detection & analysis), καθώς και άλλες δυνατότητες αντίστροφης μηχανικής.
CaptureGUARD Gateway --Access to Locked Computers--
επεξεργασίαΕίναι μια πλατφόρμα ExpressCard (ExpressCard platform), ικανή να παρακάμψει τους κωδικούς πρόσβασης των Windows, επιτρέποντας την ανάλυση μνήμης κλειδωμένων υπολογιστών.
CaptureGUARD Physical Memory Acquisition Hardware - ExpressCard
επεξεργασίαΑυτή είναι μια ExpressCard συσκευή(ExpressCard device) ικανή να απεικονίσει τη φυσική μνήμη του υπολογιστή που είναι συνδεδεμένη. Δημιουργεί αρχεία dump στην μορφή WinDD που μπορεί να χρησιμοποιηθούν με το WindowsSCOPE Cyber Forensics Ultimate ή με άλλα εργαλεία συμβατά με WinDD dump αρχεία. Συνδέεται με τη φυσική μνήμη για να διαβάσει το περιεχόμενο της αλλά απαιτείται ένα πρόγραμμα οδήγησης(CaptureGUARD driver) που θα εγκατασταθεί στο σύστημα , ώστε να αναγνωριστεί η συσκευή από το σύστημα και να μπορέσει να δημιουργήσει αρχεία dump.
WindowsSCOPE Phantom Probe USB Dongle
επεξεργασίαΈνα εργαλείο τύπου USB 3.0(USB 3.0 dongle) που περιέχει το WindowsSCOPE Phantom Probe. Αυτό το εργαλείο τρέχει το WindowsSCOPE Phantom Probe Agent το οποίο είναι ικανό να συλλάβει ένα στιγμιότυπο μνήμης από οποιονδήποτε υπολογιστή που υποστηρίζει τα Windows, όταν αυτά είναι ανοιχτά. Τα στιγμιότυπα αυτά μπορούν να εισαχθούν και να αναλυθούν χρησιμοποιώντας τον αναλυτή του WindowsSCOPE Cyber Forensics - Ultimate. Υποστηρίζει τόσο την απόκτηση της φυσικής μνήμης όσο και της εικονικής.
WindowsSCOPE Forensic Archiving Appliance
επεξεργασίαΕίναι μια συσκευή ανάλυσης ικανή να συνδεθεί σε δίκτυο και να ελέγξει πολλά στιγμιότυπα μνήμης ταυτόχρονα, ώστε να αποφευχθούν τυχόν περιστατικά. Μέσω της χρήσης του WindowsSCOPE Cyber Forensics – Appliance το οποίο έχει Terabyte αποθηκευτικού χώρου, προσφέρεται η δυνατότητα συλλογής στοιχείων μνήμης (snapshots / dumps) η ανάλυση και η αρχειοθέτηση τους, από όλο το δίκτυο και κάθε κόμβο ξεχωριστά. Το εργαλείο αυτό μπορεί να εντοπίσει και να παρακολουθήσει κάθε είδους εισβολές ή επιθέσεις κακόβουλου λογισμικού μεταξύ των κόμβων, με χρήση αντίστροφης μηχανικής σε πραγματικό χρόνο.
ILookIX (Θανάσης Νικολάου , Παναγιώτης Μητροπάνος )
επεξεργασίαILookIX
Το ILookIX είναι ένα Forensics (εγκληματολογικό) πρόγραμμα το οποίο δημιουργήθηκε από την Perlusto Co. το 2010 και είναι η ανανεωμένη έκδοση του αρχικού προγράμματος ILook. Το ILook δημιουργήθηκε το 1995 με σκοπό την πάταξη της τρομοκρατίας, οικονομικών εγκλημάτων και της παιδικής πορνογραφίας .
Χαρακτηριστικά |
---|
Vertical Integration Efficient Design |
Case Category Explorer For All Evidence |
Archive Explorer |
Salvage Explorer |
Registry Explorer |
Analysis Function - Virus And Trojan Detections |
Human Image Detection |
Vault Evidence Review |
Τα κυριότερα χαρακτηριστικά του ILookIX είναι :
1. Case Category Explorer For All Evidence / IVault Evidence Review (Εξερεύνητης Κατηγοριοποίησης Αποδεικτικών Στοιχείων)
Από τα παραπάνω χαρακτηριστικά , το IVault Evidence σαρώνει και εντοπίζει ενοχοποιητικά στοιχεία τα οποία βρίσκονται σε κάθε
αποθηκευτικό μέσο ενώ το Case Category Explorer ταξινομεί τα παραπάνω στοιχεία με βάση του τύπου των αρχείων ή την ψηφιακή τους υπογραφή .
2. Registry Explorer (Εξερεύνητης Καταχωρητών)
Με τον Registry Explorer υπάρχει η δυνατότητα πρόσβασης σε κρυμμένα registry keys ή ακόμα και σε διαγραμμένα κλειδιά που βρίσκονται μέσα σε Hives.
3. Analysis Function - Virus And Trojan Detections (Λειτουργία Ανάλυσης - Εντοπισμός Ιών Και Δουριών Ίππων)
Το συγκεκριμένο είναι υπεύθυνο για τον εντοπισμό ιών και Trojan που βρίσκονται στο σύστημα προτού μολύνουν το σύστημα ή παρέχει τις απαραίτητες αποδείξεις ότι ο χρήστης δεν ευθύνεται για οποιαδήποτε τροποποίηση του συστήματος από τους ιούς .
4. Human Image Detection ( Αναγνώριση Ανθρώπινης Μορφής)
Η συγκεκριμένη λειτουργία εντοπίζει ανθρώπινες μορφές ανάμεσα από εκατομμύρια αρχεία μέσω μιας αυτοματοποιημένης διαδικασίας η οποία μπορεί να εντοπίσει μέχρι 5 τύπους αρχείων ταινιών και 7 τύπους γραφικών αρχείων με την αποτελεσματικότητα να αγγίζει το 80%.
Hardware Requirements (Απαιτήσεις Υλικού):
AMD or Intel CPU core, (dual ή quad Προτεινόμενες) |
4 Giga RAM Απαιτούνται (Με 2 θα Είναι Απλά Λειτουργίσιμο.) |
System Requirements(Απαιτήσεις Λογισμικού):
Windows XP 64 bit SP 2, ή Με .NET Framework 3.5 SP1 Εγκατεστημένα |
Windows Vista SP1, 32 ή 64 bit – Home Premium, Enterprise, Business, Ultimate
(Home Basic Δεν το υποστηρίζουν) |
Windows XP 32 bit, Sp 3, Με .NET Framework 3.5 SP1 Εγκατεστημένα |
Πηγή : http://www.perlustro.com/solutions/e-forensics/ilookix
Win-UFO (Στούκας, Ανδρεάδης)
επεξεργασίαΤο Win-UFO είναι ένα λογισμικό Forensics το οποίο δημιουργήθηκε από τους Emory Casey Mullis και Scott White με σκοπό αφενός την καλύτερη εξυπηρέτηση τον ειδικών και αφετέρου την προσφορά ενός εύχρηστου και κατανοητού εργαλείου για χρήση από άτομα χωρίς ειδικές γνώσεις προγραμματισμού Η/Υ.
Αποτελείται από διάφορα εργαλεία, ορισμένα από τα οποία είναι δημοφιλή εργαλεία ελεύθερου λογισμικού που έχουν ενσωματωθεί στο Win-UFO.Ένα από τα πιο χρήσιμα χαρακτηριστικά του είναι η δυνατότητα δημιουργίας αρχείων αναφορών στα οποία μπορούν να αποθηκευτούν διάφορες πληροφορίες χρήσιμες σε επαγγελματίες και αστυνομικές υπηρεσίες όπως αριθμός υπόθεσης, ημερομηνία περιστατικού, τύπος υπόθεσης κλπ όπως επίσης και πληροφορίες για την υπηρεσία που έχει αναλάβει την υπόθεση, διευκολύνοντας έτσι την αρχειοθέτηση και την ταξινόμηση των υποθέσεων. Η δημιουργία αναφορών είναι προαιρετική ούτως ώστε οι απλοί χρήστες να μπορούν απλώς να χρησιμοποιήσουν τα διαθέσιμα εργαλεία χωρίς να προβληματίζονται άσκοπα.
Τα εργαλεία στο Win-UFO χωρίζονται σε κατηγορίες ανάλογα με τις λειτουργίες τους.
Υπάρχουν επίσης και κάποια αταξινόμητα εργαλεία όπως το TeamViewer που επιτρέπει την απομακρυσμένη πρόσβαση ενός Η/Υ, το Ram-Capturer το οποίο δημιουργεί ένα αρχείο με όλα τα περιεχόμενα της RAM, όπως επίσης και εργαλεία αναζήτησης αρχείων και ένα πρόγραμμα τύπου task manager. Πηγή: http://win-ufo.org/about.shtml
LastActivityView (Ντουγκος Γιάννης , Μιχαήλ Άγγελος)
επεξεργασίαΤο lastactivityview δημιρουργήθηκε το 2012 από τον Nir Sofer.Πρόκειται για ένα σχετικά ευκολόχρηστο και χωρίς ιδιαιτερες απαιτήσεις εγαλείο με μέγεθος 70 Kb.Διανέμεται δωρεάν και τρέχει σε ολά τα windows από τα windows 2000 εως και τα windows 8 ,και στα δυο συστήματα των 32 και 64 bits.Το συγκεκριμένο εργαλείο ,συλλέγοντας πληροφορίες από τα αρχεία του υπολογιστή ,μας δίνει την δυνατότητα να προβάλουμε και να καταγράψουμε μια λίστα με τις ενέργειες που έχουν πραγματοποιηθεί από κάποιον χρήστη .
Οι ενέργειες που προβάλλονται ,όπως μας τις εμφανίζει το εργαλείο αυτό είναι οι εξής:
• Run .EXE αρχείου: .EXE τρέξιμο αρχείων απευθείας από τον χρήστη, ή από άλλο λογισμικό / υπηρεσία που εκτελείται στο παρασκήνιο.
• Επιλέξτε το αρχείο άνοιγμα / αποθήκευση πλαίσιο διαλόγου: Ο χρήστης επιλέξει το συγκεκριμένο όνομα αρχείου από το πρότυπο Αποθήκευση / Άνοιγμα πλαίσιο διαλόγου των Windows.
• Άνοιγμα αρχείου ή φακέλου: Ο χρήστης ανοίγει το καθορισμένο όνομα αρχείου από το Windows Explorer ή από άλλο λογισμικό.
• Προβολή φακέλου στην Εξερεύνηση: Ο χρήστης είδε το συγκεκριμένο φάκελο στον Windows Explorer.
• Εγκατάσταση λογισμικού: Το συγκεκριμένο λογισμικό έχει εγκατασταθεί ή ενημερωθεί.
• Σύστημα Έναρξη: Ο υπολογιστής έχει ξεκινήσει.
• Τερματισμός του συστήματος: Το σύστημα έχει κλείσει, απευθείας από τον χρήστη, ή από ένα λογισμικό που ξεκίνησε μια επανεκκίνηση.
• Επαναφορά από τον ύπνο: Ο υπολογιστής επαναφέρεται από την κατάσταση αναστολής λειτουργίας .
• Δίκτυο συνδεδεμένο: Δίκτυο που συνδέεται, αφού προηγουμένως έχει αποσυνδεθεί.
• Δίκτυο Αποσυνδέθηκε: Δίκτυο έχει αποσυνδεθεί
• Λογισμικό Crash: Το συγκεκριμένο λογισμικό έχει κρασάρει.
• Λογισμικό σταμάτησε να ανταποκρίνεται (κολλάει): Το συγκεκριμένο λογισμικό σταμάτησε να ανταποκρίνεται.
• Μπλε οθόνη: Μπλε εκδήλωση οθόνης έχει συμβεί στο σύστημα.
• Σύνδεση Χρήστη: Ο χρήστης έχει συνδεθεί με το σύστημα.
• Αποσύνδεση χρήστη: Ο χρήστης έχει αποσυνδεθεί από το σύστημα. Αυτό ακόμη μπορεί να προκληθεί από ένα λογισμικό που ξεκίνησε μια επανεκκίνηση.
• Δημιουργία σημείου επαναφοράς: Επαναφορά σημείου έχει δημιουργηθεί από το λειτουργικό σύστημα των Windows.
• Windows Installer Ξεκίνησε
• Windows Installer Έληξε
Μετά τη βασική έκδοση του LastActivityView 1.00 μέχρι σημερα έχουν βγει άλλα 7 updates βελτιώνοντας την απόδωση και τη χρηστικότητα του εργαλείου.
Πηγές:
http://www.technibble.com/lastactivityview-create-a-log-of-the-last-actions-made-by-the-user/ http://www.nirsoft.net/utils/computer_activity_view.html
Registry Recon (ΜΠΑΓΚΟΥ-ΚΟΥΦΗΣ)
επεξεργασίαΤο Registry Recon αναπτύχθηκε από τον Mark Spencer της Arsenal Recon,με την πρώτη έκδοση του να βγαίνει τον Οκτώβριο του 2012, είναι ένα εργαλείο λογισμικού για Ασφαλή Ανάκτηση και Ανάλυση Ψηφιακών Δεδομένων το οποίο επιτρέπει στους χρήστες να αναζητήσουν στοιχεία του μητρώου σχετικά με τις διάφορες αλλαγές που έχουν υποστεί με την πάροδο του χρόνου και πιο συγκεκριμένα μας βοηθά στο πως το μητρώο των Windows μας έχει αλλάξει πριν και μετά την εγκατάσταση του λειτουργικού μας συστήματος.
To Registry Recon παρέχει πρόσβαση σε ένα τεράστιο όγκο των δεδομένων μητρώου που έχουν ουσιαστικά διαγραφεί. Η διαγραφή μπορεί να οφείλεται είτε σε καλοήθη δραστηριότητα του συστήματος, είτε σε κακοδιαχείριση από τον χρήστη, ή ακόμα και εκ νέου απεικόνισης από το προσωπικό IT.
Αρχικά εξάγει τα δεδομένα από τα δοθέντα στοιχεία του σκληρού δίσκου ή από οποιαδήποτε άλλη πηγή και έπειτα ανοικοδομεί ολόκληρο το μητρώο. Μπορούμε δηλαδή να αναλύσουμε τα δεδομένα του μητρώου των Windows και μας δίνεται η δυνατότητα να ανακτήσουμε κάποιο παλιότερο μητρώο.
Οι δυνατότητες (λειτουργίες) του Registry Recon είναι η Ανακατασκευή Μητρώου (Registry Rebuilding) εξαγάγοντας δεδομένα μητρώου από τις μονάδες που χρησιμοποιούνται για την κατασκευή ενός “Recon Registry” που υπήρξε ποτέ στον υπολογιστή. Έπειτα το εργαλείο ανοικοδομεί το μητρώο με ένα φιλικό, προς τον χρήστη, περιβάλλον.
Κάποιες από τις νέες δυνατότητες της τελευταίας έκδοσης, που βγήκε στις 25 Ιανουαρίου 2013, είναι η επιλεκτική αναφορά δεδομένων και οι αυτοματοποιημένες λειτουργίες αναφοράς καθώς και η ζωντανή ανάλυση της μνήμης, και τέλος οι βελτιωμένες λειτουργίες αναζήτησης.
Παραπομπές:http://www.wegilant.com/registry-recon-computer-forensics-tool/
http://arsenalrecon.com/apps/recon/
FOCA (Σαμπαλιώτης Κωνσταντίνος - Τσιγκλιφύσης Χρήστος)
επεξεργασίαΗ μεγαλύτερη ανάγκη στην κοινότητα της ψηφιακής εγκληματολογίας σήμερα έγκειται στην ανάκτηση και ανάλυση των υφιστάμενων πληροφοριών από τα συστήματα πληροφορικής. Παίζουν μια σειρά από σημαντικούς ρόλους στην εγληματολογία και στην ανάλυση ψηφιακών πειστηρίων. Τα μεταδεδομένα μπορούν να προσφέρουν επιβεβαιωμένες πληροφορίες σχετικά με τα ίδια τα δεδομένα του εγγράφου και να αποκαλύψουν τις πληροφορίες που κάποιος προσπάθησε να αποκρύψει,να διαγράψει ή να αλλοιώσει. Επίσης μπορούν να χρησιμοποιηθούν για να συσχετίσουν αυτόματα τα έγγραφα από διαφορετικές πηγές. Πιο απλά, ηλεκτρονικές πληροφορίες σχετικά με ένα αρχείο, το οποίο όμως δεν φαίνεται σε ένα εκτυπωμένο αντίγραφο του αρχείου. Eίναι ενσωματωμένα και παρέχουν επιπλέον πληροφορίες όπως πότε και από ποιον δημιουργήθηκαν,ήταν προσβάσιμα ή τροποποιήθηκαν.
Η Informatica64 παρέχει το Forensic FOCA (Fingerprinting Organizations with Collected Archives) εργαλείο με το οποίο οι εγκληματολογικοί αναλυτές επικεντρώνονται στη χρήση των αρχείων μεταδεδομένων για να δημιουργήσουν μια εγκληματολογική υπόθεση. Υπάρχουν πολλά άλλα εργαλεία για την εξαγωγή μεταδεδομένων αλλά το FOCA είναι ο συνδυασμός όλων των χαρακτηριστικών τους και πολλών άλλων.
Εφαρμογές του Office όπως το Microsoft Office ή το Star Office (συμπεριλαμβανομένων των Word, Excel και PowerPoint), δεν είναι οι μόνες εφαρμογές που δημιουργούν και ενσωματώνουν τα μεταδεδομένα. Στην πραγματικότητα, οι περισσότερες εφαρμογές επιτελούν την ίδια λειτουργία. Συχνά, τα αρχεία PDF έχουν ενσωματωμένες πληροφορίες όπως συγγραφέας, τίτλος, και άλλα. Οι ψηφιακές φωτογραφίες και ταινίες συνήθως περιέχουν μεγάλες ποσότητες πληροφοριών σχετικά με την εικόνα ή ταινία, που συχνά περιλαμβάνουν το μοντέλο και το σειριακό αριθμό της συσκευής στην οποία δημιουργήθηκαν. Στην πραγματικότητα, μπορεί να έχουν μεταδεδομένα για οποιοδήποτε αντικείμενο δεδομένων.
To Forensic FOCA είναι σε θέση να αναλύει τα μεταδεδομένα από μία διαφορετική μορφή εγγράφου του Microsoft Office 2007 και αργότερα των Microsoft Office 97-2003, OpenOffice, εγγράφων PDF, πληροφοριών EXIF σε μορφή JPG, WordPerfect, εικόνων SVG, InDesign εγγράφων. Είναι δυνατό μέσω αυτού να δείτε τον αριθμό των υπολογιστών σε ένα γραφείο, τους εκτυπωτές με τους οποίους συνδέονται και να πάρετε μια καλή ιδέα για το πώς ένα δίκτυο είναι δομημένο. Το Forensic FOCA σας επιτρέπει να δείτε τα μεταδεδομένα για κάθε έγγραφο που αναλύθηκε, ιδανικό για την ανάλυση του ενδιαφέροντος έγγραφου. Μπορείτε να δώσετε δύο τύπους προβολής δέντρου ή αρχείων εξερεύνησης και χρονοδιαγράμματος. Στην προβολή χρονοδιαγράμματος θα δείξει τα γεγονότα που σχετίζονται με τα αρχεία ταξινομημένα και οργανωμένα ανά ημερομηνία. Αυτό καθιστά δυνατή την γρήγορη περιήγηση και αναζήτηση των γεγονότων μιας συγκεκριμένης ημερομηνίας.Οι διαφορετικές εκδηλώσεις που υπάρχουν δημιουργούν,τροποποιούν και εκτυπώνουν έγγραφα.
Το FOCA μπορεί επίσης να προσδιορίσει εκδόσεις του λειτουργικού συστήματος και εκδόσεις εφαρμογών, καθιστώντας δυνατό να δείτε αν ένας συγκεκριμένος υπολογιστής ή χρήστης έχει ενημερωμένες αναβαθμίσεις λογισμικού. Οι πληροφορίες αυτές είναι ιδιαίτερα χρήσιμες για τους χάκερ, οι οποίοι θα μπορούσαν στη συνέχεια να κάνoυν μία επίθεση με τεχνική “ψαρέματος” όπου ένας συγκεκριμένος χρήστης είναι στόχος ενός μηνύματος ηλεκτρονικού ταχυδρομείου με ένα συνημμένο που περιέχει κακόβουλο λογισμικό.
CAINE(Μπαγιάρας-Μάγειρας)
επεξεργασίαΤο CAINE (Computer Aided INvestigative Environment) είναι ένα ανοιχτού κώδικα Live USB/DVD βασισμένο στο λειτουργικό σύστημα GNU/Linux. Δημιουργήθηκε από τον Ιταλό Giancarlo Giustini μέσα στα πλαίσια ενός έργου εγκληματολογίας υπολογιστών. Ο τωρινός υπεύθυνος του CAINE είναι ο Nanni Bassetti.
Το CAINE προσφέρει στον χρήστη ένα ολοκληρωμένο γραφικό περιβάλλον ενσωματώνοντας τα ήδη υπάρχοντα λογισμικά ώστε να χρησιμοποιηθούνε ως εργαλεία στα 4 στάδια μιας εγκληματολογικής έρευνας. Το συγκεκριμένο περιβάλλον είναι αρκετά φιλικό προς τον χρήστη και διαθέτει ημιαυτόματες διεργασίες για την τεκμηρίωση και την σύνταξη των αναφορών. Επίσης διαθέτει τεχνολογία Write Block τοσο σε επίπεδο λογισμικού όσο και σε υλικού εξασφαλίζοντας έτσι ότι η συσκευή προς ανάλυση δεν έχει αλλαχθεί με αποτέλεσμα τα δεδομένα που θα εξαχθούν να είναι μη αμφισβητήσιμα.
Κύρια εργαλεία του CAINE που ασχολούνται με την ψηφιακή εγκληματολογία
Πηγές: http://www.caine-live.net/, http://en.wikipedia.org/wiki/Live_CD, http://el.wikipedia.org/wiki/Linux, http://www.forensicswiki.org/wiki/Write_Blockers, http://en.wikipedia.org/wiki/The_Sleuth_Kit
EnCase Forensics(Γκαράνης Νικόλαος - Πεταλούδα Χαρίκλεια)
επεξεργασίαEnCase Forensics
Η Ανάλυση Ψηφιακών Πειστηρίων (Computer Forensic Science) είναι η επιστήμη, η οποία μέσω εξονυχιστικής έρευνας ηλεκτρονικών δεδομένων, έχει καταφέρει να παρουσιάζει αποδεικτικά στοιχεία, τα οποία συνδέονται με μία αξιόποινη πράξη, καθώς μεγάλο ποσοστό πολιτικών, ποινικών και επιχειρηματικών εγκλημάτων συνδέονται είτε άμεσα είτε έμμεσα με έναν υπολογιστή.Τα στοιχεία που ανακαλύπτονται μπορούν να χρησιμοποιηθούν στο δικαστήριο και η διαδικασία είναι νομικά αποδεκτή. Υπάρχουν πολλά εργαλεία και προγράμματα που μπορούν να καταφέρουν την παραπάνω διαδικασία και ένα από αυτά είναι και το Encase Forensics. Το EnCase Forensics είναι ένα λογισμικό ψηφιακής έρευνας της εταιρίας Guidance Software και κυκλοφόρησε το 1998. Είναι ένα εμπορικό λογισμικό και λειτουργεί σε περιβάλλον Windows όλων των εκδόσεων (32 και 64 bits). Οι ελάχιστες απαιτήσεις για να λειτουργήσει το πρόγραμμα είναι οι εξής: διπύρηνος επεξεργαστής, 4GB RAM και 300MB διαθέσιμος ελεύθερος χώρος. Το πρόγραμμα επιτελεί λειτουργίες εικόνας δίσκου, καθώς επίσης και ανάλυσης και επιβεβαίωσης δεδομένων. Λαμβάνει δεδομένα και ανακαλύπτει πιθανά αποδεικτικά στοιχεία για κάποιο έγκλημα κάνοντας ανάλυση του δίσκου από υπολογιστές, επίσης από tablets και smartphones υποστηρίζοντας σχεδόν όλους τους τύπους αρχείων. Μπορεί να λάβει δεδομένα από δίσκο και από μνήμη RAM (κάνει λήψη εγγράφων, εικόνων, email, ιστορικού web, περιόδους συνομιλίας, συμπιεσμένων αρχείων, κρυπτογραφημένων αρχείων κ.λ.π) . Επίσης το EnCase Forensics κάνει ανάκτηση αρχείων και φακέλων, αναλύει υπογραφές αρχείων(ελέγχει αν τυχόν υπάρχει αλλοίωση ή παραποίηση σε αρχεία), βρίσκει λογαριασμούς email, χρησιμοποιεί συναρτήσεις κατακερματισμού (που είναι μια ακολουθία σταθερού μεγέθους ακεραίων που είναι ένας μοναδικός κωδικός που χαρακτηρίζει ένα αρχείο. Αν αυτός ο κωδικός βρεθεί παραποιημένος σημαίνει ότι το συγκεκριμένο αρχείο έχει αλλαχθει) κ.λ.π. Τα στοιχεία που παράγονται από τη χρήση του προγράμματος είναι νομικώς αποδεκτά και χρησιμοποιούνται σε δικαστικές υποθέσεις. Παράγει ολοκληρωμένες αναφορές σχετικά με τα συμπεράσματα μας σε EnCase μορφή, καταγράφοντας λεπτομερώς τις λίστες των URL, τις ημερομηνίες και τις ώρες επισκέψεων σε αυτές. Το EnCase Forensics 7 είναι η πιο πρόσφατη έκδοση του προγράμματος στην οποία έχουν προστεθεί τα εξής εργαλεία: EnCase Smartphone Examiner, EnCase Virtual File System (VFS), EnCase Physical Disk Emulator (PDE), EnCase Decryption Suite, FastBloc Software Edition(SE).
Το EnCase Smartphone Examiner: Αναζητεί και συλλέγει δεδομένα από smartphones και tablets.
Το EnCase Virtual File System (VFS): Καθιστά τα αποδεικτικά στοιχεία που βρίσκει σε μορφή ΄΄μόνο για ανάγνωση΄΄ από το εξωτερικό περιβάλλον.
Το EnCase Physical Disk Emulator (PDE): Καθιστά την εικόνα από ένα επιλεγμένο δίσκο ή CD σε κατάσταση λειτουργίας ΄΄μόνο για ανάγνωση΄΄, επιτρέποντας έτσι τη χρήση και άλλων εργαλείων για περαιτέρω αναλύσεις από τρίτους ερευνητές.
Το EnCase Decryption Suite: Αποκρυπτογραφεί δίσκους, αρχεία και φακέλους, ακόμα και αρχεία του Microsoft BitLocker, Credant Mobile Guardian, Microsoft Outlook PST κ.α
Το FastBloc Software Edition(SE): Κάνει ασφαλή λήψη κάθε τομέα ενός επιλεγμένου σκληρού δίσκου, ακόμα και εξωτερικών δίσκων .
Tέλος τo EnCase Forensics υποστηρίζει τις παρακάτω γλώσσες: Αγγλικά, Αραβική γλώσσα, Γερμανικά, Ισπανικά, Γαλλικά, Ιταλικά, Ιαπωνικά, Κορεάτικα, Ολλανδικά, Πολωνικά, Πορτογαλικά (Βραζιλία), Ρωσικά, Παραδοσιακά Κινέζικα, Απλοποιημένα Κινέζικα
Πηγές:http://www.digitalintelligence.com/software/guidancesoftware/encase7/ , http://books.google.gr/books?id=SZkjmnCl__EC&pg=PA558&lpg=PA558&dq=encase%C2%AE+virtual+file+system+%28vfs%29+module&source=bl&ots=7bT7WVQnTX&sig=eKcVH_PLW8sMu7ddOoOkykClHlM&hl=el&sa=X&ei=47RWVK3TFoHuPLDngGA&ved=0CCsQ6AEwAQ#v=snippet&q=virtual%20file%20system&f=false , http://en.wikipedia.org/wiki/Guidance_Software , http://en.wikipedia.org/wiki/EnCase , http://www.forensicswiki.org/wiki/Encase_image_file_format
Nuix (Λίλιαν Κράη-Βασίλης Τόπης)
επεξεργασίαGhiro (Καραγκούνη Παναγιώτα-Μανιαδής Αστρινός)
επεξεργασίαTo Ghiro, είναι ένα ανοιχτού κώδικα εργαλείο που μπορεί να χρησιμοποιηθεί για αναλύσεις φωτογραφιών αλλά και για την εξόρυξη μεταδεδομένων. Αρχικά δεν έρχεται ως εφαρμογή, αλλά μπορεί να εγκατασταθεί σε dedicated server ή να χρησιμοποιηθεί σε απλά desktops μέσω μιας εικονικής μηχανής. Επίσης, διαθέτει ένα απλό web-interface προκειμένου να επιτυγχάνεται το ανέβασμα εικόνων έτσι ώστε να γίνεται μια επισκόπηση για τα ενσωματωμένα μεταδεδομένα, όπως τα EXIF, IPTC, XMP, συντεταγμένες GPS, κλπ.
Αναλυτικότερα..
- EXIF (Exchangeable image file format), είναι ένα πρότυπο που καθορίζει τα είδη εικόνων, ήχου καθώς και βοηθητικών ετικετών που χρησιμοποιούνται από ψηφιακές φωτογραφικές μηχανές, συμπεριλαμβανομένων των Smartphones, σαρωτές, αλλά και άλλων συστημάτων χειρισμού εικόνων, ήχου όπου καταγράφονται απ’ αυτές.
- IPTC (International Petroleum Technology Conference) είναι το πρότυπο που αναπτύχθηκε στη δεκαετία του 1970 από το Διεθνές Συμβούλιο Τύπου Τηλεπικοινωνιών. Δημιουργήθηκε αρχικά ως πρότυπο για την ανταλλαγή πληροφοριών αλλά και ειδήσεων και έχει εξελιχθεί με την πάροδο του χρόνου. Γύρω στο 1994, το Adobe Photoshop επέτρεψε την εισαγωγή και την επεξεργασία μεταδεδομένων σε ψηφιακά αρχεία εικόνας.
- XMP (Extensible Metadata Platform), αναπτύχθηκε από την Adobe το 2001. Η Adobe συνεργάστηκε με την IPTC προκειμένου να ενσωματώσει τα παλιά "IPTC headers" στο νέο πλαίσιο. Τα XMP μεταδεδομένα μπορούν να προστεθούν σε πολλούς τύπους αρχείων, αλλά και για γραφικές εικόνες που αποθηκεύονται σε αρχεία JPEG και TIFF.
Το Ghiro, χρησιμοποιείται για να γίνει σύγκριση δύο εικόνων όπου μοιάζουν ίδιες στο ανθρώπινο μάτι με αποτέλεσμα να μάθουμε αν μία από αυτές έχει τροποποιηθεί με τη σύγκριση των ψηφιακών υπογραφών. Ουσιαστικά, είναι μια τεχνολογία που μας επιτρέπει να ενσωματώσουμε τα μεταδεδομένα στο ίδιο το αρχείο.
Αξίζει να τονίσουμε πως μας δίνεται η δυνατότητα να μπορούμε να εξαγάγουμε τα μεταδεδομένα προκειμένου να μάθουμε τι συσκευή χρησιμοποιήθηκε για να τραβηχτεί η εν λόγω φωτογραφία.
Επιπλέον, έχουμε την ευκαιρία να δούμε αν υπάρχουν συντεταγμένες GPS που μπορεί να προστέθηκαν αυτόματα, όπως πολλές ψηφιακές φωτογραφικές μηχανές κάνουν, οπότε ένας ενσωματωμένος χάρτης στην Ghiro μας δείχνει την ακριβή τοποθεσία όπου λήφθηκε η φωτογραφία.
Άλλα μεταδεδομένα που μπορεί το Ghiro να εξαγάγει είναι η ανάλυση φωτογραφιών, καθώς και η εστιακή απόσταση, όπου πιο συγκεκριμένα μας δείχνει πόσο έντονα το σύστημα συγκλίνει ή αποκλίνει το φως και το όνομα του λογισμικού που χρησιμοποιήθηκε για την επεξεργασία της φωτογραφίας. Μια καρτέλα διαχείρισης επιτρέπει να ομαδοποιήσουμε τις εικόνες, να εκχωρήσουμε τους χρήστες καθώς και τις άδειες πρόσβασης.
Είναι ένα επεκτάσιμο επαγγελματικό εργαλείο εγκληματολογίας όμως είναι χρήσιμο και για ερασιτέχνες αφού μπορεί να ανιχνεύσει πλαστές φωτογραφίες και επιτρέπει σε μια ομάδα ανθρώπων να εργαστούν σε πολύπλοκες περιπτώσεις με πολλαπλά dashboards χρηστών που ψάχνουν για συγκεκριμένα hashes σε φωτογραφίες και να εμφανίσει τα αποτελέσματα σε απολύτως κατανοητές εκθέσεις.
TestDisk(Χριστόδουλος-Γκατζιούρας)
επεξεργασίαΤo TestDisk είναι ένα εργαλείο FORENSICS το οποίο αρχικά δημιουργήθηκε για την επαναφορά χαμένων διαμερισμάτων σε ένα δίσκο μετά από την καταλάθος διαγραφή ενός διαμερίσματος από τον χρήστη η μετά την μόλυνση του από ιούς στην συνέχεια προστέθηκαν και άλλες λειτουργίες.Δημιουργήθηκε από την εταιρία GNU General public license με την τελευταία σταθερή του έκδοση να είναι η 6.14 η οποία εκδόθηκε τον Ιούλιο του 2013.Το TestDisk κατασκευάστηκε με τη χρήση της γλώσσας C.
Κάποιες από τις βασικές λειτουργίες του είναι οι εξής:
- Η επιδιόρθωση ενός partition του δίσκου καθώς και η επαναφορά ενός partition το οποίο έχει διαγραφεί.
- Η αντιγραφή αρχείων από διαγραμμένο τμήμα δίσκου τύπου FAT,exFAT,NTFS,ext2/ext3/ext4.
- Η επιδιόρθωση πινάκων κατανομής αρχείων (FAT-File allocation table).
- Η επαναφορά του FAT32 σε μια περιοχή του εφεδρικού δίσκου.
- H επανακατασκευή των FAT12/FAT16/FAT32 σε τμήμα του δίσκου.
- Η ανακατασκευή του συστήματος αρχείων (NTFS) σε ένα διαμέρισμα του δίσκου η εφεδρικού δίσκου.
To TestDisk μπορεί να βρει χαμένα τμήματα δίσκου σε αρχεία συστήματος όπως DOS/Windows FAT12, FAT16 and FAT32,XBox FATX,Windows exFAT,Linux btrfs,Mac partition map,NTFS ( Windows NT/2000/XP/2003/Vista/2008/7 ),Wii WBFS,Sun Solaris i386 disklabel.
Η εφαρμογή του μπορεί να υλοποιηθεί στα παρακάτω λειτουργικά συστήματα:
- DOS
- Windows(NT4,2000,XP,2003,Vista,2008,Windows7(x86 & x64)
- Linux
- FreeBSD
- NetBSD
- OpenBSD
- SunOS and MacOS X.
Το TestDisk διατίθεται σε έκδοση για αρχάριους χρήστες καθώς και προχωρημένους/επαγγελματίες και είναι φυσικά ένα ελεύθερο λογισμικό και μπορεί να χρησιμοποιηθεί από τον καθένα.Υπολογίζεται ότι μέχρι το 2008,150000 χρήστες κατέβασαν το εργαλείο αυτό από το site του.
Οδηγίες χρήσης:Στην αρχή ξεκινάμε τρέχοντας το αρχείο που κατεβάσαμε.Θα μας εμφανίσει μια λίστα στην οποία μπορούμε να κρατήσουμε ένα αρχείο με τις διάφορες πληροφορίες που θα συλλέξει το πρόγραμμα κατά την διάρκεια της χρήσης του αλλά υπάρχει και η επιλογή να μην αποθηκεύσουμε κάποιες πληροφορίες.Αφού κάνουμε την επιλογή μας εμφανίζονται όλοι οι σκληροί δίσκοι που υπάρχουν στο σύστημα μας καθώς και η χωρητικότητα δίπλα τους ώστε να τους ξεχωρίσουμε και να διευκολύνει την επιλογή του δίσκου που θέλουμε να επεξεργαστούμε.Επιλέγοντας τον δίσκο που θέλουμε να επεξεργαστούμε στη συνέχεια εμφανίζονται διάφοροι τύποι δίσκων και συνήθως επιλέγουμε Intel/PC partition εκτός και αν έχουμε κάποιο διαφορετικό τύπο.Έπειτα μπορούμε να αναλύσουμε,διαγράψουμε η να δούμε πληροφορίες για το δίσκο.Επιλέγοντας το Analyze ψάχνουμε και βρίσκουμε τα διαμερίσματα που υπάρχουν στον δίσκο.Μετά το Analyze θα εμφανιστούν τα partition του δίσκου αν όχι πατάμε την γρήγορη αναζήτηση(Quick Search) ώστε να ψάξουμε να τα βρούμε(Αν παρ'όλα αυτά μετά το Quick Search δεν έχει βρει κάποια διαμερίσματα που χρειαζόμαστε υπάρχει και η επιλογή της βαθύτερης αναζήτησης Deeper Search).Έχοντας βρει όλα τα διαμερίσματα μπορούμε με τα βελάκια να επιλέξουμε το τι θέλουμε να κάνουμε με το κάθε διαμέρισμα δηλαδή A:Add partition,L:Load backup,T:Change type,P:List files,επιλέγοντας τον σωστό τύπο θα εμφανιστεί το "Stucture:ok." και πατάμε Enter.Τέλος το πρόγραμμα αυτομάτως θα κοιτάξει αν υφίσταται ορθό τμήμα εκκίνησης και τελικά αν είναι κατεστραμμένο είτε δεν υπάρχει μας δίνεται η επιλογή να κάνουμε Backup.Για να ολοκληρωθεί η λειτουργία του TestDisk κάνουμε μια επανεκκίνηση και όλες οι απαραίτητες αλλαγές θα καταχωρηθούν στο σύστημα. Πηγές: 1 2 3
Paraben P2 eXplorer (Κουκουτίμπας, Δήμος)
επεξεργασίαΗ Paraben είναι μια εταιρία με γνώμονα την έρευνα της τεχνολογίας. Ως μια εταιρία που εδρεύει και λειτουργεί στην Αμερική, η Paraben ιδρύθηκε το 1999 και καθιερώθηκε γρήγορα ως ηγέτης στην εξειδίκευση δικανικού λογισμικού για υπολογιστές με την απελευθέρωση των PDA κατασχέσεων στις αρχές του 2002. Η Paraben αργότερα διένειμε το λογισμικό “Cell Seizures”, το πρώτο διαφημιστικό εργαλείο για την εκτέλεση μεθόδων ανάκτησης και εξέτασης πληροφοριών σχετικά με τα κινητά τηλέφωνα. Η κινητή αυτή σειρά, κορυφώθηκε με τον συνδυασμό των δύο αυτών εργαλείων “Device Seizure” τα οποία υποστηρίζουν τα περισσότερα από τα κινητά τηλέφωνα και PDA συσκευών. Η Paraben συνέχισε την ανάπτυξη της με τις καινοτομίες των μοντέλων 360 μοιρών. Η Paraben προσπαθεί να καινοτομήσει σε κάθε τομέα της διαδικασίας έρευνας και της εξέτασης με ψηφιακές αποδείξεις.
Η εταιρία εδρεύει στο Ashburn της Βιρτζίνια με ένα δορυφορικό γραφείο στη Γιούτα. Η προσφορά της ενέχει μαθήματα κατάρτισης σε διάφορες τοποθεσίες ανά την Αμερική, το Ηνωμένο Βασίλειο, την Ευρώπη και την Αυστραλία. Με πάνω από 15 χρόνια της εγκληματολογικής εμπειρίας, η ομάδα εκτέλεσης της Paraben συνεχίζει να αγωνίζεται για την αλλαγή στο χώρο της εγκληματολογίας υπολογιστών. Από την τεχνολογία στις υπηρεσίες, η εταιρία παρέχει ουσιαστικά αποτελέσματα και δεδομένα ιατροδικαστικής ποιότητας.
O P2 eXplorer είναι ένα δικανικό εργαλείο τοποθέτησης που σχεδιάστηκε για να βοηθήσει τους ερευνητές να διαχειρίζονται και αν εξετάζουν τα στοιχεία. Με τον P2 eXplorer, μπορεί κανείς να τοποθετήσει εικόνες σε δίσκους που μόνο διαβάζουν ή και σε φυσικούς δίσκους. Εφόσον μια φορά εκτελεσθεί, μπορεί κανείς να εξερευνήσει το περιεχόμενο των εικόνων μέσω του εξερευνητή των windows ή μπορεί να φορτωθεί στο δικανικό εργαλείο ανάλυσης. Επίσης μπροεί κανείς να δει διαγραμμένα αρχεία, τον ελεύθερο χώρο καθώς και την απροσδιόριστη περιοχή διότι εικόνες που τοποθετούνται σε φυσικούς δίσκους.
Εκτός από την τοποθέτηση των δικανικών εικόνων ως φυσικών δίσκων, ο P2 eXplorer μπορεί να χρησιμοποιηθεί για να βάλει δικανικά δοχεία Paraben. Αυτά τα κρυπτογραφημένα δοχεία χώρου μπορούν να χρησιμοποιηθούν για να μοιρασθούν αποδεικτικά στοιχεία μέσω του P2 Commander. Απλώς εξάγοντας σχετικά αποδεικτικά στοιχεία στο δικανικό δοχείο, μπορούν να αναθεωρηθούν τα αποδεικτικά στοιχεία χρησιμοποιώντας τον P2 Commander. Επίσης μπορούν να χρησιμοποιηθούν ο εξερευνητής P2 και τα δικανικά δοχεία για να ελαχιστοποιήσουν τον χώρο των αποδεικτικών στοιχείων. Εξάγοντας μόνο σημαντικά αποδεικτικά στοιχεία από μια υπόθεση, μπορεί να ελαττωθεί η μακροπρόθεσμη ανάγκη για χώρο. Στην την ελεύθερη έκδοση του εξερευνητή P2, μπορούν να μοιρασθούν τα αποδεικτικά στοιχεία με οποιοδήποτε άλλο.
Χαρακτηριστικά:
- Τοποθέτηση εικόνων ως φυσικοί δίσκοι.
- Τοποθέτηση αντιγραμμένων δικανικών εικόνων Paraben (PFR)
- Τοποθέτηση συμπιεσμένων και κρυπτογραφημένων PFR εικόνων
- Τοποθέτηση EnCase εικόνων
- Τοποθέτηση μέχρι και 3 SafeBack εικόνων
- Τοποθέτηση SMART εικόνων
- Τοποθέτηση FTK και FTK EnCase εικόνων
- Τοποθέτηση WinImage μη κρυπτογραφημένων εικόνων
- Τοποθέτηση ακατέργαστων εικόνων από το Linux DD και διάφορων άλλων εργαλείων
- Η τοποθέτηση δικανικών δοχείων Paraben, δημιουργείται στον P2 Commander και τον ανεπτυγμένο P2 Commander.
- Τοποθέτηση στατικών και δυναμικών εικονικών δίσκων vmWare
- Στατικές και δυναμικές εικόνες VirtualPC
- Στιγμιότυπα VirtualP
- Εικόνες VirtualBox (VDI)
- Αυτόματη αναγνώριση μορφή εικόνων
- Υποστήριξη λογικών και υλικών τύπων εικόνων
- Επαλήθευση MD5 hash
- Υποστήριξη κελύφους για ευκολότερη τοποθέτηση/αφαίρεση
- Προστασία κατά της εγγραφής για την διατήρηση των αποδεικτικών στοιχείων
- Επαλήθευση MD5 checksum
- Στιγμιαία τοποθέτηση πολλαπλών εικόνων
Εξωτερικοί σύνδεσμοί:
Wireshark(Μιχαήλου-Κουλλιάς)
επεξεργασίαTo WireShark ανοίκει στην κατηγορία των Network Forensics και είναι ένας ελεύθερος και ανοιχτού κώδικα αναλυτής πακέτων. Χρησιμοποιείται για την αντιμετώπιση προβλημάτων ενός δικτύου, την ανάλυση, την καταγραφή των πακέτων και την "κίνηση" τους στο δικτύου. Αρχικά ονομάσθηκε Ethereal, ενώ τον Μάιο του 2006 μετονομάστηκε σε Wireshark λόγω κάποιων εμπορικών ζητημάτων.Το Wireshark όπως και τα άλλα Network Forensics (Snort, Kismet etc.) σε αντίθεση με τους κλάδους της ψηφιακής εγκληματολογίας (digital forensics) διαφέρουν. Η μελέτη και η συλλογή πληροφοριών γίνετε πάνω σε δυναμικά δεδομένα.
Τα εγκληματολογικά ζητήματα δικτύων έχουν συνήθως δύο χρήσεις. Η πρώτη, που αφορά την ασφάλεια, περιλαμβάνει την παρακολούθηση ενός δικτύου για την ανώμαλη κίνηση και τον εντοπισμό εισβολών. Ένας εισβολέας θα μπορούσε να είναι σε θέση να διαγράψει όλα τα αρχεία καταγραφής , επομένως η μοναδική απόδειξη για την εγκληματολογική ανάλυση. Η δεύτερη μορφή έχει να κάνει με την ανάλυση της κίνησης του δικτύου, αυτό μπορεί να περιλαμβάνει εργασίες όπως μεταφορά αρχείων και την ανάλυση της ανθρώπινης επικοινωνίας, όπως e-mail ή chat συνεδρίες.
Το δωρεάν αυτό εργαλείο χρησιμοποεί το GTK+ μια εργαλειοθήκη widget. Η εφαρμογή WireShark είναι αρκετά παρόμοια με άλλους αναλυτές πακέτων (tcpdump), αλλά η διαφορά υπάρχει στο τελειοποιημένο γραφικό του περιβάλλον, συν την ολοκληρωμένη ταξινόμηση καθώς και το φιλτράρισμα των επιλογών. Βασικό πρόσθετο πρόγραμμα για την σωστή λειτουργία του είναι το pcap (packet capture) για να μπορεί να λαμβάνει τα πακέτα. Μπορεί να εκτελεσθεί σε όλα τα διαδεδομένα λειτουργικά συστήματα και υπάρχει και έκδοση βασισμένη πάνω σε τερματικό η οποία αποκαλείται Tshark.
Παραδείγματα φίλτρων :
ip.addr == 10.1.1.1
(Εμφανίζει τα πακέτα με διεύθυνση IP πηγής ή προορισμού η οποία ισούται με 10.1.1.1)
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
(Εμφανίζει τα πακέτα με διεύθυνση IP πηγής διαφορετική από την 10.1.2.3 και την ίδια στιγμή με διεύθυνση IP προορισμού διαφορετική της 10.4.5.6. Με άλλα λόγια, τα εμφανιζόμενα πακέτα θα έχουν διεύθυνση IP πηγής οποιαδήποτε εκτός της 10.1.2.3 και διεύθυνση IP προορισμού οποιαδήποτε εκτός της 10.3.4.5.6)
Ιδιότητες του λογισμικού :
- Τα δεδομένα μπορούν να δοθούν με ethernet μέσω μιας ζωντανής διαδικτυακής σύνδεσης ή διαβάζοντας από το αρχείο ενός υπάρχοντος ληφθέντος πακέτου.
- Τα ζωντανά δεδομένα μπορούν να διαβαστούν από έναν αριθμό διάφορων τύπων ενός δικτύου, συμπεριλαμβάνοντας το Ethernet, το IEEE 802.11, το PPP και της διεύθυνσης loopback.
- Συλληφθέντα δεδομένα δικτύου μπορούν να προσπελαστούν μέσω του περιβάλλοντος χρήστη, ή μέσω του τερματικού του εργαλείου Tshark.
- Συλληφθέντα δεδομένα μπορούν να διαμορφωθούν προγραμματιστικά ή μετατραπούν μέσω του τερματικού στη λειτουργία “editcap” του λογισμικού.
- Τα εικονιζόμενα δεδομένα μπορούν να αναδιαμορφωθούν μέσω ενός εικονιζόμενου φίλτρου.
- Πρόσθετα μπορούν να δημιουργηθούν για την ανατομία νέων πρωτοκόλλων.
- VoIP κλήσεις στην συλληφθέντα κίνηση μπορούν να εντοπισθούν. Εάν αποκρυπτογραφηθούν σε μια συμβατή κωδικοποίηση, η ροή των δεδομένων μπορεί να αναπαραχθεί.
- Ακατέργαστη κίνηση δεδομένων σε ένα USB, μπορεί να συλληφθεί.
Ωστόσο, εάν ένας εισβολέας ή επιτιθέμενος γνωρίζει ότι η σύνδεση του ίσως και να παρακολουθείται , θα μπορούσε να χρησιμοποιήσει κρυπτογράφηση (https). Είναι σχεδόν αδύνατο μέχρι και σήμερα να σπάσει η κρυπτογράφηση, αλλά το γεγονός ότι η σύνδεση ενός υπόπτου είναι όλη την ώρα κρυπτογραφημένη μπορεί να υποδεικνύει και ακόμα ένα στοιχείο στην έρευνα του εγκλήματος.
Πηγές: Wikipedia Forensicswiki Openmaniak University Of Oregon
Digital Forensics Framework (DFF) (Κάμπαξης, Μπαγγέας, Χριστοδούλου)
επεξεργασίαΤο Digital Forensics Framework είναι ένα δωρεάν πρόγραμμα ανοιχτού κώδικα βασισμένο πάνω σε μία ανεξάρτητη διεπαφή προγραμματισμού εφαρμογών. Είναι προσιτό στη χρήση τόσο σε ειδικούς όσο και αρχάριους με σκοπό να διατηρεί και να αποκαλύπτει αποδεικτικά στοιχεία εύκολα και γρήγορα χωρίς συμβιβασμούς.
Δημιουργήθηκε από την εταιρία ArxSys και στις 28 Φεβρουαρίου 2013 κυκλοφόρησε η τελική του έκδοση. Προγραμματίστηκε με γλώσσες C++, Python, PyQt4. Είναι συμβατό με Windows και συστήματα βασισμένα σε UNIX, όπως Mac και Linux και είναι διαθέσιμο σε 7 γλώσσες.
Το συγκεκριμένο πρόγραμμα προσφέρει δύο διαφορετικές εκδοχές περιβάλλοντος εργασίας, ένα γραφικών που αναπτύχθηκε με PyQt4 και μία κλασική δενδροειδή μορφή. Αξιοσημείωτα είναι τα επιπλέον χαρακτηριστικά του όπως αναδρομική προβολή, παρακολούθηση, αναζήτηση σε πραγματικό χρόνο και δημιουργία σελιδοδεικτών. Η γραμμή εντολής του προγράμματος επιτρέπει σε ένα χρήστη να εκτελέσει ψηφιακή έρευνα εξ αποστάσεως. Επίσης έρχεται μαζί με τις συνήθεις λειτουργίες όπως διαχείριση εργασιών, συμπλήρωση και συντομεύσεις πληκτρολογίου.
Οι βασικές λειτουργίες του είναι:
- Η διαφύλαξη της ψηφιακής αλυσίδας αποδεικτικών στοιχείων π.χ. λογισμικό αποτροπής εγγραφής και κρυπτογράφηση συνάρτησης κατατεμαχισμού
- Πρόσβαση σε τοπικές και απομακρυσμένες συσκευές π.χ. σκληροί δίσκοι, αφαιρούμενες συσκευές και απομακρυσμένα συστήματα αρχείων
- Αναγνώριση βασικών τύπων αρχείων για ασφαλής ανάκτηση και ανάλυση ψηφιακών δεδομένων όπως Raw και Encase EWF
- Επανόρθωση εικονικών δίσκων συμβατό με VMware (VMDK)
- Ασφαλή ανάκτηση και ανάλυση ψηφιακών δεδομένων για λειτουργικά συστήματα Windows και Linux
- Γρήγορη διαλογή παραστατικών και αναζήτηση για μεταδεδομένα π.χ. συνηθισμένες εκφράσεις, λεξικά, αναζήτηση περιεχομένων, ετικέτες και χρονολόγια
- Ανάκτηση κρυφών και διαγραμμένων αντικειμένων όπως διαγραμμένα αρχεία/φάκελοι και μη εκχωρημένοι χώροι δίσκων.
Πηγές: http://www.digital-forensic.org/ και http://en.wikipedia.org/
COFEE (Γραμμένος,Ευσταθιάδης)
επεξεργασίαΤο COFEE (Computer Online Forensic Evidence Extractor) είναι μία εργαλειοθήκη που αναπτύχθηκε απο την Microsoft για να βοηθήσει στην εξαγωγή δεδομένων απο υπολογιστές που υποστηρίζουν windows.Είναι εγκατεστημένο σε ένα usb ή σε ένα δίσκο και λειτουργεί σαν ένα αυτόματο εργαλείο forensics κατα τη διάρκεια της ανάλυσης.Η microsoft παρέχει τη συγκεκριμένη εργαλειοθήκη μαζί με Online υποστήριξη αποκλειστικά και δωρεάν σε όλες τις υπηρεσίες επιβολής του νόμου όπως είναι η δίωξη ηλεκτρονικού εγκλήματος κάθε χώρας. Το COFEE αναπτύχθηκε απο τον Anthony Fung, πρώην αστυνομικό του Ηοng Kong,χρησιμοποιείτε σε τουλάχιστον 15 χώρες και έπαιξε ένα πολύ σημαντικό ρόλο σε μία έρευνα για διακίνηση παιδικής πορνογραφίας το 2009,η οποία οδήγησε και στην σύλληψη.Τον Απρίλιο του 2009 η Microsoft και η Interpol υπέγραψαν συμφωνία βάσει της οποίας η INTERPOL θα χρησιμεύσει ως κύριος διεθνής διανομέας των COFEE.Το National White Collar Crime Center έχει λάβει άδεια από τη Microsoft να είναι η μόνη αμερικανική εγχώρια διανομέας του λογισμικού. Η χρήση του είναι σχετικά απλή καθώς το εργαλείο ενεργοποιείται αυτόματα με την εισαγωγή ενός usb ή ενός δίσκου στον υπολογιστη.Περιέχει 150 εργαλεία και ένα γραφικό περιβάλλον που βοηθάει μέσω γραφικών και ενδείξεων αυτούς που θέλουν να συλλέξουν τα χαμένα δεδομένα.Η εργαλειοθήκη λογισμικού έχει ρυθμιστεί σε 3 μέρη.Το πρώτο μέρος έχει ρυθμιστεί ωστε να δίνει την δυνατότητα σε έναν ερευνητή να επιλέγει τα όποια στοιχεία επιθυμούν να εξάγουν απο τον υπολογιστή,στη συνέχεια αποθηκεύεται σε μια συσκευή usb και συνδέεται στον υπολογιστή που στοχεύεται η ανάκτηση των χαμένων δεδομένων και τελος,ένα γραφικό περιβάλλον παράγει τις αναφορές απο τα δεδομένα που ανακτώνται.Επίσης εκτός απο την ανάκτηση δεδομένων,το COFEE περιέχει και εργαλεία για εύρεση κρυπτογραφημένων κωδικών,ανάκτηση δεδομένων ιστορικού και φυσικά ανάκτηση πληροφοριών απο την volatile memory (στατική μνήμη) τα οποία χάνονται όταν ο υπολογιστής απενεργοποιείται. Υπήρξε μια διαρροή του λογισμικού τον Νοέμβριο του 2009 καθώς αντίγραφα του λογισμικού διέυρευσαν σε ιστότοπους torrent με την microsoft να επιβεβαιώνει την διαρροή και να απαντάει πως δεν προβλέπουν την διέρευση του λογισμικού απο εγκληματίες του κυβερνοχώρου.
Πηγές: wikipedia forensicswiki
DECAF (Γαλάνης Ιωάννης)
επεξεργασίαΤο DECAF (Detect and Eliminate Computer Acquired Forensics) είναι ένα εργαλείο αντικατασκοπείας που έχει δημιουργηθεί ειδικά γύρω από το γνωστό προϊόν της Microsoft το COFEE που χρησιμοποιείται από τις αρχές επιβολής του νόμου σε όλο τον κόσμο. Ωστόσο, το εργαλείο δεν εμποδίζει την πρόσβαση από άλλα πιο προηγμένα εργαλεία Forensics, και έτσι οι υπολογιστές που προστατεύονται με decaf μπορεί ακόμα να εξεταστούν από άλλα εργαλεία εκτός του COFEE.Στις 18 Δεκεμβρίου 2009, οι συγγραφείς απενεργοποίησαν το λογισμικό, με στόχο να πειστούν οι επαγγελματίες της ασφάλειας να «συνασπιστούν» για να προσφέρουν καλύτερη υποστήριξη σε φορείς του δημοσίου. Το εργαλείο ενημερώθηκε και ενεργοποιήθηκε εκ νέου από μια ομάδα που ονομάζεται SOLDIERX στις 23 Δεκεμβρίου 2009. Το Decaf παρέχει σε πραγματικό χρόνο παρακολούθηση των COFEE υπογραφών για συσκευές USB και στο τρέξιμο των εφαρμογών. Όταν εντοπιστεί μια υπογραφή COFEE, το DECAF εκτελεί πολυάριθμες διαδικασίες που ορίζονται από το χρήστη. Αυτές η διαδικασίες μπορεί να περιλαμβάνουν εκκαθάριση καταγραφής του COFEE, εξαγωγή συσκευών USB, και τη μόλυνση ή την πλαστογράφηση των MAC διευθύνσεων.
ΠΗΓΕΣ [8]
dd command (UNIX/LINUX) Ζαφείρης Γεώργιος , Ιωάννα Καλύβα
επεξεργασίαΗ εντολή dd είναι ένα εργαλείο αρκετά γνωστό κυρίως για την αντιγραφή/κλωνοποίηση δεδομένων από ένα αποθηκευτικό μέσο σε κάποιο άλλο. To εργαλείο αυτό χρησιμοποιείτε και για εγκληματολογικές έρευνες γιατί έχει την δυνατοτήτα να κάνει πλήρη διαγραφή δεδομένων ή μια πρώτη κλωνοποίηση του δίσκου σε κάποια μορφή image.
Κάποιες άλλες βασικές λειτουργίες του είναι:
- Η μετατροπή δεδομένων
- Η επαναφορά δεδομένων
- Η επεξεργασία δεδομένων
- Η οριστική διαγραφή δεδομένων
- Η δημιουργία κενών αρχείων με γνωστό μέγεθος
- Η δημιουργία αρχείων με τυχαία δεδομένα.
Η εντολή dd υπάρχει σχεδόν σε όλες τις διανομές UNIX/LINUX προεγκατεστημένη. Η μονάδα μέτρησης των bytes που χρησιμοποιείται για κάποιες λειτουργίες της εντολής είναι το block, αυτό βοηθάει στην επίτευξη μεγαλύτερων ταχυτήτων. Το εργαλείο αυτό είναι λίγο διαφορετικό από αυτά που έχουμε συνηθίσει ως τώρα. Επειδή ασχολείται με το χαμηλό επίπεδο του λειτουργικού συστήματος και βλέπει τους δίσκους σαν φυσικό μέσο είναι “αυστηρό” στις εντολές του. Ενα μικρό λάθος μπορεί να οδηγήσει σε απώλεια δεδομένων ακόμα και ολοκλήρου του δίσκου. Για αυτον τον λόγο πρέπει να ειμαστε προσεκτικοί στην χρηση του.
Αντιγραφή δεδομένων
Το εργαλείο αυτό μπορεί να αντιγράψει δεδομένα χωρίς να δεχθούν κάποια επιπλέον επεξεργασία και χωρίς να υποστούν αλλοίωση. Στη συνεχεία δίνεται ένα παράδειγμα για αυτή του τη λειτουργία. Θα μπορούσε να είναι κάποιος ολόκληρος δίσκος η κάποιο κομματι του δίσκου (partition).
dd if = /dev/sda1 of = /dev/sda2
Αντικαθιστούμε το “sda1” με το όνομα του δίσκου που θέλουμε να αντιγράψουμε και το sda2 με το όνομα του καινούριου δίσκου που θα δημιουργηθεί το αντίγραφο.
Eξαγωγή ενός μέσου σε image
dd if=/dev/sr0 of=mycd.iso bs=2048 conv=noerror,sync
Σε περίπτωση σφάλματος η παράμετρος conv=sync μας γεμίζει το δίσκο με μηδενικά ώστε να καταλάβουμε ότι υπάρχει κάποιο σφάλμα άλλα και για να διατηρηθεί το αρχικό μέγεθος των bytes. Το bs ορίζει το μέγεθος του block.
Ασφαλή διαγραφή δίσκου
Για να γίνει ασφαλή διαγραφή ενός δίσκου το εργαλείο dd αντικαθιστά τα υπάρχοντα στοιχειά στο δίσκο με μηδενικά ή τυχαία δεδομένα. Παράδειγμα διαγραφής δισκου με μηδενικά δεδομένα:
dd if=/dev/zero of=/dev/sda bs=8k
Παράδειγμα διαγραφής δίσκου με τυχαία δεδομένα:
dd if=/dev/urandom of=/dev/sda bs=8k
Δημιουργία εικόνας δίσκου με dd και επαλήθευση md5
Για να ξέρουμε πως τα δεδομένα δεν έχουν αλλοιωθεί έχουν δημιουργηθεί αλγόριθμοι που μας παράγουν μια συνάρτηση hash 128bit ώστε να μπορούμε να συγκρίνουμε τον πρωτότυπο δίσκο με το image που δημιουργούμε.
Για αρχή θα πρέπει να δημιουργήσουμε για τον πρωτότυπο δίσκο ένα md5 checksum, αυτό γίνεται με την παρακάτω εντολή:
md5sum /dev/sda > /tmp/disk-md5
/dev/sda είναι ο δίσκος μας και /tmp/md5check είναι το όνομα του αρχείου που περιεχέι το md5 checksum
Η δημιουργία της εικόνας γίνετε με την εντολή:
dd if=/dev/sda of=/tmp/image1.img bs=1k
Αφού ολοκληρωθεί πρέπει να δημιουργήσουμε ένα md5 checksum και για το image, με την εντολή:
md5sum /tmp/image1.img > /tmp/image-md5
και μετά συγκρίνουμε τα δυο md5 με την εντολή:
Εντολή για σύγκριση:
cat /tmp/*md5
Αν είναι ίδια σημαίνει πως τα δεδομένα δεν έχουν αλλοιωθεί!
Eπίσης δύο εργαλεία που εχουν σχεδιαστεί με βάση το dd και είναι ειδικά για forensics ειναι το dc3dd και το dcfldd.
Πηγές: wikipedia forensicswiki
Autopsy / The Sleuth Kit (Χρονιάδης, Κεκέ Αμέτ)
επεξεργασίαTo Autopsy / The Sleuth Kit είναι μία σουίτα εφαρμογών με σκοπό την ανάκτηση και ανάλυση ψηφιακών δεδομένων και χωρίζεται σε δύο επιμέρους πλαίσια εφαρμογών. Το Autopsy και το The Sleuth Kit.
To Autopsy είναι γραφικό περιβάλλον διεπαφής βασισμένο σε HTML για το The Sleuth Kit και άλλα εργαλεία ψηφιακής ανάλυσης δεδομένων και εξαγωγής πληροφοριών. Το The Sleuth Kit είναι μία συλλογή εργαλείων που χρησιμοποιούνται για την συλλογή πληριφοριών απο έναν σκληρό δίσκο ή μία κάρτα μνήμης ενός υπολογιστή.
Υποστηριζόμενα λειτουργικά: Linux, Windows x86 και x64, MacOS
Λειτουργικά με προεγκατεστημένο το The Sleuth Kit & Autopsy: Backtrack2, CAINE, DEFT, FCCU, FIRE, Helix, Knoppix STD, Local Area Security Linux, Penguin Sleuth Kit, Plan-B, Snarl, HeX, Stagos FSE, IRItaly Live CD, ForLEx Live CD
Εργαλεία τα οποία ενσωματώνουν το The Sleuth Kit & Autopsy: Allin1, Autopsy, NBTempo, Niglant32 for Windows, Odyssey Digital Forensics Search, PTK Forensics, PyFlag, Raw2Fs, Revealer Toolkit, Selective Fire Dumper, Zeitline
Άλλα λειτουργικά και διανομές Linux τα οποία μπορεί να εγκατασταθεί: Mandriva, Gentoo, FreeBSD, Debian, OpenBSD, Slackware, Ubuntu, CentOS, Fedora, OpenSuSE, Mageia, Red Hat Linux, καθώς επίσης υπάρχει και project για το Hadoop ωστε να εκμεταλευθεί την δυναμη του cloud για την ταχύτερη ανάλυση των εξαχθέντων δεδομένων απο ένα δίσκο.
Υποστηριζόμενα συστήματα αρχείων: EXT2, EXT3, EXT4, FAT, exFAT, HFS, ISO 9660, NTFS, UFS1, UFS2, YAFFS2
Μερικές απο της λειτουργίες του The Sleuth Kit είναι: Το πλαίσιο λειτουργειών του επιτρέπει να προσθέσετε επιπλέον λειτουργικές ενότητες για την ανάλυση και την δημιουργία αυτοματοποιημένων λειτουργειών. Επίσης η βιβλιοθήκη του μπορεί να ενσωματωθεί με τη σειρά της σε μεγαλύτερα εργαλεία ψηφιακής ανάλυσης δεδομένων και εξόρυξης πληροφοριών.
Μερικές απο της λειτουργίες του Autopsy είναι:
Ευκολο στη χρήση, το Autopsy είναι σχεδιασμένο για να είναι εύκολο στην χρήση και φιλικό προς μή τεχνικούς χρήστες συμπεριλαμβάνοντας οδηγούς (wizards), ιστορικό, προηγούμενες ρυθμίσεις και προβολή τύπου δέντρου των εκάστοτε εργασιών.
Επεκτασιμότητα, το autopsy είναι σχεδιασμένο με ενότητες (modules) και επίσης δίνεται η δυνατότητα να προστεθούν επιπλέον ενότητες σε αυτό.
Μερικές απο τις προεγκατεστημένες ενότητες περιλαμβάνουν:
- Ανάλυση βάση χρονοδιαγράμματος, να εμφανίζει συμβάντα συστήματος σε ένα γραφικό περιβάλλον με βάση το χρονιδιάγραμμαια ωστε να βοηθήσει στον εντοπισμό δραστηριότητας. Μέσω αυτού δίνεται η δυνατότητα ανάκτησης αρχείων και πληροφοριών με βάση το πότε δημιουργήθηκαν, πότε προσπελάσθηκαν και πότε τροποποιήθηκαν. Επίσης κρατά ιστορικό ψηφιακής ανάλυσης.
- Να γίνεται αναζήτηση με λέξεις-κλειδιά που συμπεριλαμβάνει αναζήτηση αρχείων που περιλαμβάνουν συγκεκριμένους όρους ή ακόμα και αναζήτηση με βάση μοτίβων κανονικών εκφράσεων.
- Να μπορεί να γίνεται η εξαγωγή δεδομένων δραστηριότητας περιηγητών για να εξορυχθούν πληροφορίες για την κινητικότητα του χρήστη στο διαδίκτυο.
- Ανάλυση μητρώου (registry), χρησιμοποιεί το εργαλείο RegRipper για να εξαχθούν πληροφορίες πρόσφατα προσπελασμένα αρχεία και συσκευές USB.
- Ανάλυση LNK, εντοπίζει συντομεύσεις και προσπελασμένα αρχεία.
- Ανάλυση email, αναλύει μηνύματα email τύπου MBOX, όπως του Thunderbird.
- Ανάλυση γεω-τοποθεσίας (geo location), αναλύει πληροφορίες γεω-πληροφορίας απο εικόνες κάμερας σε jpeg μορφή.
- Διαλογή με βάση τον τύπο αρχείων τους για να βρεθούνε για παράδειγμα όλες οι εικόνες ή τα έγγραφα.
- Αναπαραγωγή εικόνων και βίντεο χωρίς να χρειάζεται εξωτερικό πρόγραμμα αναπαραγωγής.
- Εμφάνιση μικρογραφιών ωστε να γίνεται πιό γρήγορη η προβολή και αναγνώριση φωτογραφιών.
- Φιλτράρισμα με βάση hash set και μαρκάρισμα γνωστών κακών αρχείων με βάση το NSRL (National Software Reference Library)
- Μαρκάρισμα αρχείων απο τον χρήστη, δίνεται η δυνατότητα μαρκαρίσματος αρχείων όπως “ύποπτα” ή “σελιδοδίκτης”.
- Εξαγωγή αρχείων απο τον μή κατανεμημένο χώρο του δίσκου βασισμένα σε unicode διαμόρφωση χαρακτήρων.
Δημιουργία αναφορών: Το Autopsy έχει επεκτάσιμη υποδομή αναφορών η οποία επιτρέπει στο να δημιουργηθούν επιπρόσθετες αναφορές για πολλούς τύπους ερευνών. Απο προεπιλογή είναι διαθέσιμες αναφορές HTML και XLS. Κάθε μία είναι παραμετροποιήσημη ως προς τις απαιτήσεις της εκάστοτε έρευνας.
Στο Autopsy μπορούν να επεξεργαστούνε τοπικοί δίσκοι, εικόνες δίσκων, ή συγκεκριμένος φάκελος. Οι υποστηριζίμενες εικόνες δίσκων θα πρέπει να είναι σε raw/dd format ή Ε01.
Ο κώδικας του Autopsy 3 είναι διανεμημένος κάτω απο την Apache License, Version 2 και είναι διαθέσιμος στο github
-- 14:20, 15 Οκτωβρίου 2014 (UTC)
πηγές: The sleuth kit - Wikipedia Autopsy - Wikipedia The Sleuth Kit - ForensikWiki Sleuth Kit/Autopsy Website The Sleuth Kit - Sourceforge Autopsy - Sourceforge
Volatility (Δαβάνης,Γρίψιος)
επεξεργασίαΤο volatility είναι μία συλλογή εργαλείων που χρησιμοποιείται για την αντιμετώπιση εγκληματολογικών περιστατικών. Είναι γραμμένο σε Python, σύμφωνα με την Γενική Άδεια Δημόσιας Χρήσης GNU (GNU General Public License), και αναλύει την RAM από windows 32 και 64 bit, linux, mac OSX και Adroid( με ARM επεξεργαστές) συστήματα.
WINDOWS | LINUX |
---|---|
32-bit των Windows XP Service Pack 2 και 3 | Debian |
32-bit των Windows 2003 Service Pack server 0, 1, 2 | Ubuntu |
32-bit των Windows Vista Service Pack 0, 1, 2 | OpenSuSE |
32-bit των Windows 2008 Service Pack 1 server 2 | Fedora |
32-bit των Windows 7 Service Pack 0, 1 | CentOS |
(Νέα) 64-bit των Windows XP Service Pack 1 και 2 | Mandrake |
(Νέα) 64-bit των Windows 2003 Service Pack server 1 και 2 | |
(Νέα) 64-bit των Windows Vista Service Pack 0, 1, 2 | |
(Νέα) 64-bit των Windows 2008 Service Pack server 1 και 2 | |
(Νέα) 64-bit των Windows 2008 R2 Υπηρεσία Service Pack 0 και 1 | |
(Νέα) 64-bit των Windows 7 Service Pack 0 και 1 |
Ο τρόπος με τον οποίο το volatility συμβάλει στην αντιμετώπιση εγκληματολογικών περιστατικών είναι εξάγοντας:
Ψηφιακά αντικείμενα από την μνήμη RAM |
Πληροφορίες εικόνων (ημερομηνία, ώρα, αριθμός CPU) |
Διεργασίες που εκτελούνται |
Ανοιχτές υποδοχές και συνδέσεις δικτύου |
Βιβλιοθήκες (DLL)που φορτώνονται για κάθε διαδικασία |
Εκτελέσιμα αρχεία |
Ιστορικό εντολών |
Κωδικούς πρόσβασης |
Συνετό θα ήταν να αναφέρουμε πως οι τεχνικές εξαγωγής εκτελούνται εντελώς ανεξάρτητα από το σύστημα που διερευνάται, προσφέροντας μια άνευ προηγουμένου αναλυτική οπτική της τρέχουσας κατάστασης λειτουργίας (run time state of the system). Επιπρόσθετα το Modular design της τελευταίας έκδοσης του (volatility 2.3.1), του επιτρέπει να υποστηρίξει εύκολα τα νέα λειτουργικά συστήματα και αρχιτεκτονικές που έχουν τεθεί. Επίσης οι γρήγοροι και αποτελεσματικοί αλγόριθμοί του, μας επιτρέπουν να αναλύσουμε τμήματα της RAM από μεγάλα συστήματα χωρίς περιττή επιβάρυνση ή κατανάλωση μνήμης. Για παράδειγμα το volatility είναι σε θέση να απαριθμήσει modules του πυρήνα από ένα σύστημα 80 GB μέσα σε λίγα δευτερόλεπτα. Ωστόσο άλλα εργαλεία ανάλυσης της μνήμης μπορεί να διαρκέσουν αρκετές ώρες για να κάνουν το ίδιο πράγμα σε τμήματα RAM με μικρότερη μνήμη.
Τέλος αξίζει να σημειωθεί πως το volatility είναι μία δωρεάν εφαρμογή open source(ανοιχτού κώδικα) με αμέτρητους συνεργάτες σε όλο τον κόσμο.
Κάποιοι από τους ποιο σημαντικούς, λόγω του ότι έχουν συνεισφέρει ένα σημαντικό ποσό κωδικού και χρόνου στο έργο, όλα αυτά τα χρόνια είναι οι εξής :
Mike Auty |
Andrew Case |
Brendan Dolan-Gavitt |
Jamie Levy |
Michael Ligh |
Aaron Walters |
ΣΥΝΔΕΣΜΟΙ
https://code.google.com/p/volatility/downloads/list
https://code.google.com/p/volatility/
Open Computer Forensics Architecture OCFA(Δανίκας Γιάννης, Γεράσιμος Κουνάδης)
επεξεργασίαΗ επιστήμη Computer Forensics δημιουργήθηκε με σκοπό να βοηθήσει διαφόρων ειδών έρευνες της αστυνομίας για γρήγορη και αξιόπιστη σύλλεξη ψηφιακών δεδομένων από τα ηλεκτρονικά μέσα(Ηλεκτρονικούς Υπολογιστές, κινητά τηλέφωνα, εκτυπωτές κ.α) του υπόπτου και την παρουσίασή τους στο δικαστήριο.
Το Open computer Forensics Architecture είναι ένα πρόγραμμα το οποίο δημιουργήθηκε από την αστυνομία της Ολλανδίας με σκοπό την επιτάχυνση της αστυνομικής έρευνας, την αυτοματοποίηση της διαδικασίας σύλλεξης ψηφιακών δεδομένων και δίνει την δυνατότητα στους ερευνητές της αστυνομίας να έχουν συνεχής πρόσβαση στα δεδομένα της υπόθεσης που έχουν βρεθεί μέχρι εκείνη τη στιγμή.
Το Open Computer Forensics Architecture έχει δημιουργηθεί πάνω σε Linux και για την χρήση του απαιτείται καλή γνώση γλώσσας SQL και γενικότερα γνώση της επιστήμης Computer Forensics. Με την σύνδεση του Open Computer Forensics Architecture στον υπολογιστή του υπόπτου μπορεί να γίνει εύκολα η εύρεση και η ανάκτηση ψηφιακών δεδομένων τα οποία μπορούν να παρουσιαστούν στο δικαστήριο σαν αποδεικτικά στοιχεία. Με εξειδικευόμενη χρήση του OCFA μπορούν να παρθούν δεδομένα τα οποία να δείχνουν πληροφορίες για κάποιο έγγραφο ή κάποιες πληροφορίες που ο ύποπτος προσπάθησε να διαγράψει. Αυτά τα δεδομένα λέγονται Meta Data.
Η επικοινωνία μεταξύ των τμημάτων μέσα στο OCFA καθορίζετε από ένα επικοινωνιακό σύστημα που αποτελείται από δύο επίπεδα. Στο πρώτο επίπεδο υπάρχει το σύστημα ανταλλαγής μηνυμάτων με κέντρο το OCFA Anycast Relay το οποίο είναι υπεύθυνο για την προσωρινή αποθήκευση μηνυμάτων και αποθήκευση μηνυμάτων που δεν έχουν παραδοθεί και για την εξισορρόπηση φορτίου μεταξύ των τμημάτων ίδιου τύπου μέσα στο OCFA.Στο δεύτερο επίπεδο το OCFA XML Router διανέμει τα αποδεικτικά στοιχεία στα κατάλληλα τμήματα του OCFA.Για την διανομή των στοιχείων το XML Router βλέπει που καταγράφηκαν τα meta data από τα προηγούμενα τμήματα.
Αν και το OCFA φαίνεται απλό στην χρήση οι δυνατότητές του αναδεικνύονται στην εξειδικευμένη χρήση και αρχιτεκτονική του. Το τελευταίο εργαλείο του OCFA είναι το OCFA Data Store Module.Το εργαλείο αυτό επεξεργάζεται τα στοιχεία (data και meta data) και αποθηκεύει τις χρήσιμες πληροφορίες σε μία βάση δεδομένων. το OCFA μπορεί να το κατεβάσει όποιος επιθυμεί από την σελίδα http://ocfa.sourceforge.net/ εφόσον είναι δωρεάν.
Πηγές: http://ocfa.sourceforge.net/index-old.html http://www.forensicswiki.org/wiki/Open_Computer_Forensics_Architecture
XRY Ψηφιακό Λογισμικό και Mobile Device Forensics Λογισμικό (Θεοδώρου, Γκένς)
επεξεργασίαΟ τρέχον αριθμός κινητών συσκευών σε χρήση ανά τον κόσμο ξεπέρασε τα 7 [9]δισεκατομμύρια τον Απρίλιο του 2014. Αυτός ο αριθμός αναμένεται να συνεχίσει να ανεβαίνει εκθετικά όσο το Internet of things συνεχίζει να μεγαλώνει. Όσο η χρήση κινητών εφαρμογών (apps) μεγαλώνει παγκόσμια τόσο και η ανάγκη για ψηφιακή εγκληματολογία θα μεγαλώνει σαν ένα εργαλείο για τις υπηρεσίες επιβολής των νόμων.
To XRY είναι ένα ψηφιακό εργαλείο εγκληματολογίας σχεδιασμένο για κινητά τηλέφωνα. Το προϊόν έχει σχεδιαστεί από την σουηδική εταιρία Micro Systemationκαι χρησιμοποιείται για την ανάλυση και ανάκτηση πληροφοριών από κινητά τηλέφωνα, smartphones, εργαλεία πλοήγησης GPS και tablets. Αποτελείται από μία συσκευή η οποία συνδέει το τηλέφωνο με τον υπολογιστή και λογισμικό για την ανάκτηση δεδομένων. Πιο συγκεκριμένα το πακέτο του XRY αποτελείται από την XRY μονάδα επικοινωνίας, έναν αναγνώστη καρτών SIM, μια συσκευή για αντιγραφή SIM cards , έναν αναγνώστη κάρτας μνήμης και ένα πλήρες σετ καλωδίων. Το λογισμικό είναι ικανό να ανακτήσει πληροφορίες τηλεφωνικού καταλόγου, SMS και άλλων ειδών μηνύματα, μητρώο κλήσεων, φωτογραφίες, αρχεία media και πληροφορίες από την κάρτα SIM. Επίσης μπορεί να ανακτήσει πολλές πληροφορίες για την ίδια την συσκευή όπως IMEI(International Mobile Equipment Identity), ESN (Electronic Serial Number), IMSI(International mobile subscriber identity). Η τελευταία έκδοση περιλαμβάνει υποστηρικτικό λογισμικό για εφαρμογές smartphone όπως Facebook, Skype και Gmail. Το σύστημα παράγει ένα κρυπτογραφημένο αρχείο που ονομάζεται .XRY το οποίο περιλαμβάνει όλες τις πληροφορίες που ανακτήθηκαν από το τηλέφωνο. Μία άλλη ιδιότητα του XRY είναι ότι επιτρέπει την ανάκτηση πληροφοριών έως και τριών κινητών τηλεφώνων ταυτόχρονα στον ίδιο υπολογιστή.
Το XRY είναι σχεδιασμένο για την ανάκτηση περιεχομένου από συσκευές μέσω εγκληματολογικών μεθόδων. Συνήθως χρησιμοποιείται σε εγκληματολογικές έρευνες , έρευνες μυστικών υπηρεσιών και σε περιπτώσεις ανακάλυψης ηλεκτρονικών δεδομένων. Το λογισμικό είναι διαθέσιμο για νομικές, στρατιωτικές και μυστικές υπηρεσίες. Το XRY είναι αρκετά γνωστό στον χώρο τις ψηφιακής εγκληματολογικής ανάλυσης και από τα πιο συνηθισμένα εργαλεία εγκληματολογικής έρευνας.
Η εγκληματολογική εξέταση κινητών τηλεφώνων είναι μία πολύ πιο περίπλοκη υπόθεση απ’ ότι η εξέταση ηλεκτρονικών υπολογιστών καθώς πολλά κινητά τηλέφωνα έχουν διαφορετικό λειτουργικό σύστημα γεγονός που καθιστά την αντίστροφη μηχανική σε αυτά ιδιαίτερα δύσκολη. Η συχνή κυκλοφορία νέων συσκευών κινητής τηλεφωνίας στην αγορά σημαίνει ότι κατασκευάζονται πολλές καινούργιες συσκευές σε τακτική βάση οπότε ένα εργαλείο εγκληματολογικής έρευνας πρέπει να αντιμετωπίσει αυτά τα θέματα για να γίνει κατάλληλο για την εργασία αυτή.
Το XRY σύστημα επιτρέπει την λογική εξέταση (άμεση επικοινωνία με το λειτουργικό της συσκευής) αλλά και φυσική εξέταση (παρακάμπτοντας το λειτουργικό σύστημα και κατεβάζοντας την διαθέσιμη μνήμη). Ενώ η λογική ανάκτηση των δεδομένων είναι γενικά καλύτερα υποστηρίζοντας περισσότερες συσκευές, η φυσική εξέταση παρέχει τη δυνατότητα για ανακτήσει διαγραμμένων πληροφοριών όπως τα μηνύματα κειμένου, τις εικόνες, τα αρχεία κλήσεων κτλ. Εξαιτίας τις πολυπλοκότητας του θέματος συνίσταται ιδιαίτερη εκπαίδευση για την χρήση του λογισμικού.
Η τελευταίες εκδόσεις περιέχουν υποστήριξη για ανάκτηση δεδομένων από συσκευές Android, iPhone και Blackberry. Η σουίτα λογισμικού περιλαμβάνει επίσης διάφορες εκδόσεις Δεδομένα που ανακτήθηκαν από το XRY έχουν χρησιμοποιηθεί σε διάφορα δικαστήρια ανά τον κόσμο. Επίσης έχει δοκιμαστεί από ένα αριθμό κυβερνητικών οργανώσεων και κρίθηκε ότι καλύπτει τις ανάγκες τους.
Η ποιο πρόσφατη χρήση του λογισμικού XRY ήταν στην δίκη του διάσημου Oscar Pistorius [10] όπου με χρήση της εφαρμογής αποκαλύφθηκαν μήνήματα που στάλθηκαν μέσου whatsapp.
Εξωτερική σύνδεσμοι
επεξεργασία- https://en.wikipedia.org/wiki/XRY_(software)
- https://www.msab.com/xry/what-is-xry
- http://www.forensicswiki.org/wiki/.XRY
Paraben P2 Commander(Αραμπατζής,Αρσενίου)
επεξεργασίαΤο εργαλείο P2 Commander της εταιρείας Paraben είναι φτιαγμένο με ειδικούς μηχανισμούς οι οποίοι κάνουν επίθεση σε διαφορετικούς τύπους αρχείων και ανάλυση δεδομένων σε βάθος.Έχοντας μία ολοκληρωμένη βάση δεδομένων μέσω της οποίας διαχειρίζεται τεράστιες ποσότητες αρχείων,το P2 Commander μπορεί να χειριστεί υποθέσεις οι οποίες φθάνουν εώς και 64 terabyte σε μέγεθος.Επίσης λόγω της πολυνημάτωσης εκμεταλλεύεται όλους τους πόρους ενός συστήματος και η επεξεργασία δεδομένων γίνεται γρηγορότερα.Έχει πολλές χρήσεις όπως από βασικό εγκληματολογικό εργαλείο μέχρι δευτερεύων εργαλείο επικύρωσης.To αυτοματοποιημένο σύστημα και η ανάλυση αρχείων μητρώου επιτρέπει στον χρήστη να ξεκινά αμέσως με την ανάλυση των πιο κρίσιμων περιοχών που περιέχουν αποδεικτικά στοιχεία έτσι ώστε να υπολογίσει εάν χρειάζεται πλήρης σάρωση για να μην χάνει ώρες σε πολύτιμο επεξεργαστικό χρόνο.Χαρακτηριστικά όπως η διαλογή δεδομένων,η ανίχνευση πορνογραφικού περιεχομένου καθώς και η ταξινόμηση αρχείων μαζι τα ψηφιακά ίχνη που αφήνουν δίνουν στους ερευνητές όλα όσα χρειάζονται για να παρουσιάσουν τα ευρήματα τους με έναν οπτικά ευχάριστο τρόπο.
Πιο συγκεκριμένα το P2 Commander της Paraben προσφέρει:
Αναδρομική Ανάλυση Δεδομένων:Αυτόματα κάνει ανάλυση μέσα από τους περισσότερους τύπους δεδομένων για ενσωματωμένους φακέλους,αναζητήσεις και εξαγωγές στοιχείων έτσι ώστε να είναι σίγουρος κανείς ότι δεν λείπουν σημαντικές αποδείξεις οι οποίες είναι κρυμμένες σε αρχεία,μηνύματα ηλεκτρονικού ταχυδρομείου ή σε άλλου τύπου δεδομένα. Ανίχνευση πορνογραφίας:Κάνει σάρωση όλων των εικόνων για τυχόν πορνογραφικό περιεχόμενο.Χρησιμοποιώντας 11 διαφορετικούς αλγόριθμους ανίχνευσης σημαίνει ότι ο χρήστης θα λάβει λιγότερα εσφαλμένα θετικά αποτελέσματα και θα περάσει λιγότερο χρόνο ψάχνοντας μέσα από εκατοντάδες χιλιάδες φωτογραφίες για παράνομο περιεχόμενο. Αύξηση Απαιτήσεων Συστήματος:Το P2 Commander μπορεί αποτελεσματικά να τρέξει σε συστήματα χαμηλότερων δυνατοτήτων αλλά αν κάποιος έχει υψηλών δυνατοτήτων σύστημα τότε ο επεξεργαστής θα μπορέσει να τρέξει το εργαλείο σε οποιοδήποτε σύστημα στη βέλτιστη απόδοση.
Η ανάλυση δεδομένων επιτρέπει στον χρήστη να ξεκινήσει απευθείας την ανάλυση στα πιο κρίσιμα δεδομένα.Όσον αφορά την ενσωματωμένη βάση δεδομένων δεν χρειάζεται κάποια ξεχωριστή εγκατάσταση ή ισχυρό υλικό.Εξετάζει δίσκους καθώς επίσης αρχεία και φακέλους με κωδικοποίηση FAT12,FAT16,Fat32,NTFS,Ext και HFS.Λόγω της αναδρομικής ταξινόμησης και αναζήτησης που κάνει το P2 Commander,ο χρήστης δεν θα χάνει αποτελέσματα τα οποία είναι ενσωματωμένα σε συνημμένα αρχεία ή φακέλους.Τέλος κάνει ανάλυση μηνυμάτων ηλεκτρονικού ταχυδρομείου σε βάθος.
To εργαλείο P2 Commander κοστίζει 1,095 δολάρια και περιλαμβάνει τα εξής:Την άδεια του λογισμικού P2 Commander,συνδρομή ενός έτους και δωρεάν βίντεο μέσω του οποίου ο εγκληματολόγος μαθαίνει όλα όσα χρειάζεται να ξέρει προκειμένου να μπορέσει να χρησιμοποιήσει το P2 Commander.Αν κάποιος θέλει να ανανεώσει την συνδρομή του P2 Commander για ένα ακόμη έτος μπορεί να το κάνει με 220 δολάρια.Λειτουργεί σε περιβάλλον Windows εκτός από Window XP όπου έχει σταματήσει η υποστήριξη από τη Microsoft.Τέλος για να εγκατασταθεί και να λειτουργήσει κανονικά το πρόγραμμα χρειάζεται δικαιώματα διαχειριστή.
Πηγές πληροφοριών
επεξεργασίαSANS SIFT (Παπαβασιλείου,Τάτσης)
επεξεργασίαΜια διεθνής ομάδα ειδικών foresincs υπο την ηγεσία του Rob Lee και των συναδέρφων του δημιούργησαν στην σχολή SANS στο Ορλάντο των ΗΠΑ το SANS Investigate Forensics Toolkit(SIFT) Workstation και αποφάσισαν να το διαθέσουν ως δημόσια υπηρεσία των Δεκέμβριο του 2008.Αυτή η δωρεάν εργαλειοθήκη μπορεί να συμπεριλάβει οποιοδήποτε σύγχρονο tool και προτείνεται από την SANS να διδάσκεται στο μάθημα Αdvanced Computer Forensic Analisys and Incident Responce(FOR 508).Επίσης αποδεικνύει ότι προηγούμενες έρευνες καθώς και ανταποκρίσεις σε πιθανούς εισβολείς μπορούν να ολοκληρωθούν χρησιμοποιώντας ένα cutting-edge ανοιχτού κώδικα εργαλείο που θα είναι διαθέσιμο σε αυτήν την εργαλειοθήκη. Το SIFT το οποίο αναπτύσσεται και ενημερώνεται συνεχώς με τελευταία ενημέρωση τον Ιανουάριο του 2014 την 3.0 απο την διεθνή ομάδα ειδικών forensic ουσιαστικά είναι μια ομάδα από δωρεάν εργαλείων ανοικτού κώδικα τα οποία είναι σχεδιασμένα να εκτελούν λεπτομερείς ψηφιακές εξετάσεις εγκληματολογικής φύσεως σε ποικίλα περιβάλλοντα.Με πάνω απο 100.000 λήψεις μέχρι και σήμερα,η SIFT εξακολουθεί να είναι ένα από το πιο δημοφιλή ανοιχτού κώδικα forensic Το SIFT Workstation έχει γίνει γρήγορα το "go to" εργαλείο για την πραγματοποίηση εξετάσεων.Τα ισχυρά ανοιχτού κώδικα εργαλεία που διαθέτει πάνω στο ευέλικτο και σταθερό λειτουργικό σύστημα των Linux κάνουν την πρόσβαση φοβερά γρήγορη σε οτιδήποτε πρέπει να προβέι σε ενδελεχή ανάλυση στο σύστημα του υπολογιστή. Τα εργαλεία που περιέχει είναι εκατοντάδες έτσι παρακάτω θα αναλυθούν τα 4 πιο σημαντικά: -log2timeline(Timeline Generation Tool) έχει σχεδιαστεί ως ένα πλαίσιο για τη δημιουργία χρονοδιαγράμματος τεχνούργημα και ανάλυση. Ο κύριος σκοπός είναι να παρέχει ένα ενιαίο εργαλείο που θα αναλύσει τα διάφορα αρχεία καταγραφής και αντικείμενα που βρέθηκαν σε ύποπτο συστήματα και παράγει ένα αρχείο που μπορεί να χρησιμοποιηθεί για να δημιουργήσετε ένα χρονοδιάγραμμα, χρησιμοποιώντας εργαλεία -Rekall Framework(Memory Analysis) είναι η αυτόνομη συνέχιση της έκδοσης Volatility Technology Preview (TP), γνωστός και ως το υποκατάστημα της scudette. Ένας από τους στόχους της Rekalls είναι να παρέχει καλύτερη ενσωμάτωση με GRR βελτιώνοντας την ευελιξία του πλαίσιο και έχοντας μνήμη απόκτηση ικανότητας. -Volatility Framework(Memory Analysis) είναι μια εντελείς ανοιχτή συλλογή εργαλείων, εφαρμόζονται σε Python κάτω από την GNU γενική άδεια δημόσιας χρήσης (GPL v2), για την εξαγωγή των ψηφιακών αντικειμένων από δείγματα πτητικών μνήμη (RAM).Οι τεχνικές εξόρυξης πραγματοποιούνται εντελώς ανεξάρτητα από το σύστημα που ερευνάται, αλλά προσφέρουν πρωτοφανή ορατότητα στο κράτος χρόνου εκτέλεσης του συστήματος. Το πλαίσιο έχει ως στόχο να εισαγάγει τους ανθρώπους τις τεχνικές και τις περιπλοκές που συνδέονται με την εξαγωγή ψηφιακών αντικειμένων από την μνήμη ευμετάβλητων δειγμάτων και να παράσχει μια βάση για περαιτέρω εργασία σε αυτήν την συναρπαστική περιοχή της έρευνας. -Autopsy σχεδιάστηκε για να είναι μια πλατφόρμα end-to-end με ενότητες που έρχονται με αυτό από το κουτί, και άλλοι που είναι διαθέσιμα από τρίτους.
Ubuntu Rescue Remix (Σάββας Απόστολος,Ιωάννης Μπελιάς)
επεξεργασίαΤο Ubuntu-Rescue-Remix είναι ένα λογισμικό που έχει σχεδιαστεί για την ανάκτηση των δεδομένων, με εργαλεία εγκληματολογίας, είναι μια διανομή ανοικτού κώδικα του Linux που βασίζεται στο Ubuntu, το πιο δημοφιλές δωρεάν σύστημα στον κόσμο.
Το Ubuntu-Rescue-Remix 12.04 είναι ένα μικρό σε όγκο σύστημα αλλα πολύ ισχυρό που χρησιμοποιείται για την ανάκτηση δεδομένων και εγκληματολογίας.
Μπορούμε να κατεβάσουμε το iso image,το οποίο είναι συμβατό με το πολύ καλό USB Startup Creator που περιλαμβάνεται στο Ubuntu από την έκδοση 9.04, και να το κάνουμε εγγραφή σε έναν δίσκο που θα τον χρησιμοποιήσουμε σαν liveCD ώστε να το κάνουμε εκκίνηση από το BIOS του υπολογιστή.
Είναι τόσο μικρό σε όγκο(512ΜΒ) που μπορεί να λειτουργήσει σε υπολογιστή με πολύ μικρή μνήμη RAM ή απλά με την ισχύ του επεξεργαστή.
Μεταξύ των προ-εγκατεστημένων προγραμμάτων, μπορούμε να αναφέρουμε το ddrescue εργαλείο ανάκτησης δεδομένων GNU,το PhotoRec που είναι εικόνας και ανάκτηση βίντεο λογισμικού, το Sleuth Kit που είναι ένα ψηφιακό εργαλείο εγκληματολογικής ανάλυσης, Gnu-fdisk, ClamAV anti-virus και το ddrutility το οποίο είναι ένα εργαλείο, που έγραψε ο Scott Dwyer, όπου εντοπίζει αρχεία που πλήττονται από ανακτήσιμα τμήματα του δίσκου.
Στο ισχύον σύστημα ubuntu του υπολογιστή μας θα γίνει η εγκατάσταση ενός μελλοντικού πακέτου, το οποίο είναι διαθέσιμο στην αγορά και θα βοηθήσει στην ανάκτηση των δεδομένων του υπολογιστή αλλά και στην απομάκρυνση των ιόν από αυτόν. Δεν υπάρχουν γραφικές επαφές με τα εργαλεία ανάκτησης δεδομένων,αν όμως προτιμάμε από ένα γραφικό μηχάνημα να εργαζόμαστε σε μια εικονική κονσόλα, αυτή είναι και η επιλογή μας. Για αυτόν τον λόγο θα πρέπει να ξέρουμε να χρησιμοποιούμε την γραμμή εντολών ώστε να γίνει η ανάκτηση-διερεύνηση που θέλουμε.
Μερικά είδη αρχείων που μπορούμε να ανακτήσουμε είναι τα ακόλουθα:
• Αρχεία εικόνας (JPEG)
• αρχεία ήχου (mp4,mp3,..)
• αρχεία εγγράφων(OpenDocument,Microsoft Office,PDF,HTML)
• και αρχεία ZIP
Χρησιμοποιώντας τις δύο εντολές sudo testdisk και photorec από την γραμμή εντολών, το Ubuntu-Rescue-Remix είναι ένα ιδανικό εργαλείο για την αποκατάσταση των αρχείων και την επιδιόρθωση μονάδας δίσκου NTFS.
Πηγές:http://ubuntu-rescue-remix.org/Version12-04 http://www.pendrivelinux.com/install-ubuntu-rescue-remix-to-a-flash-drive/ http://www.gcsdstaff.org/roodhouse/?p=1933
Forensic Toolkit® (Δημήτρης Γαζής, Στέφανος Αντωνιάδης)
επεξεργασίαΤο Forensic Toolkit® (FTK)[11] είναι ένα εργαλείο πολλών εφαρμογών που χρησιμοποιείται στην ανάλυση σκληρών δίσκων ηλεκτρονικών υπολογιστών, κινητών τηλεφώνων, δεδομένα δικτύων (network data), ηλεκτρονικών μέσων αποθήκευσης κ.α, συλλέγοντας αποδεικτικά στοιχεία σε σκηνές ηλεκτρονικού εγκλήματος αλλά και μεσώ διαδικτύου από κάποιο κέντρο ανάλυσης διαδικτύου και ηλεκτρονικού εγκλήματος. Η αρχιτεκτονική του προγράμματος είναι τέτοια ώστε να σου επιτρέπει την διαχείριση πολλών δεδομένων πιο εύκολα και γρήγορα σε σχέση με άλλα προγράμματα ίδιας φύσης. Το πρόγραμμα εμπεριέχει εφαρμογές (password cracking/cookies authentication) που βοηθούν στην ανάκτηση κωδικών κλειδωμένων αρχείων αλλά και λογαριασμών στο διαδίκτυο. Επίσης, με προϋπόθεση τη κάλυψη διαθέσιμων διαδικτυακών πόρων σου δίνει την δυνατότητα χρήσης Κατανεμημένων Διαδικτυακών Επιθέσεων (Distributed Network Attacks) στην προσπάθεια ανάκτησης κωδικών χρησιμοποιώντας μεθόδους όπως brute forcing και dictionary attacks. Επίσης, πολύ χρήσιμα είναι τα rainbow tables, τα οποία περιλαμβάνουν πληθώρα από προ-υπολογισμένα hashes κάνοντας την διαδικασία εύρεσης κωδικών πολύ πιο γρήγορη και αποτελεσματική.
Επισκόπηση
επεξεργασίαΤο πρόγραμμα διαθέτει συγκεκριμένη διαδικασία στην έρευνα ψηφιακών αποδεικτικών στοιχείων και ακολουθεί ως εξής:
- Ανάκτηση Δεδομένων: Το πρώτο βήμα περιλαμβάνει την απόκτηση σχετικών δεδομένων και στη συνέχεια την ασφάλιση τους. Στην τελική φάση γίνεται ένα αντίγραφο αυτών των στοιχείων (Image backup).
- Ανάλυση: Στο δεύτερο βήμα το πρόγραμμα σου επιτρέπει να ανοίξεις ένα casefile. Με τα κατάλληλα εργαλεία γίνεται σωστή διερεύνηση των αποδεικτικών στοιχείων και παράλληλα όλες οι λεπτομέρειες της συγκεκριμένης υπόθεσης θα αποθηκεύονται.
- Παρουσίαση: Στο τελευταίο βήμα δημιουργείς μια αναφορά (case report) στην οποία περιλαμβάνεις τα αποτελέσματα της έρευνας.
Case Management και διαχείριση αποδεικτικών
επεξεργασίαΤο πρόγραμμα σου επιτρέπει να διαχειρίζεσαι τις υποθέσεις σου (cases), κάνοντας πληθώρες αλλαγές (δημιουργία, αντιγραφή, διαγραφή, κ.α) αλλά και την δυνατότητα δημιουργίας λογαριασμών χρηστών (ερευνητών) ώστε να να κατανέμονται οι υποθέσεις με δικαιωματικά κριτήρια. Για τα αποδεικτικά στοιχεία από την άλλη μεριά είναι σημαντικό πριν ξεκινήσει η διαδικασία την διερεύνησης να επαληθευθεί η ακεραιότητα των δεδομένων. Η διαδικασία επαλήθευσης περιλαμβάνει δύο hashes, το πρώτο προέρχεται από την σκηνή του εγκλήματος και το δεύτερο από την "εικόνα" (image) που φτιάξαμε για να επεξεργαστούμε τα δεδομένα. Αν τα δυο hashes είναι ίδια σημαίνει ότι δεν υπήρξε καμία αλλοίωση των δεδομένων κατά την μεταφορά στο εργαστήριο ή π.χ κατά την διαδικασία δημιουργίας της "εικόνας" ή ακόμα και σκόπιμα.
Στη συνέχεια, κάνοντας "mount" την "εικόνα" που πήραμε από τον φυσικό σκληρό δίσκο μπορούμε επεξεργαστούμε τα δεδομένα και να αναλύσουμε τα περιεχόμενα συλλέγοντας τα αποδεικτικά στοιχεία που χρειαζόμαστε για να τα παρουσιάσουμε οπού μας ζητηθεί. Μέσα στις πολλές επιλογές που μας προσφέρει το λογισμικό μπορούμε να ανοίξουμε το δίσκο σε κατάσταση "read only", να κάνουμε "mount" πολλούς δίσκους ταυτοχρόνως, να αντιγράψουμε αρχεία που βρίσκονται μέσα στην "εικόνα" σε διαφορετική τοποθεσία κ.α.
Αποκρυπτογράφηση Αρχείων και Κωδικών
επεξεργασίαΈνα από πιο σημαντικά κομμάτια που διαθέτει το εργαλείο είναι η αποκρυπτογράφηση αρχείων και κωδικών πρόσβασης. Χρησιμοποιώντας διάφορες μεθόδους αποκρυπτογράφησης στα κλειδωμένα αρχεία με την ανάκτηση των κωδικών δημιουργείται μια λίστα όπου εμπεριέχονται όλα τα ευρήματα του αναλυτή και είναι διαθέσιμα για δοκιμή και στα υπόλοιπα κλειδωμένα αρχεία στη περίπτωση που ο ύποπτος χρησιμοποίησε το ίδιο κλειδί για πολλαπλά κλειδώματα.
Μερικά από τα είδη αρχείων για τα οποία υπάρχουν υποδομές και δίνοντας τους κατάλληλους πόρους μπορούν να ξεκλειδωθούν είναι:
- 7-Zip
- ZIP
- WinZip adv.encryption
- TrueCrypt
- StuffIt
- Rar
- PGP password file
- OpenOffice
- iOS backup files
- BestCrypt
- Apple DMG
DEFT (Πλαφάς,Ποζαρίτης)
επεξεργασίαDEFT
Το DEFT Linux είναι ένα GNU / Linux Live δωρεάν λογισμικό που βασίζεται στο Ubuntu , σχεδιασμένο από τον Stefano Fratepietro για σκοπούς που σχετίζονται με την εγκληματολογία του υπολογιστή (computer forensics ) και την ασφάλεια του υπολογιστή. Είναι ένα πολύ ελαφρύ και γρήγορο ζωντανό σύστημα που δημιουργήθηκε για τους ειδικούς ιατροδικαστικών υπολογιστών. Ιστορική Αναδρομή: Η κατανομή δημιουργήθηκε το 2005 για τις εκπαιδευτικές ανάγκες που σχετίζονται με την πορεία των ιατροδικαστικών υπολογιστών στην Νομική Σχολή του Πανεπιστημίου της Μπολόνια.Tο 2006 είχε μια μετάλλαξη σε σύντομο χρονικό διάστημα που έχει επιφέρει μια αλλαγή στην τελική των στόχων του έργου, μετατρέποντάς το σε ένα σύστημα που ανταποκρίνεται στις ανάγκες των επαγγελματιών του τομέα, χάρη στην ισχυρή συνεργασία με το International Information Forensics Association (IISFA) και τα μέλη της. Τον Ιανουάριο του 2007 ήρθε η πρώτη δημόσια έκδοση (v1), με βάση το Kubuntu Linux , ακολούθησε το Μάιο του 2007 την έκδοση v2, πάντα με βάση το Kubuntu. Στις 6 Δεκεμβρίου του 2007 κυκλοφόρησε η έκδοση v3, που ήταν αποτέλεσμα του ενός έτους από την εμπειρία και τις διαβουλεύσεις με ορισμένες σημαντικές πληροφορίες, όπως την ιατροδικαστική του Ιταλού καθηγητή Cesare Maioli και του Dr Donato Caccavella ξεκινώντας από αυτή την έκδοση. Το σύστημα βασίζεται σε Xubuntu με μια σειρά από εφαρμογές που κάνουν την διανομή να συμμορφώνονται απόλυτα με τα πρότυπα που ορίζονται για τα εργαλεία λογισμικού στην ιατροδικαστική των υπολογιστών (Computer Forensics).
Χαρακτηριστικά: Το DEFT είναι ένα λειτουργικό σύστημα που χρησιμοποιεί τη μνήμη RAM του υπολογιστή για τη λειτουργία του. Ως εκ τούτου, δεν πρόκειται να αλλάξει με οποιοδήποτε τρόπο το περιεχόμενο των συσκευών που είναι συνδεδεμένες με τη συσκευή αυτή όπου το σύστημα χρησιμοποιείτε, σε αντίθεση με τις παραδοσιακές διανομές Linux Live που δεν έχουν τοποθετηθεί αυτόματα. Στο εσωτερικό, υπάρχουν πολλά εργαλεία εφαρμογής ανοικτού κώδικα για ιατροδικαστική υπολογιστών. Ξεκινώντας με την έκδοση 3 έχει ξεκινήσει μια διαδικασία ανάπτυξης λογισμικού από το μηδέν, το οποίο έχει ως στόχο να ικανοποιήσει κάποιες από τις συγκεκριμένες ανάγκες των ατόμων που εργάζονται στον τομέα της εγκληματολογίας του υπολογιστή. Το πρώτο λογισμικό που δημιουργήθηκε μέσα στο έργο Dhash αναπτύχθηκε σε Python από τον Massimiliano Dal Cero, το οποίο επιτρέπει την κλωνοποίηση της μαζικής μνήμης και τον υπολογισμό του ,σε πιο αποτελεσματική και γρήγορη hash, σε σύγκριση με το υπάρχον εργαλείο που δίνει επίσης μια αξιόπιστη χρονική εκτίμηση του χρόνου που χρειάζεται για να ολοκληρωθεί. Η Dhash είναι σε θέση να υπολογίσει τα ποσά του MD5 και SHA-1 είτε ατομικά είτε παράλληλα. Από την έκδοση v4 εισήχθη DEFT Extra μια εφαρμογή που αναπτύχθηκε από τον Salvatore Tarantino, μια γραφική διεπαφή για συστήματα Microsoft Windows που συγκεντρώνει μια επιλογή από τα πιο σημαντικά δωρεάν λογισμικά για την ιατροδικαστική υπολογιστών. Το DEFT Linux v5 βασίζεται στο νέο Kernel 2.6.31 (από την πλευρά του Linux) και το DEFT Extra 2.0 (Computer Forensic GUI) με τα καλύτερα freeware Computer Forensic tools των Windows του υπολογιστή. Το DEFT είναι μια νέα έννοια της Computer Forensic live system που χρησιμοποιούν LXDE ως desktop περιβάλλον και διαχείριση αρχείων thunar και mount διευθυντή ως εργαλείο για τη διαχείριση της συσκευής. Από την έκδοση v7 DEFT έχει αυξηθεί το περιεχόμενο του λογισμικού, καθιστώντας απαραίτητη την υιοθέτηση ενός DVD για να καεί και να ξεκινήσει στον υπολογιστή. Εναλλακτικά, μπορείτε πάντα να μετατρέψετε τη μορφή εικόνας σε μια συσκευή USB ή να κατεβάσετε τις εικόνες για USB sticks έτοιμα διαθέσιμα στην ιστοσελίδα, που δημιουργήθηκε από τον Valerio Leomporra που έδωσε δύο εκδόσεις, μία με 2GB (η οποία δεν περιλαμβάνει τη διανομή DART) και ένα 4GB (συμπεριλαμβανομένης τα εργαλεία DART). Επίσης, από την έκδοση v7, στην πραγματικότητα στην θέση του DEFT Extra για τα Windows εισήχθη το DART (Digital Αdvanced Responce Toolkit) που περιέχει πάνω από 1GB ελεύθερου και ανοικτού κώδικα λογισμικού που χρησιμοποιείται για τις δραστηριότητες της Αντιμετώπισης των Συμβάντων σε μηχανήματα με λειτουργικό σύστημα Win32/64. Από την έκδοση v8 DEFT Linux OS θα χρησιμοποιεί 64-bit,επιτρέποντας σε ποιο γρήγορο τρέξιμο για πιο ισχυρές μηχανές (64-bit),που τώρα εξαπλώνονται σχεδόν παντού .Για τα 32-bit μηχανήματα θα εξακολουθεί να είναι η v7 έκδοση, η υποστήριξη των οποίων θα διαρκέσει μέχρι το 2020.
Σώματα Χρηστών: Από το 2008 χρησιμοποιείται συχνά μεταξύ των τεχνολογιών που χρησιμοποιούνται από διάφορες αστυνομικές δυνάμεις. Μέχρι σήμερα οι παρακάτω φορείς (εθνικές και διεθνείς) χρησιμοποιούν το λογισμικό κατά τη διάρκεια των δραστηριοτήτων έρευνας.
• DIA (Anti-Mafia Ιnvestigation Department) • Postal Police of Milano • Postal Police of Bolzano • Police of Hanburg (Deutschland) • Maryland State Police (USA) • Korean National Police Agency (Korea)
Πηγές: http://forensicswiki.org/wiki/DEFT_Linux , http://it.wikipedia.org/wiki/DEFT_Linux
Forensic Explorer (Πάντισκος Νικόλαος, Παπαδιάς Άρης)
επεξεργασίαBulk Extractor(Σουφλιά Ειρήνη-Σαϊτη Μαρία-Eλένη)
επεξεργασίαΈνα από τα εργαλεία λογισμικού για forensics είναι και το bulk_ extractor ο οποίος είναι ένα πρόγραμμα c++ , χρησιμοποιείται και ως εργαλείο εγκληματολογίας του υπολογιστή που σαρώνει την εικόνα δίσκου, ένα αρχείο ή έναν κατάλογο αρχείων και να εξάγει χρήσιμες πληροφορίες χωρίς την ανάλυση των δομών του συστήματος αρχείων ή το σύστημα αρχείων. Τα αποτελέσματα μπορούν να ελεγχθούν εύκολα, αναλύονται ή υποβάλλονται σε επεξεργασία με αυτοματοποιημένα εργαλεία. Επίσης, το bulk_extractor δημιουργεί ένα ιστόγραμμα των χαρακτηριστικών , από τα οποία τείνουν να είναι τα πιο κοινά και σημαντικά. Το πρόγραμμα μπορεί να χρησιμοποιηθεί για την επιβολή του νόμου, την άμυνα, την ευφυΐα, και εφαρμογές κυβερνο-έρευνα. Διακρίνεται από άλλα ιατροδικαστικά εργαλεία από την ταχύτητα και την πληρότητα της. Ακόμη, το bulk_extractor μπορεί να επεξεργαστεί διαφορετικά μέρη του δίσκου παράλληλα. Στην πράξη, το πρόγραμμα χωρίζει τον επάνω δίσκο σε σελίδες 16MByte και επεξεργάζεται μία σελίδα για κάθε διαθέσιμο πυρήνα. Αυτό σημαίνει ότι 24-μηχανές πυρήνα επεξεργάζονται ένα δίσκο περίπου 24 φορές γρηγορότερα από ένα 1-πυρήνα της μηχανής. Μία από τις ικανότητές του είναι η διεξοδική επεξεργασία , αυτό συμβαίνει γιατί ανιχνεύει αυτόματα, αποσυμπιέζει και αναδρομικά εκ νέου τις διαδικασίες των συμπιεσμένων δεδομένων. Ένα άλλο πλεονέκτημά της, αγνοώντας τα συστήματα αρχείων είναι ότι μπορεί να χρησιμοποιηθεί για να επεξεργαστεί οποιαδήποτε ψηφιακά μέσα.
Το bulk_extractor δημιουργεί ένα κατάλογο εξόδου που περιλαμβάνει: αριθμούς καρτών , κάρτα "track 2" πληροφορίες , τομείς του Διαδικτύου που βρέθηκαν στη μονάδα δίσκου, διευθύνσεις ηλεκτρονικού ταχυδρομείου , διευθύνσεις Ethernet MAC που έχουν βρεθεί μέσω πακέτων IP , αρχεία JPEG και τα τμήματα βίντεο , έκφρασης , διευθύνσεις IP που βρέθηκαν μέσω πακέτων IP , των ΗΠΑ και των διεθνών τηλεφωνικών αριθμών , URLs, που συνήθως συναντάται σε προγράμματα περιήγησης, τα μηνύματα ηλεκτρονικού ταχυδρομείου, και προ-μεταγλωττισμένα σε εκτελέσιμα , ένα ιστόγραμμα των όρων που χρησιμοποιούνται στις αναζητήσεις στο Διαδίκτυο από υπηρεσίες όπως το Google, Bing, Yahoo, και άλλα. Ακόμη, η λίστα λέξεων με διπλότυπα μπορεί εύκολα να εισαχθεί σε ένα δημοφιλές πρόγραμμα κωδικού πρόσβασης, ένα αρχείο που περιέχει πληροφορίες σχετικά με κάθε συστατικό αρχείο ZIP που βρέθηκαν στα μέσα ενημέρωσης. Αυτό είναι εξαιρετικά χρήσιμο ως αρχεία ZIP περιλαμβάνει εσωτερική δομή και ZIP.
Τα προγράμματα για την μετα-επεξεργασία της εξόδου bulk_extractor όπως το (cda_tool.py) εργαλείο που μπορεί να χρησιμοποιηθεί για να εντοπίσει αυτόματα τα νέα κοινωνικά δίκτυα ή να εντοπίσει τα νέα μέλη των υφιστάμενων δικτύων. (identify_filenames.py) Στο αρχείο χαρακτηριστικό bulk_extractor, κάθε χαρακτηριστικό σχολιάζεται με την μετατόπιση από την αρχή της εικόνας στην οποία διαπιστώθηκε byte.(make_context_stop_list.py είναι δυνατό να σκεπάσει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου από την εγκληματολογική ανάλυση. Τέλος ,τo bulk-extractor είναι διαθέσιμο για Windows, Linux και Mac χρήστες , ακόμη είναι ένα έργο ανοικτού πηγαίου κώδικα.
ΒΙΒΛΙΟΓΡΑΦΙΑ https://github.com/simsong/bulk_extractor/wiki http://www.forensicswiki.org/wiki/Bulk_extractor
Xplico (Χριστοφορίδης Ηλίας,Λυτροκάπης Γιάννης,Δημήτρης Σβηρκος)
επεξεργασίαΤo xplico είναι ενα εργαλείο NFAT (Network Forensic Analysis Tool) που τρέχει σε open source και αναδομεί τις πληροφορίες που έχουμε πάρει απο το traffic ενός δυκτίου με έναν packet sniffer όπως το wireshark. Aναγωρίζει τα πάκετα ,αναδημιουργεί τα δεδομένα των πρωτοκόλλων που τα έχουν μεταφέρφει και έιναι σε θέση να βρει ιστοσελίδες, αρχεία ,εικόνες,cookies ακόμα και μηνύματα ηλεκτρονικού ταχυδρομίου που έχουν περάσει απο το δύκτιο με τα πρωτόκολλα IMAP POP SMTP.
Το πρωταίρημα του συγκεκριμένου λογισμικού είναι πως η βάση του είναι να ανακατασκευάζει τα δεδομένα των πρωτοκόλλων σε formats που είναι κατανοητά ακόμα και σε άτομα χωρίς τεχνογνωσία, όχι μόνο να τα αναλύει.
Δύο εντολές command line για αποκωδικοποίηση pcap files
Εντολή για αποκωδικοποίηση σε πραγματικό χρόνο
Όπου το eth0 είναι το user inferface του xplico. pcap file (Packet CAPture). Μόλις αποκρυπτογραφήσει τα pcap files τα αποθηκέυει σε έναν φάκελο xdecode που είναι ο default του και μπορεί να μοιράζει απευθέιας απο το interface του μέσo SFTP η μέσο του καναλιού μετάδοσης PCAP-over-IP. Η τεχνική που χρησιμοποιέι το xplico για να ανακατασκευάσει τα pcap files, λέγεται PIPI (Port Idependent Protocol Indetification). Με την ιδιότητα του live sniffing μπορούμε να πάρουμε άμεσα και εύκολα μεσω του interface του xplico κατηγοριοποιημένα τα δεδομένα του χρήστη που είναι συνδεδεμένος στο δύκτιο μας αφου έχουμε δημιουγήσει ένα session εργασίας. To λογισμικό του xplico μας παρέχει κάποιες παραμέτρους εισόδου-εξόδου(imput module-output module) για να μπορούμε να διαχειριζόμαστε καλήτερα τα pcap files απο sniffers ,για να οργανόνουμε τα αποκωδικοποιημένα δεδομένα για παρουσίαση και κάποιες παράμερους αποκωδικοποίησης (protocol dissectors) για αποκωδικοποίηση συγκεκριμένων πρωτοκόλλων. Στις δυνατότητες του είναι ακόμα η αποκωδικοποίηση κλήσεων VoIP,και με τo έκδοση του pcap2wav είναι σε θέση να υποστιρίζει αρκέτα codecs ήχου. Στην ουσία όμως το xplico δεν μπορούμε να πούμε οτι είναι μία εν αλλακτική λύση του wireshark,διότι αυτό που κάνει είναι να παρουσιάζει τα δεδομένα σε ένα πολύχρομο με κατηγορίες background πάνω σε ένα web interface. Τα πρωτόκολλα που υποστηρίζει το λογισμικό του xplico είναι τα εξής : VoIP IRC HTTP IMAP POP SMTP και FTP. Το πρόγραμμα είναι γραμμένο σε : C,PHP,PYTHON Πηγές : xplico.org xplico/wikipedia xplico/forum
SafeBack (Χριστοπούλου Μαρία)
επεξεργασίαEMail Detective - Forensic Software Tool (Διομήδης Παναγιώτης, Ρούσσος Γεώργιος)
επεξεργασίαΥπάρχουν πολλα εργαλεία λογισμικού που χρησιμοποιούνται σήμερα από ανθρώπους εξειδικευμένους στο χώρο της πληροφορικής στο τομέα της ασφαλής ανάκτησης και ανάλυσης ψηφιακών δεδομένων. Τέτοιου είδους λογισμικά παρέρχουν στον ερευνητή μια ολοκληρωμένη εικόνα του υπολογιστή του χρήστη. Στον τομέα του Computer Forensics, η Red Hot Pepper Tehcnology παρέχει ένα ειδικό λογισμικό που δίνει την δυνατότητα στους ερευνητές να εξαγάγουν όλα τα περιεχόμενα του ηλεκτρονικού ταχυδρομείου από Βάσεις Δεδομένων και οποιοδήποτε Mbox email client, από το δίσκο του χρήστη.
Email Detective - Forensic Software Tool (EMD)
Το "Email Detective - Forensic Software Tool (EMD)" είναι ένα εργαλείο για αυτο το σκοπο. Χρησιμοποιείται κυρίως από τις υπηρεσίες επιβολής του νόμου στις ΗΠΑ.
Η εφαρμογή EMD είναι γρήγορη και εύκολη στην χρήση. Μέσα σε λίγα λεπτά κάθε Mbox ή AOL email που έχουν αποθηκευτεί προσωρινά ή βρίσκονται αποθηκευμένα στον δίσκο του χρήστη εξάγονται πλήρη. Επιπλέον παράγεται ολοκληρωμένη έκθεση η οποία περιέχει τα μηνύματα ηλεκτρονικού ταχυδρομείου για ένα χρήστη. Μέσω αυτής της έκθεσης ο ερευνητής μπορέι να ψάξει λέξεις και φράσεις που τον ενδιαφέρουν.
Το EMD παράγει δύο ειδών εκθέσεις:
Ο ερευνητής ψάχνοντας να βρεί δεδομένα που θα τον βοηθήσουν με λίγη πλήκτρολόγηση η εφαρμογή EMD τον γλυτώνει από το να ψάχνει άχρηστα δεδομένα στον σκληρό δίσκο του χρήστη. Δεδομένα από 1MB εώς και 20GB η περισσότερα μπορούν εύκολα να επεξεργαστούν. Εφαρμογές Το EMD παρέχει τεχνικές επεξεργασίας για Mbox και συγκεκριμένα εξάγει δεδομένα από email clients όπως: The Bat!, Claws, Barca, Mozilla_Thunderbird, Incredimail, Eureka_Email, Microsoft_Entourage, Outlook_Express, Zimbra καθώς και από το SQLite αλλά και τα αρχεία swapfile και Pagefilesys. Ακόμα είναι επίσης διαθέσιμη η λειτουργία επεξεργασίας του chat log για GigaTribe, Facebook, Yahoo! στην έκδοση Pro του EMD. Πηγή: http://www.digitalintelligence.com/software/hotpeppertechnology/emaildetective/
ProDiscover (Μπρατσελάρη,Μπουνγκούρι)
επεξεργασίαProDiscover Basic & ProDiscover Forensics
Το ProDiscover Basic είναι ενα ψηφιακό εργαλείο που δίνει την δυνατότητα αναλυσής ενός στοιχείου που εντοπιστηκέ σε μια μονάδα δίσκου.
Το PDB αποτελεί το "δωρεάν" μέλος της οικογένειας ProDiscover,εργαλεία που χρησιμοποιούντε για την επιμέλεια της ασφάλειας του σκληρού δίσκου,δεν είναι τόσο περιεκτικό όσο τα υπολοίπα δυο προ'ι'οντά αλλά έχει την δυνατότητα να μας δώσει μια ίδεα των εξαιρετικών δυνατοτήτων των δυο υπόλοιπων,μας δίνει μια ξεκάθαρη και ακριβή εικόνα σχετικά με το τι συμβαίνει και πιο ιδιαίτερα τι εχει συμβεί σε κάθε συμπλεγμά του σκληρού δισκου.Δημιουργεί αυτόματα μια αναφορά με όλες τις αναγκαίες πληροφορίες προκειμένου να παρουσιαστούν ως αποδεικτικά στοιχειά σε νομικές διαδικασίες,συλλέγονται δεδομένα όπως πληροφορίες ζώνης ώρας,πληροφορίες του drive(μεταξύ άλλων πράγματα,όπως ο όγκος σειριακών αριθμών και κρυφών τομέων),και δραστηριότητα του ίντερνετ κλπ.Το PDB μπορεί να κάνει μια αναζήτηση σε οποιαδήποτε κομμάτια των παραπάνω πληροφοριών μεμονωμένα,ανάλογα με τις προτιμήσεις,επιπλέον υπαρχει μια επιλογή αναζήτησης,η οποία βοηθάει στην εύρεση αρχείων ή κομματιών αυτών ενώ μας δίνει την δυνατότητα να αναζητήσουμε ένα συγκεκριμένο αρχείο ή ένα πρότυπο δεδομένων,ένα εύρος ημερομηνιών και συγκεκριμένων τύπου αρχείων.Επίσης αποτελεί ένα αντικείμενο πιστοποιημένης ποιότητας και είναι εύχρηστο αφού περιέχει οδηγίες με αποτέλεσμα να το καθιστά χρησιμοποιήσιμο ακόμα και απο αρχάριους.
Το ProDiscover Forensics είναι ένα επαγγελματικό εργαλείο συμβούλων,διαχειριστών και ερευνητών δινοντάς τους πληροφοριες προκειμένου να δημιουργήσουν ισχυρές νομικές υποθέσεις.Η λειτουργία του PD είναι η ανάγνωση του δίσκου (read only mode) στην πραγματικότητα το PD μας δινει την δυνατότητα της προεπισκόπησης,της προβολής της εικονοποίησης της αναζήτησης και αναφοράς σε ψηφιακό αποδεικτικό στοιχείο.
Χαρακτηριστικά και οφέλη.
- Εναλλακτική ροή δεδομένων για πληρη ανάλυση του δίσκου.
- Προεσπισκόπηση όλων των αρχείων χωρίς ακόμα και αν αυτα είναι κρυφά ή διεγραμμένα χωρίς να υπάρχει αλλαγή δεδομένων στο δίσκο συμπεριλαμβομένων των αρχείων μεταδεδομένων.
- Επίσης δημιουργεί μια αυτοματοποιημένη αναφορά σε μορφη XML με αποτέλεσμα την επιτυχία εξοικονόμησης χρόνου και της βελτίωσης της ακρίβειας και της συμβατότητας.Είναι χρήσιμο σε περίπτωση που θέλουμε να χρησιμοποιηθεί μια αναφορά ως πηγή δεδομένων για μια άλλη αναφορα.
- Δημιουργεί ενα αντίγραφο bit stream του δίσκου προκειμένου να γίνει ανάλυση,συμπεριλαμβανοντας τον τομέα HPA ωστε να κρατήσει αυθεντικά στοιχεία ασφαλή.Μια λειτουργεία bit-stream ειναι η τομέα ανα τομέα (bit by bit) αντιγραφή σκληρού δίσκου.
- Τέλος αποθηκεύει το ιστορικό διαδικτύου και κανει καταγραφεί του αρχείου γεγονοτων,δεδομένου αυτού οι χρήστες να διευκολείνονται στην έρευνα.
Απαραίτητες απαιτήσεις υλικού για την λειτουργία του ProDiscover Forencics:
Το ProDiscover Forencics προκειμένου να ειναι αποδοτικό απαιτεί τουλάχιστον 512 mb RAM και 1,2 GHz επεξεργαστή. Επίσης,απαιτεί 256MB χωρητικότητας δίσκου για την εγκαταστασή του.Πιθανόν να χρείαζεται περισσότερη χωρητικότητα.Αυτό εξαρτάται απο τον όγκο της συλλογής και της εξαγωγής στοιχείων.Επιπλέον κυκλοφορεί στις εκδόσεις 6,5(32-bit),7,0(32-bit)και στην τελευταία του έκδοση 8,2,0,5(32-bit).Για να δημιουργήσει μια εγκληματολογική εικόνα για 1GB δίσκου χρειάζεται περίπου 3 λεπτα.
Passware Kit Forensic (Παπαδημητρίου Βασίλειος, Παπαδημητρίου Ευάγγελος)
επεξεργασίαη Passware, Inc.που ιδρύθηκε το 1998 είναι ο κορυφαίος κατασκευαστής προγραμμάτων για την ανάκτηση κωδικών πρόσβασης και ηλεκτρονικού εντοπισμού(e-discovery) που χρησιμοποιούν ομοσπονδιακές και κρατικές υπηρεσίες.Στο ενεργητικό της υπάρχουν εταιρίες σχετικές με την επιβολή του νόμου στρατιωτικές οργανώσεις,επιχειρήσεις καθώς και ιδιώτες καταναλωτές. Ανάμεσα στους πελάτες της είναι η Microsoft, Adobe, Apple, Intel ,WalMart, Hewlett-Packard, Deloitte, Ernst & Young, KPMG, PricewaterhouseCoopers, Department of Justice, US Senate, NASA, FDA, IRS, και πολλοί άλλοι, To εγκληματολογικό πακέτο Passware, είναι η ναυαρχίδα των προϊόντων τους κι αποτελεί μια ολοκληρωμένη λύση για την ανακάλυψη αποδεικτικών στοιχείων παρέχοντας άμεση ανάκτηση κωδικών πρόσβασης για κάθε προστατευμένο αρχείο που εντοπίζεται σ έναν υπολογιστή ή μέσω του δικτύου ενώ ταυτόχρονα σαρώνει και αποκρυπτογραφεί αρχεία εικόνας του σκληρού δίσκου από υπολογιστές που έχουν κατασχεθεί για να ερευνηθούν.Τα προϊόντα λογισμικού Passware έχουν αναθεωρηθεί και συνιστώνται από σημαντικές εκδόσεις του κλάδου, όπως το PC Magazine, PC World, το Windows IT Pro και άλλα. Γενικότερα το συγκεκριμένο εργαλείο αποκρυπτογραφεί σκληρούς δίσκους οι οποίοι είναι κρυπτογραφημένοι με BitLocker, TrueCrypt, filevault2 ή PGP.
Σαρώνει τη φυσική μνήμη για το αρχείο εικόνας ακόμη και αν ο υπολογιστής είναι κλειδωμένος και εξάγει όλα τα κρυπτογραφημένα κλειδιά. Στη συνέχεια αποκρυπτογραφεί τον δίσκο. Τέτοια αρχεία εικόνας μπορούν να αποκτηθούν μέσω του εργαλείου firewire memory imager. Αν όμως ο ύποπτος υπολογιστής είναι κλειστός τότε τα κλειδιά δεν βρίσκονται στην φυσική μνήμη για την αποκρυπτογράφηση του δίσκου αλλά πιθανότατα μπορούν να ανακτηθούν από το αρχείο hiberfil.sys. Αν δεν γίνει η αποκρυπτογράφηση με τους παραπάνω τρόπους τότε υπάρχει εναλλακτική αλλά πιο χρονοβόρα λύση, η επίθεση brute force για την ανάκτηση των κωδικών του δίσκου.
Εκτός από την αποκρυπτογράφηση σκληρών δίσκων το passware kit forensic έχει την δυνατότητα να ανακτά κωδικούς από 200+ τύπους κλειδωμένων αρχείων (pdf,rar,doc,zip,pptx,etc). Το καταφέρνει αυτό με 9 διαφορετικούς τρόπους επίθεσης:
1)dictionary
2)brute force
3)xieve
4)known password / part
5)decryptum
6)Encryption keys extraction
7)sureZip
8)Zip Plaintext
9)Rainbow tables
Και κάτι διαφορετικό που παρέχει το passware kit forensic ο συνδυασμός επιθέσεων όπως:
1) Join attacks
2) Append attacks
Υπάρχει ακόμα και η δυνατότητα ανάκτησης κωδικών από apple iphone/ipad και από backup android συσκευών όσο και android εικόνων, αποκτά επίσης και backup από icloud.
Ένα από τα κύρια χαρακτηριστικά του είναι η επιτάχυνση μέσω cloud computing ώστε η ανάκτηση και αποκρυπτογράφηση των κωδικών να είναι πολύ πιο γρήγορη απ' ότι συνήθως. Υπάρχει και φορητή έκδοση του Passware kif forensic που τρέχει μέσα από usb stick χωρίς να χρειάζεται εγκατάσταση στον υπολογιστή που γίνεται η έρευνα. Επίσης συνεργάζεται με το πρόγραμμα Oxygen Forensic Suite και το πρόγραμμα EnCase.
Αυτή την στιγμή το πρόγραμμα passware kit forensic είναι στην αναβαθμισμένη του έκδοση 13.7, το συνολικό του μέγεθος είναι 62 MB υποστηρίζει 64 bit συστήματα και τέλος η τιμή του ανέρχεται στα 995$.
Πηγές (http://www.lostpassword.com/kit-forensic.htm) (http://www.prnewswire.com/news-releases/passware-software-cracks-bitlocker-encryption-open-78212917.html)
FinFisher (Λουκάς Γιώργος, Μόκα Αποστολία)
επεξεργασίαΠεριγραφή:
Το FinFisher είναι ένα εργαλείο Forensic το οποίο βοηθάει την κυβέρνηση και κάποιες υπηρεσίες να εντοπίσουν και να καταδικάσουν σοβαρά εγκλήματα. Παράγεται από μια Γερμανική εταιρεία την FinFisher, η οποία ήταν μέρος της Gamma International. Το FinFisher έχει τη δυνατότητα να κατασκοπεύει ανθρώπους μέσω των προσωπικών τους υπολογιστών και smartphones. Σε πολλές χώρες πωλείται σαν κακόβουλο λογισμικό επιτήρησης, κυρίως σε μερικά από τα πιο καταπιεστικά καθεστώτα στον κόσμο.
Ποιος χρησιμοποιεί το FinFisher:
Το λογισμικό αυτό είναι κλειστού κώδικα διατίθεται για χρήση από την εταιρία αυστηρά μόνο σε κυβερνητικές υπηρεσίες σε όλο τον κόσμο. Με έρευνα που διεξήχθη τον Απρίλιο του 2013 βρέθηκε ότι το FinFisher χρησιμοποιείται περίπου σε 36 χώρες.
Δυνατότητες:
Για υπολογιστές: |
---|
Είναι σε θέση να συλλάβει ένα ευρύ φάσμα στοιχείων του χρήστη <στόχου> με την καταγραφή των
συνομιλιών skype όπως (κλήσεις, chat και μεταφορές αρχείων, βίντεο και κατάλογο επαφών) |
Μπορεί ακόμη να αποκτήσει πρόσβαση στο μικρόφωνο και στην κάμερα του υπολογιστή |
Επιτρέπει την απομακρυσμένη παρακολούθηση δραστηριότητας στον υπολογιστή του θύματος |
Έχει τη δυνατότητα να εντοπίσει τη γεωγραφική θέση του στόχου |
Μπορεί να καταγράφει τις κοινές επικοινωνίες όπως το ηλεκτρονικό ταχυδρομείο και να κάνει
κρυφή εξαγωγή αρχείων από το σκληρό δίσκο |
Διαθέτει προηγμένα φίλτρα για να καταγράφει μόνο τις σημαντικές πληροφορίες από τον υπολογιστή |
Μπορεί να χρησιμοποιηθεί για να σπάσει την κρυπτογράφηση WPA και να αποκτήσει πρόσβαση σε ασύρματα
δίκτυα |
Μπορεί να χρησιμοποιηθεί για να ανακαλύψει κρυμμένα δίκτυα και να αποκτήσει πρόσβαση σε συσκευές
Bluetooth |
Μπορεί να κλέψει τους κωδικούς πρόσβασης και πληροφορίες online λογαριασμού |
Έχει τη δυνατότητα να παρακολουθήσει τη δραστηριότητα σε κοινωνικό δίκτυο |
Για κινητά τηλέφωνα: |
---|
Καταγράφει τη γεωγραφική θέση του χρήστη |
Κάνει λήψη αρχείων όπως (επαφές, ημερολόγιο, εικόνες, αρχεία) |
Καταγράφει όλες τις κοινές επικοινωνίες όπως (τηλεφωνικές κλήσεις, SMS/MMS και emails) |
Υποστηρίζεται από τα έξης λειτουργικά συστήματα :
Aπό όλες τις εκδόσεις των Windows μετά τα Windows 2000, Linux, Mac καθώς και από smartphones που διαθέτουν λειτουργικό: Android, iOS, BlackBerry, Symbian και Windows κινητά τηλέφωνα.
Τρόποι εγκατάστασης:
Μπορεί να εγκατασταθεί στον υπολογιστή <στόχο> με ποικίλους τρόπους:
1. είτε εμφανίζοντας πλαστές ενημερώσεις λογισμικού,
2. είτε στέλνοντας πλαστά email που περιέχουν τον συγκεκριμένο σύνδεσμο,
3. είτε αξιοποιώντας τρωτά σημεία του λειτουργικού συστήματος.
The Coroner's Toolkit (Χατζηκοκολάκης Νικόλαος, Χριστοδουλοπούλου Ναταλία)
επεξεργασίαΤο Coroner's Toolkit (TCT) είναι μία συλλογή από εργαλεία, τα οποία αποτελούν ένα ισχυρό λογισμικό forensics. Αναπτύχθηκε με τη συνεργασία δύο προγραμματιστών, του Αμερικανού Dan Farmer και του Ολλανδού Wietse Venema και παρουσιάστηκε για πρώτη φορά τον Αύγουστο του 1999 στη Νέα Υόρκη σε ένα συνέδριο για ανάλυση forensic σε σύστηματα UNIX ογανωμένο απο την IBM. Είναι δωρεάν λογισμικό ανοιχτού κώδικα και διαθέτει IBM Public License (άδεια δημόσιας χρήσης). Τα εργαλία είναι γραμμένα σε γλώσσα προγραμματισμού C και Perl. Συμβατά λειτουργικά συστήματα είναι FreeBSD, OpenBSD, BSD/OS, SunOS/Solaris, Linux, και HP-UX. Το TCT είναι σχεδιασμένο για να βοηθήσει τον χρήστη να κάνει ανάλυση forensic μετά απο κάποια καταστροφή δεδομένων. Οι δημιουργοί αναφέρουν πως δεν έχει ένα συγκεκριμένο σκοπό και ότι αυτό που κάνει είναι να παίρνει ένα στιγμιότυπο του δίσκου και να προσπαθεί να το δημιουργήσει ξανά.
Μερικά αξιοσημείωτα εργαλεία που αποτελούν το TCT ειναι:
Το Grave-Robber το οποίο αποτελείται και αυτό με τη σειρά του από μικρότερα υποπρογράμματα και η λειτουργία του είναι να συλλέγει πληροφορίες από ένα σύστημα UNIX. Μέσω των ρυθμίσεων που διαθέτει μπορεί ο χρήστης να δηλώσει τι ψάχνει, δηλαδή το όνομα, το είδος των δεδομένων, καθώς και τι αναζήτηση θέλει να κάνει, το μέρος του δίσκου που θέλει να την πραγματοποιήσει κλπ.
Το Unrm. Μικρό αλλά πανίσχυρο πρόγραμμα το οποίο επαναφέρει διεγραμμένα κομμάτια δεδομένων από συστήματα UNIX. Το ποσοστό επιτυχημένης επαναφοράς είναι μεγάλο και μερικές φορές κάτω από κάποιες περιστάσεις μπορεί να φτάσει στο 99%.
Το Lazarus. Πρόγραμμα το οποίο παίρνει τα πρώτα 100 bytes του κομματιού που έχει επαναφέρει το Unrm, ελέγχει αν είναι του ίδιου τύπου και αν είναι τότε τα ενώνει, αλλιώς τα τοποθετεί σε διαφορετικό αρχείο. Δηλαδή αυτό που κάνει το Lazarus είναι να χωρίζει τα δεδομένα που έχουν επαναφερθεί απο το Unrm σε μικρότερα κομμάτια.
Findkey Tool. Εργαλείο το οποίο μπορεί να ανακτήσει κλειδιά κρυπτογράφησης από μία διεργασία που εκτελείται ή από ένα αρχείο.
To Coroner's Toolkit είναι ενα ισχυρό λογισμικό forensics το οποίο έχει μεγάλη πιθανότητα επιτυχίας στην επαναφορά του επιθυμιτού αρχείου, είναι εξαιρετικά ακριβές, δωρεάν και τα προγράμματα που το αποτελούν μπορούν να χρησιμοποιηθούν και ξεχωριστά σε πολλές περιπτώσεις. Είναι, όμως, αργό και έχει και πολλά μειονεκτήματα κυρίως λόγω της παλαιότητάς του, όπως η μη συμβατότητα με καινούριες εκδόσεις λειτουργικών συστηματων και είναι αρκετά δύσκολο στη χρήση, με αποτέλεσμα να απαιτείται χρόνος μέχρι κάποιος να είναι έτοιμος να δει αποτελέσματα από αυτό.
Τέλος η αναπτυξή του έχει σταματήσει εδώ και πολλά χρόνια. Παρ'όλα αυτά έχει φτάσει στην έκδοση 1.19, με τις ενημερώσεις που βγαίνουν να είναι αποκλειστικά για κάποια bugfixes. Απόγονός του θεωρείται το The Sleuth Κit το οποίο είναι εν μέρει βασισμένο στο TCT.
Cellebrite 'Universal Forensic Extraction Device' (UFED) (Καραγκούνης Χρήστος,Κόκκινος Θωμάς)
επεξεργασίαΤο Cellebrite Universal Foresnic Extraction Device (UFED) είναι μια αυτόνομη συσκευή η οποία χρησημοποιήτε για την εξαγωγή δεδομένων από κινητές συσκευές. Ανήκει στην εταιρία Cellebrite η οποία είναι θυγατρική της Sun Corporation με έδρα στην Ιαπωνία.
Το εργαλείο αυτό έρχεται με διάφορα παρελκόμενα. Όπως λογισμικό για ηλεκτρονικούς υπολογιστές , καλώδια μεταφοράς δεδομένων, αντάπτωρες κ.α. . Να σημειωθεί όμως ότι η συσκευή δεν χρειάζεται λογισμικό υπολογιστή για να εκτελέσει τις λειτουργίες της. Ενσωματώνει Bluetooth, IrDa (υπέρυθρες θύρες), αναγνώστη καρτών SIM.
Το λογισμικό της συσκευής έχει την ικανότητα να κλωνοποιήσει την κάρτα SIM δημιουργώντας έτσι ένα πιστό αντίγραφο, μπορεί να μεταφέρει τα δεδομένα της φορητής συσκευής απευθείας σε ένα εξωτερικό μέσο αποθήκευσης (κάρτα SD, usb flash drive), χωρίς τα δεδομένα να περνάνε από ενδιάμεσο χώρο, έχει την ικανότητα να επαναφέρει διαγραμμένα ή κρυμμένα δεδομένα. Επιπροσθέτως έχει την ικανότητα να “σπάει” κώδικες και να αποκρυπτογραφεί κρυπτογραφημένες πληροφορίες.
Υποστηρίζει ένα μεγάλο εύρος συσκευών όπως PDA, smartphones, απλά κινητά τηλέφωνα (feature phones), συσκευές GPS και tablets. Ποιο συγκεκριμένα υποστηρίζει 1.600 συσκευές feature phones και σχεδόν όλες τις συσκευές που “τρέχουν” Symbian, Microsoft Windows phone, Blackberry και Palm os. Έως και σήμερα ( Οκτώβριος 2014) υποστηρίζει 6549 συσκευές επίσημα καταχωρημένες.
Τα δεδομένα τα οποία εξάγει είναι ο τηλεφωνικός κατάλογος, εικόνες, βίντεο, ήχος, διαγραμμένα ή όχι μηνύματα (SMS) αλλά και MMS, την λίστα με τις κλήσεις, το ESN IMEI, ICCID και το IMSI ακόμα και πληροφορίες θέσης.
Υπάρχουν τρεις τρόποι με τους οποίους μπορεί κάποιος να εξάγει δεδομένα από μία συσκευή.
Logical extraction : Με αυτή τη μέθοδο το UFED “συνεργάζεται” με το λειτουργικό σύστημα της συσκευής και ζητά τα δεδομένα από το σύστημα και το σύστημα τα στέλνει. Η μέθοδος αυτή είναι η ποιο βολική και η ποιο γρήγορη διότι τα δεδομένα είναι σωστά τοποθετημένα και έτοιμα. Σε περίπτωση που η συσκευή είναι κλειδωμένη όμως δεν είναι δυνατή η χρήση αυτής της μεθόδους.
File system exctraction : Αυτή η μέθοδος δίνει πρόσβαση σε όλα τα αρχεία της συσκευής που βρίσκονται στον καταχωρημένο (allocated) ή μη χώρο. Αυτή η μέθοδος είναι συμβατή με περισσότερα μοντέλα κινητών σε σχέση με την επόμενη.
Physical extraction : Είναι η ποιο αξιόπιστη μέθοδος. Κάνει αντιγραφή των δεδομένων bit προς bit ολόκληρο το αποθηκευτικό χώρο της συσκευής. Αυτό σημαίνει πως τα δεδομένα μεταφέρονται άθικτα και επίσης ότι όλα τα δεδομένα όπως τα κρυμμένα η διαγραμμένα θα αντιγραφούν και αυτά. Με αυτή την μέθοδο είναι δυνατή η επαναφορά διαγραμμένων στοιχείων σε δύο επίπεδα. Στο πρώτο επίπεδο είναι το επίπεδο συστήματος. Κατά την διαδικασία αναδημιουργίας του συστήματος είναι δυνατή η επαναφορά μερικών διαγραμμένων δεδομένων. Στο επόμενο στάδιο γίνεται έλεγχος στα αρχεία των βάσεων δεδομένων και επαναφέρει διαγραμμένες πληροφορίες. Μερικές φορές όταν το κινητό δεν συνεργάζεται στην εξαγωγή δεδομένων σωστά, είναι δυνατή η αντικατάσταση του Boot Loader της συσκευής με έναν ειδικά σχεδιασμένο από την Cellebrite. Ο Boot Loader αυτός καταφέρνει να προσπεράσει τις περισσότερες δυσκολίες (κωδικούς), επίσης δίνει read-only πρόσβαση στην συσκευή διατηρώντας έτσι τα αρχεία ανέπαφα.
Τέλος αξίζει να σημειωθεί ότι το UFED πωλείται μόνο σε εγκεκριμένες κυβερνητικές και εταιρικές οργανώσεις.
Σύνδεσμοι: http://www.cellebrite.com/ http://www.forensicswiki.org/wiki/Cellebrite_UFED http://www.scmagazine.com/cellebrite-ufed-touch-ultimate/review/3870/ https://en.wikipedia.org/wiki/Cellebrite
Mac Marshal™ (Τόλης Δημήτρης , Πολέντα Αντωνία)
επεξεργασίαΤο Mac Marshal είναι ένα προιόν forensics για Mac και PC. Κυκλοφορεί σε δύο εκδόσεις, την Forensics Edition, η οποία εγκαθίσταται και λειτουργεί σε Mac με OS X 10.4 ή μεγαλύτερο και σε PC με Windows XP ή μεγαλύτερο, καθώς και την live Field Edition.
Η Field Edition διανέμεται σε USB stick και μπορεί να χρησιμοποιηθεί live. Έχει τη δυνατότητα να συλλέξει ‘ζωντανές’ πληροφορίες οι οποίες θα χανόταν διαφορετικά (RAM, εργασίες που εκτελούνται, ενεργές συνδέσεις δικτύου). Επίσης έχει τη δυνατότητα να συλλέγει και να αναλύει δεδομένα του δίσκου live, χωρίς να χρειάζεται να δημιουργήσει κάποια επιπλέον εικόνα του. Η Field Edition έχει επιπλέον και τη δυνατότητα να χρησιμοποιηθεί και στον υπολογιστή του αναλυτή, ακριβώς όπως η Forensics Edition, απλά χωρίς να χρειάζεται εγκατάσταση.
Οι κυριότερες λειτουργίες των Forensics και Field Editions 3.0:
- Ανάλυση OS X, dual-boot δίσκων και εικονικών partition σε διάφορα formats.
- Ανάλυση των log και configuration files από διάφορες εφαρμογές του OS X, όπως Mail, Safari, Address Book
- Αυτόματη συλλογή πληροφοριών σχετικά με τη χρήση του μηχανήματος
- Αυτόματη ανίχνευση και ανάλυση κρυπτογραφημένων με FileVault directories.
- Αυτόματη ανίχνευση virtual machines όπως VMware Fusion και Parallels.
- Συλλογή πληροφοριών σχετικά με κάθε iPod και iPhone που έχει συνδεθεί στο μηχάνημα
- Δυνατότητα ταχύτατης αναζήτησης των metadata του Spotlight.
- Καταγραφή της διαδικασίας ελέγχου και δημιουργία reports σε HTML, PDF, RTF και tab separated tsv αρχεία.
Το Mac Marshal μπορεί να αναλύσει εικόνες δίσκων και partitions από οποιαδήποτε έκδοση του Mac OS X. Υποστηριζόμενα formats εικόνων:
- Raw (dd)
- Expert Witness Format (EWF, e01), χρησιμοποιήται από τα Guidance EnCase® και AccessData FTK®
- AFF (The Advanced Forensic Format)
- Apple Disk Image (DMG)
- Apple Sparse Disk Image (sparseimage και sparsebundle)
Τα αποτελέσματα του Mac Marshal αποθηκεύονται σε οποιαδήποτε θέση επιλέξει ο χρήστης όπως στο ίδιο μηχάνημα που χρησιμοποιήθηκε για την ανάλυση, σε USB drive ή σε κάποιο server.
Το Mac Marshal λειτουργεί σε δύο φάσεις, τη φάση triage και τη φάση ανάλυσης.
Φάση Triage
Σε αυτή τη φάση το Mac Marshal συλλέγει και εξάγει αυτόματα πληροφορίες (όπως configuration files, log files, cache)
Φάση Ανάλυσης και εργαλεία ανάλυσης
Εργαλεία ανάλυσης για εικόνες δίσκων:
- Παρέχεται το εργαλείο ανάλυσης εικόνων δίσκων καθώς και για κρυπτογραφημένες εικόνες παρέχεται το εργαλείο Image Decrypt, το οποίο πραγματοποιεί ταχύτατο brute-force guessing για την αποκρυπτογράφηση.
Υπόλοιπα εργαλεία που παρέχονται με το Mac Marshal:
- Spotlight: Ανακτά και αναλύει το index του Spotlight search.
- Address Book: Αναλύει τα δεδομένα που έχουν γραφτεί απο το Address Book
- Apple Mail: Αναλύει τα δεδομένα της εφαρμογής Mail
- iChat: Αναλύει τα δεδομένα της εφαρμογής iChat καθώς και όλες τις προηγούμενες συνομιλίες.
- iTunes / iPod: Αναλύει όλα τα δεδομένα της εφαρμογής iTunes καθώς και όλων των συσκευών iPod ή iPhone που έχουν συνδεθεί στο παρελθόν.
- Preview: Αναλύει όλα τα δεδομένα της εφαρμογής Preview.
- QuickTime Player: Αναλύει όλα τα δεδομένα της εφαρμογής QuickTime.
- Safari: Αναλύει όλα τα δεδομένα του browser Safari.
- Safari Cache: Αναλύει την cache του Safari. Μόνο με την απαίτηση του αναλυτή καθώς η cache μπορεί να είναι αρκετά μεγάλη.
- System Configuration: Αναλύει τις ρυθμίσεις του συστήματος. Χωρίζεται σε υποκατηγορίες: Γενικές, Διαγραμμένοι Χρήστες, Ιστορικό Δικτύου, Ασύρματα Δίκτυα, Firewall, Συσκευές Bluetooth, Time Machine backups, Internet Sharing, Login Items.
Όλες οι διαδικασίες και η ανάλυση που κάνει το Mac Marshal καταγράφονται σε text και XML αρχεία που περιέχουν οποιαδήποτε ενέργεια έγινε.
Mandiant RedLine (Aριστέα Τούσια , Κωνσταντίνα Παϊταρίδου)
επεξεργασίαMandiant RedLine
Tο Mandiant RedLine είναι ένα από τα δωρεάν εργαλεία που βοηθούν στην πραγματοποίηση μιας ψηφιακής εγκληματολογικής έρευνας. Συγκεκριμένα είναι ένα εργαλείο ελέγχου το οποίο συλλέγει όλες τις διεργασίες και τους οδηγούς από τη μνήμη, το ιστορικό του δικτύου , τις πληροφορίες δικτύου , τα μεταδιδόμενα αρχεία του συστήματος , δεδομένα του μητρώου και τα αρχεία καταγραφής των συμβάντων. Η τρέχουσα έκδοση είναι η RedLine 1.12 και η ημερομηνία κυκλοφορίας της είναι 9 Ιουνίου 2014 . Επίσης είναι ένα εργαλείο ανάλυσης που περιλαμβάνει πολλαπλές βελτιώσεις για την χρηστικότητα. Το RedLine μπορεί να αποκαλύψει κακόβουλο λογισμικό το οποίο είναι "κρυμμένο".
Επίσης παρέχει MD5 hashes τα οποία είναι αρχεία που περιέχουν τις ψηφιακής υπογραφές κάποιων άλλων αρχείων για να καταλάβει ο χρήστης οτι αυτό που κατέβασε δεν είναι αλλοιωμένο. Τα MD5 hashes που χρησιμοποιούνται από το RedLine φιλτράρουν ορισμένες από τις καταχωρήσεις στην ανάλυση μνήμης . Ακόμη το RedLine χρησιμοποιεί "Indicators of Compromise " (IOC) (Ονομάζεται στα ελληνικά δείκτης του συμβιβασμού ). Είναι οι υπογραφές ιών και διεύθυνσεις IP,MD5 hashes των malware (κακόβουλων) αρχείων και μπορούν να χρησιμοποιηθούν για την έγκαιρη ανίχνευση των μελλοντικών προσπαθειών επίθεσης.
Όταν βάλουμε τα δεδομένα στο RedLine:
1) Δημιουργούμε ένα συλλέκτη (IOC αναζήτηση συλλέκτη )
2) Τρέχουμε την ανάλυση Προτιμούμε να την προωθήσουμε από ένα USB
3) Αναλύουμε τα δεδομένα Από ένα συλλέκτη , Από έναν αποθηκευμένο φάκελο μνήμης ή από προηγούμενη ανάλυση
Επιπλέον υποστηρίζει λειτουργικά συστήματα όπως Windows XP, Windows Vista , Windows 7, Windows 8 (32-bit και 64-bit). Το κατέβασμα του Redline είναι δωρεάν και το μέγεθος του αρχείου είναι 66.2 MB.
Πηγές: https://www.mandiant.com/resources/download/redline https://www.mandiant.com/resources/downloads/
XIRAF Online Advanced Forensic Analysis (Δημήτρης Τζεμπεντζής, Γιώργος Φραγκόπουλος)
επεξεργασίαΠεριγραφή
επεξεργασίαΤο XIRAF αναπτύχθηκε από το Netherlands Forensic Institute (NFI) και αποτελεί μια εφαρμογή που αναλύει αυτόματα μεγάλες ποσότητες δεδομένων από όλους τους τύπους εξοπλισμού, προσδιορίζοντας εκατομμύρια ίχνη σε ψηφιακές ενδείξεις και τα καθιστά άμεσα αναζητήσιμα. Οι ερευνητές δεν χρειάζονται τίποτα περισσότερο από έναν περιηγητή ιστού για να έχουν πρόσβαση στην υπηρεσία του XIRAF.
Ειδικότερα το XIRAF συγκεντρώνει δεδομένα από διάφορες ψηφιακές πηγές συμπεριλαμβανομένων:
- Laptops,
- Εξωτερικοί σκληροί δίσκοι,
- Κινητά τηλέφωνα,
- CDs,
σε μια κεντρική online βάση δεδομένων, διαθέσιμη σε ερευνητές της αστυνομίας ή της κυβέρνησης με τη χρήση ενός περιηγητή ιστού. Το XIRAF επίσης δίνει τη δυνατότητα να ταξινομηθούν οι πληροφορίες χρονολογικά και οι εικόνες γεωγραφικά.
Χαρακτηριστικά
επεξεργασίαΑυτοματοποιημένη συλλογή ιχνών
Οι ψηφιακές συσκευές όπως σκληροί δίσκοι, κινητά τηλέφωνα, USB κλειδιά κλπ, μπορούν εύκολα να περιέχουν εκατομμύρια ψηφιακών ιχνών. Παραδείγματα των ιχνών που μπορεί να είναι μεγάλης αξίας σε έρευνες είναι:
- Τα αρχεία και έγγραφα.
- e-mail.
- Ιστορικό online συνομιλιών.
- Ιστορικό του προγράμματος περιήγησης.
- Τα αρχεία κλήσεων.
- Πληροφορίες για την τοποθεσία.
Πολλές λεπτομερείς τεχνικές γνώσεις απαιτούνται για να βρεθούν και να αναλυθούν όλα αυτά τα ίχνη. Το XIRAF συλλέγει και οργανώνει τέτοια ίχνη με ένα πλήρως αυτοματοποιημένο τρόπο, έτσι ώστε οι ερευνητές μπορούν να επικεντρωθούν σε αυτά που είναι συναφή με την υπόθεση, χωρίς να προβληματίζονται για το πού και πώς θα τα εντοπίσουν.
Ισχυρή μηχανή αναζήτησης
Από την στιγμή που το XIRAF συλλέξει τα ψηφιάκα ίχνη οι ερευνητές μπορούν να τα αναζητήσουν με την μηχανή αναζήτησης του XIRAF, μέσω:
- Ερωτημάτων με λέξεις κλειδιά,
- Επιλογές χρονικών διαστημάτων
και μια πληθώρα άλλων φίλτρων επιτρέποντας τους να εστιάσουν γρήγορα στα ίχνη που τους ενδιαφέρουν. Τα αποτελέσματα μπορούν να εμφανιστούν ως εξής:
- Κατευθείαν σε πίνακα.
- Ως χρονοδιάγραμμα.
- Σε μια συλλογή εικόνων.
- Σε ένα χάρτη.
Εύκολη πρόσβαση
Με το XIRAF ένας οργανισμός μπορεί να διαθέσει μία online computer forensic υπηρεσία στους ερευνητές της προσβάσιμη με έναν περιηγητή ιστού. Η υπηρεσία αυτή μπορεί να τρέχει είτε μέσα στα όρια του οργανισμού ή να είναι προσβάσιμη από οποιαδήποτε θέση μέσω ασφαλούς σύνδεσης στο internet. Μια φορητή λύση για on-site ανάλυση είναι επίσης διαθέσιμη.
Κατευθυντήριος Browser
Το XIRAF περιλαμβάνει έναν περιηγητή ιχνών που εμφανίζει κάθε ίχνος μαζί με συνδέσμους σε σχετικά ίχνη. Για παράδειγμα:
- Ενημερώνει τον ερευνητή που να βρει αντίγραφα ενός επιλεγμένου αρχείου.
- Δείχνει αν ένα αρχείο με το ίδιο όνομα είναι συνδεδεμένο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
- Επισημαίνει ότι το αρχείο περιέχει μια φωτογραφία που τραβήχτηκε με μια φωτογραφική μηχανή που χρησιμοποιήθηκε επίσης για μια σειρά από άλλες φωτογραφίες.
Διαμοιρασμός πληροφοριών
Eίναι ένα σύστημα πολλών χρηστών. Οι διαχειριστές αποφασίζουν σε ποιές υποθέσεις μπορεί να έχει πρόσβαση κάθε χρήστης. Πολλοί χρήστες μπορούν να χρησιμοποιούν το XIRAF ταυτόχρονα και να μοιράζονται ερωτήματα και σημειώσεις. Οι πληροφορίες μπορούν να μοιραστούν συνολικά και ανά περίπτωση.
Διασύνδεση XIRAF σε συστήματα
Το XIRAF είναι ένα ανοικτό σύστημα. Εξωτερικά προγράμματα μπορούν να χρησιμοποιήσουν την τεκμηριωμένη διεπαφή προγραμματισμού(API) ώστε να εκδώσουν ερωτήματα και να τροφοδοτήσουν τα αποτελέσματα σε άλλα συστήματα ή προγράμματα ανάλυσης.
Χρήση
επεξεργασίαMπορεί να χρησιμοποιηθεί από οποιονδήποτε με βασικές γνώσεις των ψηφιακών ιχνών. Οι ομάδες χρηστών περιλαμβάνουν: ντετέκτιβ, ειδικούς στο computer forensic και αναλυτές. Χρησιμοποιείται επί του παρόντος από διάφορες αστυνομικές υπηρεσίες και υπηρεσίες έρευνας.
Πηγές: https://www.forensicinstitute.nl/products_and_services/forensic_products/xiraf/
MPE+ Mobile Phone Examiner Plus (Δημόπουλος Τηλέμαχος , Κιοϊλού Δανάη )
επεξεργασίαMobile Phone Examiner Plus (MPE+)
Είναι ένα σημαντικό εργαλείο το οποίο χρησιμοποιείτε από τους εγκληματολόγους που βοηθάει στην εξαγωγή και ανάλυση δεδομένων των κινητών τηλεφώνων και έξυπνων κινητών συσκευών. Αποτελείται κυρίως από software και ένα επιπρόσθετο εργαλείο hardware και είναι συμβατό για λειτουργικό σύστημα Windows. Υποστηρίζει πάνω από 7.000 κινητά τηλέφωνα και έξυπνες κινητές συσκευές συμπεριλαμβανομένων iOS® , Android , Blackberry, Windows Mobile™. Έχοντας υψηλές δυνατότητες συλλογής δεδομένων το MPE+ εξάγει περισσότερα δεδομένα από iOS® ή Android με μεγαλύτερη ταχύτητα σε σχέση με άλλες εγκληματολογικές εφαρμογές.
Οι σημαντικότερες χαρακτηριστικές ιδιότητες του MPE+ είναι:
• Η δυνατότητα ανάκτησης κρυμμένων ή σβησμένων δεδομένων από όλα τα ψηφιακά μέσα.
• Η εύκολη διαχείρηση τεράστιου όγκου δεδομένων
• Η δυνατότητα browsing σε SQLite βάσης δεδομένων
• Υψηλού επιπέδου ανάληση δεδομένων
• Δυνατότητες φυλτραρίσματος.
Επίσης, το MPE+ λειτουργεί απρόσκοπτα με το Forensic Toolkit ® (FTK ®) επιτρέποντας στους εγκληματολόγους τον συσχετισμό στοιχείων από πολλές κινητές συσκευές με στοιχεία από πολλούς υπολογιστές σε ένα μόνο περιβάλλον εργασίας. Το περιβάλλον εργασίας του ΜPE+ περιλαμβάνει εργαλεία οπτικοποίησης που επιτρέπουν στον εγκληματολόγο να δει τις επικοινωνίες ανάμεσα στις επαφές τις κινητής συσκευής ενώ μπορεί αυτόματα να κατασκευάσει διαγράμματα που σχετίζουν τις επικοινωνίες με τον χρόνο.
MPE+ nFIELD
Είναι ένα επιπλέον λογισμικό που συνδυάζει τις δυνατότητες συλλογής στοιχείων του MPE+ σε ένα περιβάλλον εργασίας με σκοπό την υποστήριξη πολλών χρηστών και την επι τόπου συλλογή στοιχείων από κινητές συσκευές. Επίσης πραγματοποιεί ανάκτηση δεδομένων από USIM, SIM και άλλες μονάδες αποθήκευσης δεδομένων. Σε λίγα μόνο βήματα το λογισμικό με εικόνες καθοδηγεί τους εγκληματολόγους για την συλλογή δεδομένων. Με την λειτουργία wizard το περιβάλλον εργασίας υποστηρίζει την ανάκτηση δεδομένων χωρίς καθόλου εκπαίδευση. Μια εικόνα AD1 που δημιουργείτε αυτόματα εξασφαλίζει ότι οι πληροφορίες που έχουν συλλεχθεί μπορούν να αναλυθούν σωστά από τους εγκληματολόγους. Επιπρόσθετα δημιουργεί αυτόνομα μια αναφορά των εξαχθέντων στοιχείων για άμεση χρήση επί τόπου. Το λογισμικό μπορεί να εγκατασταθεί σε οποιαδήποτε συσκευή με Windows® 7, 8 και 8.1 ( 32 & 64 bit ) συμπεριλαμβανομένων των προσωπικών Η/Υ, των lap-top και των Tablets.
MPE+ VELOCITOR
Είναι ένα επιπρόσθετο εργαλείο hardware που συνεργάζεται με το MPE+ για να πραγματοποιήσει την εξαγωγή δεδομένων από το 95% των κινέζικων κινητών συσκευών. Σε πολλές περιπτώσεις μια κινητή συσκευή μπορεί να δείχνει ως μια κανονική έξυπνη συσκευή αλλά στην πραγματικότητα μπορεί να είναι ένας κλώνος ή μία απομίμηση τηλεφώνου που περιέχει κινέζικα εξαρτήματα. Αυτό το επιπρόσθετο εργαλείο εξειδικεύεται στον να επεξεργαστεί κρίσιμα δεδομένα που άλλες εφαρμογές τα παραλείπουν. Τέλος, έχει την δυνατότητα να εξάγει τα flash data από τις συσκευές αυτές, αναδεικνύοντας σημαντικά στοιχεία γρήγορα και αποτελεσματικά.
EPRB "ElcomSoft Password Recovery Bundle" (Τασιόπουλος Νικόλας, Παππάς Νίκος)
επεξεργασίαΤο EPRB ειναι ενα Forensics εργαλειο που ιδρυθηκε το 1990 απο την elcomsoft Co.Ltd η οποια ειναι μια εταιρια λογισμικου που εδρευει στην Μοσχα.Η εταιρια αυτη στοχευει στην ασφαλεια του υπολογιστη, με αξιοποιηση προϊοντων που εχουν ως στοχο την ανακτηση κωδικων (password recovery).
ElcomSoft Password Recovery Bundle
ΔΥΝΑΤΟΤΗΤΕΣ ΚΑΙ ΛΕΙΤΟΥΡΓΙΕΣ
Password Recovery Bundle ειναι μια χρησιμη εργαλειοθηκη για την ανακτηση των χαμενων η ξεχασμενων κωδικων με ενα πιο απλο τροπο.Με αυτην γινεται η συνδεση σε προγραμματα οπως το MSN Messenger, MSN Explorer, Windows Messenger, Windows Live Messenger, AOL Instant Messenger, AIM Pro, Google Talk, Miranda, Trillian, Paltalk, Digsby, Pidgin, GAIM, και MySpaceIM. Επισης ανακτα κωδικους για mail accounts που δημιουργηθηκαν στο Outlook 98/2000/XP/2003/2007/2010, Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird, Opera Mail, Eudora, Incredimail, Becky Internet Mail, Phoenix Mail, Ipswitch IMail Server, Reach-a-Mail, The Bat, PocoMail, Pegasus Mail, and Gmail Notifier.Φανερωνει κωδικους για web sites και AutoComplete κωδικους αποθηκευμενους στο Internet Explorer, Mozilla Firefox, Opera, Safari, και Chrome.το προγραμμα ειναι ικανο να φανερωσει κωδικους κρυμμενους απο αστερισκους, να ανακτησει κωδικους για τα EasyWebCam, Camfrog Video Chat, VNC, Remote Desktop Connection, Total Commander (former Windows Commander), Dial-up, RAS και VPN connections. Thunder Tables(R) ειναι η τεχνολογια της ElcomSoft η οποια εγγυαται την ανακτηση αρχειων του Microsoft Word και Microsoft Excel ,που προστατευονται απο κρυπτογραφηση 40-bit, μεσα σε λίγα δευτερολεπτα αντι για ολοκληρες ωρες ή ακομα και μερες. Η τεχνολογια αυτη επιτρεπει το ανοιγμα ανταποκρισιμων αρχειων χρησιμοποιωντας ειδικα προ-επεξεργασμενα και hash files.Αυτα τα αρχεια καταλαμβανουν χωρητικοτητα περιπου 4Gb και μπορουν ευκολα να χωρεσουν σε ενα απλο DVD ή σε ενα USB flash.
Wireless Security Editor
Το Wireless security Auditor ειναι ενα προγραμμα το οποιο δεχεται WPA/WPA2 Hash Codes, και χρησιμοποιωντας ειδικες μεθοδους προσπαθει να μαντεψει τους κωδικους που σχετιζονται με το ασυρματο δικτυο. Αυτες γινονται εφικτες τεσταροντας κωδικους με ενα γνωστο SSID δικτυο του οποιου οι WPA/WPA2 Hash Code εχουν δεσμευτει.Οι κωδικοι που δοκιμαζονται "γεννιουνται" απο ενα λεξικο που χρησιμοποιει ποικιλες μεθοδους μεταλλαξης, συμπεραλαμβαμενων περιστασιακες μεταλλαξεις (password, PASSWORD, PassWOrD,κ.α.), χρονολογικες μεταλλαξεις (password, password1992, password67,κ.α.), και πολλες αλλες που προσπαθουν να μαντεψουν τον σωστο κωδικο.
ΠΛΕΟΝΕΚΤΗΜΑΤΑ
EPRB δινει την δυνατοτητα στους χρηστες να αποκαλυψουν δισκους και συστηματα και να αποκρυπτογραφησουν αρχεια και δεδομενα που προστατευνται απο δημοφιλεις εφαρμογες.Το εργαλειο αυτο ειναι ταχυτατο,απλο και ευχρηστο ακομα και για τους απλους χρηστες.
*Πιστοποιηση: Εχει συνεργασια με Microsoft,Intel αλλα και με την Νvidia *Ευρυα συμβατικοτητα: Ανακτα δεδομενα και κωδικους συστηματος σε ποικιλες μορφες αρχειων *Επιταγχυτης GPU: χρησιμοποιει τεχνολογια που μειωνει το χρονο ανακτησης κωδικων (χρηση με χρηση) *Γραμμικη Αναπτυξη: επιτρεπει χρησιμοποιωντας εναν αριθμο πολυπυρηνων και πολυεπεξεργαστηκων χωρων εργασιας που συνδεονται μεσω ενος τοπικου δικτυου (LAN) ή συνδεονται με το Internet να εχουν γραμμικη αυξηση της ανακτησης ταχυτητας *Ελαχιστος χρονος μεταφορας δεδομενων *Ευελικτος ελεγχος δεδομενων και ευκολη κατανομη της δουλειας *Απομακρυσμενος ελεγχος ανακτησης κωδικων *Ολοκληρομενη ανιχνευση: ελεγχει τον χρονο που κανει ο CPU για την αξιοποιηση των πορων, δουλειων ανακτησης κωδικων και των δραστηριοτητων του χρηστη
Βιβλιογραφια
http://www.elcomsoft.com/eprb.html
http://www.elcomsoft.com/
http://www.dfinews.com/product-releases/2013/02/advanced-office-password-recovery
http://www.wiki.com
Tracks Inspector (Μπρούτσος Κωνσταντίνος, Ελευθέρογλου Χρήστος)
επεξεργασίαΤο Tracks Inspector είναι μία συνεργατική, web-based πλατφόρμα που επιτρέπει ντετέκτιβ και ερευνητές να επεξεργαστούν γρήγορα και να εξάγουν πολύτιμες πληροφορίες από κινητές συσκευές και υπολογιστές. Το συγκεκριμένο εργαλείο ξεκίνησε από μία ομάδα διαχείρισης που αποτελούνταν από τους Frank Coggrave, Hans Henseler, Marco De Mulin και Rens De Wolf. Σαν ομάδα έχουν ισχυρό υπόβαθρο με περρισσότερα από 20 χρόνια εμπειρίας στις πωλήσεις λογισμικού, marketing, έρευνας, ανάπτυξης, ψηφιακής εγκληματολογίας και λειτουργίας εταιριών. 1 Σεπτεμβρίου 2014 - Η ομάδα Tracks Inspector εξαγοράστηκε από την FOX-IT, προκειμένου να αναπτυχθούν περαιτέρω και να δώσουν λύσεις στην επιβολή του νόμου, μέσω εταιρικών πελατών στην Ευρώπη, τη Μέση Ανατολή, την Ασία και την Βόρεια Αμερική. Το συγκεκριμένο γεγονός διαδραματίστηκε στην Ολλανδία και η εστιασμένη εταιρία ονομάστηκε Tracks Inspector B.V.
Σχετικά με την FOX-IT:
Αποτρέπει, λύνει και μετριάζει τις πιο σοβαρές απειλές, ως αποτέλεσμα των επιθέσεων στον κυβερνοχώρο, της απάτης και της παραβίασης των δεδομένων με καινοτόμες λύσεις για την κυβέρνηση, τις υποδομές ζωτικής σημασίας, των τραπεζών και εμπορικούς πελάτες των επιχειρήσεων σε όλο τον κόσμο.
Δυνατότητες του Tracks Inspector:
Το συγκεκριμένο εργαλείο απλοποιεί τη διερεύνηση των ψηφιακών ιατροδικαστικών στοιχείων. Βελτιώνει την αξιοποίηση των ψηφιακών εργαστηρίων εγκληματολογίας με τη μείωση του φόρτου εργασίας και παρέχει αποδεικτικά στοιχεία που απαιτεί το σύνολο των δεξιοτήτων και εργαλείων , ειδικών για εργαστηριακά συστήματα. Παράλληλα ενεργοποιεί υπηρεσίες επιβολής του νόμου για να λύσει τάχιστα περισσότερες υποθέσεις. Ταυτόχρονα, απλοποιεί τις έρευνες που αφορούν την ψηφιακή απόδειξη και δίνει τη δυνατότητα στους ερευνητές να αναζητήσουν, να αναλύσουν, να συνδεθούν και να κάνουν αναφορά στις ψηφιακές αποδείξεις. Τέλος, η εύκολη συνεργασία μεταξύ των ανακριτικών ομάδων και ο προϋπολογισμός προς την ανάπτυξη των εξαρτημάτων του συστήματος σε όλες τις τοποθεσίες και υπηρεσίες γνωστοποιεί την εγκυρότητα του εργαλείου.
Υ.Γ. Αρνητικά του Tracks Inspector: Το συγκεκριμένο εργαλείο παρόλο που δουλεύει με λογισμικά windows, δεν μπορέσαμε να το κατεβάσουμε. Έτσι, βγάλαμε το συμπέρασμα ότι το Tracks Inspector είναι καθαρά ένα πρόγραμμα για ειδικούς χρήστες και όχι για απλούς.
Hex editor (Κουνούκλα, Χριστοπούλου)
επεξεργασίαΤο όνομα "hex" προέρχεται από τη λέξη "δεκαεξαδική". Είναι ένα είδος προγράμματος υπολογιστή που επιτρέπει τη χειραγώγηση δυαδικών δεδομένων που αποτελεί ένα αρχείο υπολογιστή. Ένας χρήστης με το πρόγραμμα επεξεργασίας "hex" μπορεί να επεξεργαστεί το περιεχόμενο ενός αρχείου αντίθετα με την ερμηνεία του περιεχομένου. Επίσης χρειάζεται για την αποφυγή εφαρμογής επεξεργασίας ελέγχου που μπορεί να εμποδίσει τη διόρθωση των εσφαλμένων δεδομένων. Το πρόγραμμα "hex" μπορεί να χρησιμοποιηθεί για να διορθώσει αρχεία ή να καταστρέψει προβλήματα του συστήματος όπου δεν χρειάζεται να χρησιμοποιηθεί κάποιο ειδικό πρόγραμμα για τις διορθώσεις. Στις περισσότερες εφαρμογές hex editor τα δεδομένα του αρχείου υπολογιστή εμφανίζονται ως δεκαεξαδικές τιμές και ομαδοποιούνται σε 4 ομάδες των 4 bytes όπου ακολουθείται από μια ομάδα 16 χαρακτήρων ASCII. Οι hex editors έχουν συστήματα scripting που επιτρέπουν στο χρήστη να δημιουργήσει macro σαν λειτουργικότητα ως μια ακολουθία των εντολών διεπαφής χρήστη για την αυτοματοποίηση των κοινών καθηκόντων. Αυτό μπορεί να χρησιμοποιηθεί για αυτόματη διόρθωση αρχείων. Σύντομη ιστορία του hex editor είναι ότι από την εφεύρεση των ηλεκτρονικών υπολογιστών και οι διάφορες χρήσεις τους, μια ποικιλία από μορφές αρχείων έχει δημιουργηθεί. Για κάποιους, αυτό ήταν βολικό για να είναι σε θέση να έχουν πρόσβαση στα δεδομένα ως μια σειρά πρώτων ψηφίων. Δεκαεξαδικό και οκταδικό είναι κοινά, διότι αυτά τα ψηφία επιτρέπουν σε κάποιον να δει ποια bit σε ένα byte έχουν οριστεί.
Σήμερα, δεκαδική αντί για δεκαεξαδική αναπαράσταση γίνεται μια δημοφιλής δεύτερη επιλογή λόγω της πιο εξοικειωμένης αριθμό βάσης και πρόσθετα βοηθητικά εργαλεία, όπως είναι τα συστήματα πρότυπο και επιθεωρητές των δεδομένων, που μειώνουν τα οφέλη της δεκαεξαδικής αριθμητικής μορφής. Εργαλεία του hex editor είναι και το PSPad που είναι ένα κείμενο που προσφέρει το "Άνοιγμα σε HEX" επιλογή η οποία θα ξεκινήσει την ειδική λειτουργία επεξεργασίας. Επίσης εργαλείο του είναι και το XVI32 που είναι πολύ ικανός συντάκτης δεκαεξαδικού. Έχει επίσης μερικά προηγμένα εργαλεία έκδοσης δεκαεξαδικού όπως ένας υπολογιστής διευθύνσεων για τον έλεγχο των offset και μερικών άλλων δεκαεξαδικών-συγκεκριμένων επιλογών που μπορούν να σας βοηθήσουν να πάρετε γύρω από ένα αρχείο δεκαεξαδικού εάν ξέρετε τι κάνετε. Και τέλος είναι τα παιχνιδια και η χαραξη αρχειων που ειναι ένας άλλος δημοφιλής λόγος στη χρήση δυνάμεων ενός συντάκτη δεκαεξαδικού. Μπορείτε να φορτώσετε επάνω στο παιχνίδι το αρχείο και αλλάζει το χρηματικό ποσό που έχετε. Πολλά σύγχρονα παιχνίδια περιλαμβάνουν είτε τη συμπίεση είτε την κρυπτογράφηση που την καθιστούν πολλές φορές δυσκολότερη decompile εκτός από το παιχνίδι. Εντούτοις, μερικά παιχνίδια επιτρέπουν ακόμα και σε σας για να εκδώσουν ορισμένες μεταβλητές, όπως μέσα Ηχητικό Spinball. Εκτός από να εξετάσετε τα αρχεία παιχνιδιών, μερικές φορές μπορείτε να επιλέξετε άλλες σημαντικές πληροφορίες από ένα σωζόμενο αρχείο. Αυτό εξαρτάται πολύ από τον τύπο αρχείου και ποιες πληροφορίες ψάχνετε, αλλά η χρησιμοποίηση ενός συντάκτη δεκαεξαδικού είναι χρήσιμη στον καθορισμό του τι είναι ακριβώς μέσα σε ένα αρχείο.
ΠΗΓΕΣ: 1. http://en.wikipedia.org/wiki/Hex_editor
2. http://www.makeuseof.com/tag/hex-editor-technology-explained/
BitFlare (Κοτσίδου Κυριακή, Λαμπρίδου Δέσποινα, Μανώλη Στεργιανή )
επεξεργασίαΑΝΑΛΥΣΗ ΚΑΙ ΠΕΡΙΓΡΑΦΗ ΕΡΓΑΛΕΙΟΥ ΛΟΓΙΣΜΙΚΟΥ BitFlare Το BitFlare είναι ένα επαναστατικό νέο εργαλείο λογισμικού που επιτρέπει σε μη εξειδικευμένους χρήστες να εκτελέσουν computer forensics,την δυνατότητα πρόσβασης σε ηλεκτρονικά-ψηφιακά δεδομένα και την διατήρησή τους . Το BitFlare καθιστά τα δεδομένα εύκολα προσβάσιμα λοιπόν , για την ανάκτηση και ανάλυση σε πολλές και ποικίλες καταστάσεις , περισσότερες από κάθε άλλη φορά .
ΔΥΝΑΤΟΤΗΤΕΣ Πρόκειται για ένα εργαλείο που διαθέτει πλήθος δυνατοτήτων που συνοψίζονται ακολούθως : 1 . Μειώνει τον κίνδυνο των σφαλμάτων στον προσδιορισμό των σχετικών δεδομένων. 2 . Απλοποιεί τη διαδικασία προσδιορισμού των παραμέτρων των αιτήσεων. 3 . Εξαγάγει και διατηρεί ασφαλη δεδομένα. 4 . Επιτρέπει την λήψη δεδομένων απευθείας.
ΛΕΙΤΟΥΡΓΙΑ Η βασική ιδέα με το BitFlare είναι η χρήση ενός δωρεάν CD που θα εξετάζει τον υπολογιστή . Ο χρήστης έχει την δυνατότητα να επιλέξει τα αρχεία . Το επόμενο βήμα είναι η οργάνωση των δεδομένων στον δίσκο εξαγωγής . Μετά την οργάνωση των δεδομένων και την ασφαλή ανάκτησή τους , το BitFlare δημιουργεί την κατάλληλη αλυσίδα φύλαξης δεδομένων μέχρι την στιγμή της οριστικής ολοκλήρωσης της διαδικασίας forensic computing και την εξαγωγή των δεδομένων . ΧΡΗΣΙΜΕΣ ΟΔΗΓΙΕΣ-ΠΛΗΡΟΦΟΡΙΕΣ Το BitFlare δεν απαιτεί καμία εγκατάσταση . Από την στιγμή που το CD ξεκινήσει να λειτουργία με την εκκίνηση του υπολογιστή το πρόγραμμα αυτόματα θα φορτώσει τα δεδομένα της μνήμης του υπολογιστή . Αυτό αποτρέπει την αλλοίωση δεδομένων στον σκληρό δίσκο . Όταν έχει ολοκληρωθεί η διαδικασία θα εμφανιστούν όλες οι απαραίτητες πληροφορίες που θα καθοδηγήσουν τον χρήστη . ΙΣΤΟΡΙΚΑ Είναι ένα ακόμη πρόγραμμα το οποίο σχεδιάστηκε από ειδικούς κατασκευαστές της E-Dscovery computer Forensic και κυκλοφόρησε τον Αύγουστο του 2010 για την ενίσχυση των μη εξειδικευμένων χρηστών . Για τον λόγο αυτο το BitFlare έχει προσαρμοστεί στις ανάγκες των χρηστών πληρώντας ένα πλήθος πλεονεκτημάτων που του επιτρέπουν να ξεχωρίζει από πολλά άλλα προιόντα της κατηγορίας του όπου ήταν και ο βασικός εξαρχής στόχος σύμφωνα με τον David Sun , πρόεδρο της Sun Block Systems ( εταιρεία κυκλοφορίας ) .
ΠΛΕΟΝΕΚΤΗΜΑΤΑ 1 . Εύκολη χρήση απο μη εξειδικευμένους χρήστες. 2 . Δεν διαθέτει άδειες χρήσης λογισμικού για την αγορά. 3 . Μπορεί να χρησιμοποιηθεί από ένα απεριόριστο αριθμό υπολογιστών ταυτόχρονα/παράλληλα. 4 . Εξασφαλίζει την ακριβή εξαγωγή επικυρωμένων αποτελεσμάτων. 5 . Η διατήρησή του και απόκτησή του είναι δωρεάν ( open source ). 6 . Δεν είναι απαραίτητη η εγκατάσταση ' υποβοητικών ' μικροεφαρμογών - παραμέτρων για την λειτουργία του.
ΒΡΑΒΕΙΑ Η εταιρεία κυκλοφορίας ( Sun Block Systems ) όσο και οι κατασκευαστές του BitFlare έχουν δεχθεί ήδη βράβευση από δύο σημαντικούς φορείς . Από το United States Patent και Trademark Office .
ΣΥΝΟΨΗ Προιον - BitFlare ν1.3.3 Εταιρεια - Sun Block Systems Ετος Πρωτης κυκλοφοριας - 2010 ( Αυγουστος )
ΒΙΒΛΙΟΓΡΑΦΙΑ 1 . http://www.bitflare.com/faq.html#LE1 2 . http://www.scmagazine.com/computer-forensics-for-the-rest-of-us/article/174586/ 3 . http://www.dfinews.com/product-releases/2010/03/bitflare-new-computer-forensics-and-e-discovery-tool
MailXaminer - SysTools (Γιώργος Τσαγανάκης, Παύλος Πιτσιάβας)
επεξεργασίαTo MailXaminer είναι forensic για διερεύνηση email όπου έχει αναπτυχθεί από την CoreDataTree και το κυκλοφόρησε 1/12/2013. Αργότερα, πήρε τα δικαιώματα η SysTools. Αυτή η εφαρμογή επεξεργάζεται δεδομένα των e-mails από Non-Mapi/Mapi desktop mail applications και Cloud mail υπηρεσίες .To MailXaminer επιτρέπει διαδικτυακή έρευνα για να αναλύσει ψηφιακά στοιχειά από e-mails όπως επαφες,καταχωρησεις, ημερολόγια κ.τ.λ.Τα οποία αποθηκεύονται σε μια βάση δεδομένων διαφορικών e-mails υπηρεσιών. Στην ουσία το MailΧaminer τρέχει σε όλα τα διαθέσιμα Windows OS, συμπεριλαμβανόμενων τα Windows XP,7,8 και 8.1.
Οι υπηρεσίες που βασίζονται σε web και desktop e-mail μπορούν να σκαναριστούν για ανάλυση με δυο τρόπους : Single File mode και Βulk File Mode
Στο Single File mode μπορεί να ελέγξει μονό ένα αρχείο την φορά , σε αντίθεση με τον Bulk File Mode το οποίο μπορεί να σκανάρει πολλά αρχεία διαφορετικού τύπου την φορα.Επίσης, σε περίπτωση που εντοπιστούν φθαρμένα αρχεία ή αρχεία που περιέχουν διαγραμμένα e- mails το MailXaminer τα επαναφέρει με μια διαδικασία σάρωσης e-mail.Επιπλεον,το στάδιο σάρωσης δεδομένων προσφέρει περιορισμένη μετάδοση στα δεδομένα του internet και φιλτραρίσματα στα e-mails.
Τα στοιχειά που θα ανακτηθούν και αναλυθούν μπορούν να εξαχθούν σε διάφορες μορφές ανάλογα με το είδος του αρχείου.Μπορεί να εξάγει e-mail, αρχεία πολυμέσων , αποτελέσματα αναζητήσεων ,σελιδοδείκτες κ.τ.λ .
Ανάλυση e-mail και συνημμένων. Τα e-mail που έχουν σαρωθεί και φορτωθεί στο λογισμικό μπορούν να προβληθούν με πολλούς τρόπους.Υπάρχει μια καρτέλα για κάθε είδος πληροφορίας του e-mail.Κάθε αρχείο ενός e-mail έχει τα εξής : θέμα , όνομα αποστολέα , όνομα παραλήπτη , ημερομηνίες , μέγεθος και MD5.
Με το MailXaminer μπορείς να δεις αναλυτικά κάθε κομμάτι του e-mail.Τα οποία είναι:
Οι λόγοι χρήσεις του MailXaminer είναι για την αποφυγή των εξής : κλοπή δεδομένων , άπατη ,διαρροή εμπιστευτικών πληροφοριών, εξαπάτηση και παραχάραξη.
iPhone Analyzer (Πύρκας Αλέξανδρος, Θυμνιόπουλος Κωνσταντίνος)
επεξεργασίαiPHONE ANALYZER
Το iphone Analyzer είναι ένα forensic tool κατασκευασμένο από τη Viaforensics το οποίο σας επιτρέπει να εξερευνήσετε και να ανακτήσετε τα δεδομένα σας από την iOS συσκευή σας. Είναι φτιαγμένο έτσι ώστε να λειτουργεί σε όλες τις τελευταίες εκδόσεις των iOS. Είναι ένα εργαλείο ασφαλείας το οποίο λειτουργει σε όλα τα μεγάλα λειτουργικά συστήματα. Με αυτό το εργαλείο μπορούμε να ανακτήσουμε διαγραμμένα αρχεία τα οποία δεν έχουν εκκαθαριστεί πλήρως απο τη συσκευή.
Το iphone Analyzer είναι νέο εργαλείο στην αγορά των iphone forensics. Ο ανοικτός κώδικας και οι χαμηλού κόστους εμπορικές επιλογές παρέχουν έναν αποδοτικό για την αξιοποίηση των δεδομένων του iphone με ασφάλεια ή μία καλή ξερεύνηση σε κρυμμένους φακέλους σε ένα iphone, itouch ή ένα ipad. Είναι βασισμένο σε μια ισχυρή βιβλιοθήκη της Java και παρέχει ένα επεκτάσιμο πλαίσιο για την ανάκτηση plist και sqlite αρχείων, χρησιμοποιώντας αντίγραφα ασφαλείας παραγόμενα από το iTunes. Αυτό το πλαίσιο μπορεί να χρησιμοποιηθεί μέσα από την πλούσια διεπαφή χρήστη, από την γραμή εντολών ή από την βιβλιοθήκη των Java για την χρήση σε άλλα προϊόντα. Ο τυπικός τρόπος λειτουργίας είναι να λειτουργήσει με ολόκληρα αρχεία αντιγράφων ασφαλείας από κατασχεμένους υπολογιστές. Σε κάθε περίπτωση ολόκληρο το δέντρο καταλόγου μπορεί να περιηγηθεί. Εναλλακτικά μεμονωμένα αρχεία μπορούν να μελετηθούν καθώς επίσης και να έχουν πρόσβαση στο πρωτόκολλο SSH, εάν η συσκευή είναι “σπασμένη”. Ακόμη υπάρχει υποστήριξη για τα αρχεία info.plist και manifest.plist, το addrees book, το ημερολόγιο, τα μηνύματα, τις εικόνες και πολλούς άλλους τύπους. Στην ουσία μέσα από ένα πλούσιο περιβάλλον μπορούν να ερευνηθούν, να αναλυθούν και να ανακτηθούν τα δεδομένα με εύκολο τρόπο. Ακόμη πρέπει να σημειωθεί ότι επειδή λειτουργεί από τα αντίγραφα ασφαλείας τα πάντα είναι ασφαλισμένα, και δεν γίνεται να υπάρξει καμία αλλαγή στα αρχικά δεδομένα.
Πιο συγκεκριμένα τα χαρακτηριστικά του iPHONE ANALYZER είναι τα παρακάτω :
Πηγές: https://viaforensics.com/resources/white-papers/iphone-forensics/iphone-analyzer/ , http://theevilbit.blogspot.gr/2013/01/backtrack-forensics-iphone-analyzer.html, http://hack-tools.blackploit.com/2014/01/iphone-analyzer-iphone-forensics-tool.html
Nmap (Δήμου Νικόλαος,Ευαγγελία Μωραγιάννη)
επεξεργασίαTo Nmap είναι ένα ελεύθερο και open source security scanner το οποίο χρησιμοποιείτε για τον έλεγχο του δικτύου και της ασφάλειάς του.
ΧΡΗΣΙΜΟΤΗΤΑ
ΛΕΙΤΟΥΡΓΙΑ
Χρησιμοποιώντας μια σειρά από IP πακέτα που στέλνονται και μετέπειτα συλλέγονται πληροφορίες από αυτή. Το Nmap καθορίζει ποια μηχανήματα είναι διαθέσιμα στο δίκτυο, ποιες υπηρεσίες οι hosts προσφέρουν, ποια λειτουργικά συστήματα βρίσκονται σε εξέλιξη, τι τύποι firewall είναι σε χρήση και πολλά άλλα ακόμη. Σχεδιασμένο για γρήγορη σάρωση αλλά και να τρέχει σε όλα τα σημαντικά λειτουργικά συστήματα. Το Nmap σαρώνει μεγάλα δίκτυα χωρίς πρόβλημα ενώ είναι διαθέσιμα σε Linux, Windows, Mac OSX, AmigaOS, SGISRIX, SOLARIS κτλ.
ΗΘΙΚΑ ΖΗΤΗΜΑΤΑ
Το Nmap είναι ένα εργαλείο το οποίο μπορεί να χαρακτηριστεί και κακόβουλο όπως πολλά εργαλεία στο είδος αυτό. Αλλά κυρίως χρησιμοποιείτε για λόγους προστασίας. Όπως η εύρεση τρωτού σημείου στο δίκτυο και η διόρθωσή του. Νομικά το Nmap πρέπει να χρησιμοποιείτε σε εξουσιοδοτημένα συστήματα. Στην περίπτωση που χρησιμοποιηθεί σάρωση σε μη εξουσιοδοτημένο port του συστήματος η ενέργεια αυτή θεωρείτε ως παράνομη και διώκεται. Συνοψίζοντας, το Nmap είναι: ένα ισχυρό, φορητό, δωρεάν και καλά υποστηριζόμενο εργαλείο διεθνούς φήμης και εύκολο στη χρήση του καθώς χρησιμοποιεί C, C++ και python.
Για την ιστορία
Το Nmap έχει 16 χρόνια από την δημιουργία του. Το Nmap βγήκε στην αγορά στις 1 Σεπτεμβρίου 1997.
Windows To Go (Νίκος Καραντάκης,Κώστας Κατσιούλας)
επεξεργασίαΜε τα Windows To Go, μπορείτε να δημιουργείτε αντίγραφο των Windows σε μια μονάδα δίσκου USB και, στη συνέχεια, να το χρησιμοποιείτε όπου και αν πάτε. Αν εργάζεστε από το σπίτι ή ταξιδεύετε, εισαγάγετε τη μονάδα δίσκου USB σε υπολογιστή με Windows 7, Windows 8, ή Windows 8.1 για να ανοίγετε και να χρησιμοποιείτε όλες τις εφαρμογές και τα αρχεία που χρειάζεστε για να κάνετε τη δουλειά σας. Τι είναι ένας χώρος εργασίας στα Windows To Go; Ένας χώρος εργασίας των Windows To Go αποτελείται από το λειτουργικό σύστημα Windows 7, Windows 8, ή Windows 8.1 σε μια μονάδα δίσκου USB, καθώς επίσης όλα τα αρχεία, τους φακέλους και τις εφαρμογές που αντιγράφηκαν όταν δημιουργήθηκε ο χώρος εργασίας.
Τα Windows To Go έχουν αρκετές σημαντικές διαφορές σε σύγκριση με μια τυπική εγκατάσταση των Windows 8 σε ένα σκληρό δίσκο ή solid-state drive.
Αρχικά, ο oδηγος ανίχνευσης αφαίρεσης:
Ως ένα μέτρο ασφαλείας που έχουν σχεδιαστεί για την πρόληψη της απώλειας δεδομένων, τα Windows σταματά ολόκληρο το σύστημα, αν η μονάδα δίσκου USB αφαιρεθεί, και τίθεται ξανά σε λειτουργία αμέσως όταν ο δίσκος είναι τοποθετημένος μέσα σε 60 δευτερόλεπτα από την αφαίρεση. Εάν η μονάδα δεν έχει τοποθετηθεί σε αυτό το χρονικό πλαίσιο, ο υπολογιστής τερματίζει μετά από αυτά τα 60 δευτερόλεπτα για να αποτρέψει ενδεχόμενες εμπιστευτικές ή ευαίσθητες πληροφορίες που εμφανίζονται στην οθόνη ή αποθηκεύονται στη μνήμη RAM.Είναι επίσης δυνατόν να κρυπτογραφηθει ένα Windows To Go drive με τη χρήση του BitLocker.
Άλλη μία διαφορά είναι η Διαμόρφωση του προγράμματος οδήγησης:
Η πρώτη φορά που τα W2G τοποθετουνται σε έναν συγκεκριμένο υπολογιστή, εγκαθιστά τα προγράμματα οδήγησης για το συγκεκριμένο υλικό και μπορεί να απαιτούνται πολλαπλές επανεκκινήσεις. Οι επόμενες εργασίες εκκίνησης πηγαινουν κατ 'ευθείαν στα Windows 8. Μπορείτε να δείτε μια ειδοποίηση όταν συνδέεστε για πρώτη φορά στην αφήγηση σας να. Κρατήστε τη μονάδα USB συνδεδεμένη, μόνο οταν το αφαιρέσετε μετά από το PC σας έχει κλείσει τελείως. Διαφορετικά, τα Windows σας για να πάει χώρο εργασίας θα μπορούσε να συντριβή και θα μπορούσατε να χάσετε δεδομένα. Ο χώρος εργασίας W2G δεν φορτώνεται στη μνήμη και χρησιμοποιείται από εκεί παραμένει στο δίσκο και είναι προσβάσιμο όπως μπορείτε να το χρησιμοποιήσετε. Windows 8 δημιουργεί επίσης ένα αρχείο σελιδοποίησης, εάν χρειάζεται, για τη μονάδα USB.
Επίσης,διαφορά έχει και το Windows Store:
Για τα Windows 8.1, το κατάστημα των Windows είναι ενεργοποιημένο και λειτουργεί από προεπιλογή. Στα W2G στα Windows 8, το κατάστημα των Windows δεν μπορεί να έχει πρόσβαση σε έναν υπολογιστή με Windows To Go εγκατάσταση. Εκείνοι που προσπαθούν να επισκεφθουν το κατάστημα θα λάβουν με ένα μήνυμα σφαλμα. Υπάρχει ένα αντικείμενο πολιτικής ομάδας για να διαχειριστεί αυτό.Χρησιμοποιώντας την πολιτική ομάδας,το Windows Store μπορεί να ενεργοποιησει για τα Windows To Go χώρο εργασίας (περιορίζεται σε ένα PC) και το κατάστημα εφαρμογών μπορεί να χρησιμοποιηθεί σε αυτόν το χώρο εργασίας.
Ακόμη, το W2G είναι ελεύθερο λογισμικό αλλά δεν μπορούν όλες οι μονάδες USB να χρησιμοποιηθούν για τη χρήση του καθώς Microsoft έχει δημιουργήσει ειδικές απαιτήσεις δοκιμών που η μονάδα USB πρέπει να πληρεί προκειμένου η συσκευή να υποστηρίζεται. Σήμερα υπάρχουν δέκα συσκευές USB που αναφέρονται, όπως υποστηρίζεται από τη Microsoft για τα Windows To Gο:
- IronKey Workspace W700
- IronKey Workspace W500
- IronKey Workspace W300
- Kingston DataTraveler Workspace(ο πρωτος δισκος υποστηριξης Windows To Go)
- SPYRUS Portable Workplace
- SPYRUS Secure Portable Workplace (με Hardware Κρυπτογράφηση)
- Spyrus Worksafe
- Spyrus Worksafe Pro
- SuperTalent Express RC4
- SuperTalent Express RC8
- Western Digital My Passport Enterprise
Τέλος, Η Microsoft ανακοίνωσε οτι τα Windows To Go έχουν αδειοδοτηθεί από Software Assurance, όπως και με τα Windows To Go δικαιώματα στα πλαίσια του Software Assurance, οι εργαζόμενοι μπορούν να χρησιμοποιήσουν τα Windows To Go και οποιοδήποτε αναβαθμηση των Windows με άδεια χρήσης ηλεκτρονικών υπολογιστών, καθώς και τον υπολογιστή στο σπίτι τους. Με μια νέα άδεια συσκευή σύντροφος του προγράμματος Software Assurance, οι εργαζόμενοι θα είναι σε θέση να χρησιμοποιούν τα Windows To Go για τις προσωπικές τους συσκευές από την εργασία.
ΠΗΓΕΣ:
http://en.wikipedia.org/wiki/Windows_To_Go (Wikipedia)
http://windows.microsoft.com/el-gr/windows-8/windows-to-go-faqn (Windows-Microsoft)
FTK Imager (Κατσίδης Ηλίας,Κορλός Πέτρος)
επεξεργασίαFTK Image έκδοση 3.2.0
Το FTK Imager Toolkit είναι ένα εμπορικό πακέτο λογισμικού ανάκτησης και απεικόνισης που διανέμεται από την AccessData. Το FTK Imager υποστηρίζει την αποθήκευση των εικόνων στον σκληρό Δίσκο σε μορφή αρχείων S.M.A.R.T ή EnCase’s, καθώς και στις πρώτες (dd) μορφές.Το FTK Imager είναι ένα εργαλείο εγκληματολογίας τo οποίo ο κύριος σκοπός του είναι να κάνει προεπισκόπηση ανακτήσιμα δεδομένα από ένα δίσκο οποιουδήποτε είδους. Με την τεχνολογία Isobuster να είναι ενσωματωμένη, το FTK Imager απεικονίζει CD σε συνδυασμό αρχείου ISO/CUE . Αυτό περιλαμβάνει επίσης πολλαπλή και ανοιχτή CD συνεδρία. Μπορεί επίσης να δημιουργήσει τέλεια αντίγραφα, που ονομάζονται εγκληματολογικές εικόνες, των εν λόγω δεδομένων. Αυτό το ισχυρό εργαλείο μπορεί να δημιουργήσει εγκληματολογικές εικόνες από τοπικούς σκληρούς δίσκους, δισκέτες, δίσκους Zip, CD και DVD, ολόκληρους φακέλους ή ακόμα και από μεμονωμένα αρχεία από διάφορες θέσεις εντός της συσκευή. Το γεγονός ότι μπορεί να εξάγει τα αρχεία και τους φακέλους από την εικόνα που δημιουργείται σημαίνει ότι η εφαρμογή αυτή μπορεί επίσης να ανακτήσει τα δεδομένα από μόνη της (σε ορισμένες περιπτώσεις). Ως εκ τούτου, μπορεί να κάνει περισσότερα εκτός από απλός να κάνει προεπισκόπηση δεδομένων, προετοιμάζει περίπλοκες διαδικασίες ανάκτησης κάτι για το οποίο συνήθως χρησιμοποιούνται άλλα πιο εξελιγμένα προγράμματα. Παρόλα αυτά ο κύριος σκοπός του παραμένει η Απεικόνιση Δίσκων. Όταν χρησιμοποιείται το FTK Imager για να ανακτηθεί μία εικόνα από τον σκληρό δίσκο ενός υπόπτου πρέπει να είναι βέβαιο ότι χρησιμοποιείται μια συσκευή εγγραφής-κλειδώματος. Αυτό εξασφαλίζει ότι το λειτουργικό σας σύστημα δεν μεταβάλλει το σκληρό δίσκο του υπόπτου όταν συνδέετε τη μονάδα στον υπολογιστή σας. Αν και είναι ένα ισχυρό εργαλείο δεν είναι ακριβώς τόσο για τους περιστασιακούς χρήστες, αλλά για εμπειρογνώμονες εγκληματολογίας ή επαγγελματίες που εργάζονται στον τομέα της ανάκτησης δεδομένων, το interface του είναι απλό, έξυπνο και εύκολο να λειτουργήσει. Πρόσθετες δυνατότητες και λειτουργίες, όπως τη δυνατότητα να δημιουργίας hashe αρχείο ή τοποθέτηση των εικόνων που έχουν ήδη δημιουργηθεί στο δίσκο. Τέλος, ακόμη και αν το AccessData FTK Imager μοιάζει με ένα επαγγελματικό εργαλείο που δημιουργήθηκε μόνο για σοβαρές έρευνες και προηγμένες εγκληματολογίας διαδικασίες, είναι πραγματικά κατάλληλο για ένα ευρύτερο φάσμα των τύπων των χρηστών και των αναγκών.
Πλεονεκτήματα Καθαρά interface. Μπορεί επίσης να δημιουργήσει hashes αρχείο. Επιτρέπει την εξαγωγή αρχείων και φακέλων από την εικόνα δίσκου. Επιτρέπει την τοποθέτηση εικόνων που έχουν ήδη δημιουργηθεί στο δίσκο.
Μειονεκτήματα Η δημιουργία εικόνων δίσκου μπορεί να διαρκέσει λίγο, ανάλογα με το μέγεθος του δίσκου και άλλες πτυχές. AccessData Όμιλος με μια ματιά
Λίγα λόγια για την Access Data. Ιδρύθηκε: 1987 Έδρα: Menlo Park, Καλιφόρνια ΗΠΑ Γραφεία: Ουάσιγκτον, Νέα Υόρκη, Χιούστον, Σαν Φρανσίσκο Διεθνή Γραφεία: Ηνωμένο Βασίλειο και την Αυστραλία Εργαζόμενοι: 500 + Κέντρα Εκπαίδευσης: Αυστραλία, Γερμανία, Ιαπωνία, Ολλανδία. Ηνωμένο Βασίλειο, Ηνωμένες Πολιτείες Εκπαίδευση Συμμετέχοντες: περισσότερους από 6.000+ ετησίως Worldwide Πελάτες: 100.000+
Η Τεχνολογία AccessData παρέχει σε πραγματικό χρόνο, γνώση, την ανάλυση, την αντιμετώπιση και επίλυση των περιστατικών δεδομένων, συμπεριλαμβανομένων των απειλών στον κυβερνοχώρο, εσωτερικές απειλές, κινητά και BYOD κίνδυνο, GRC (Διακυβέρνηση Risk & Compliance) και τα γεγονότα eDiscovery. Πάνω από 130.000 χρήστες σε εταιρείες, της επιβολή του νόμου, κυβερνητικές υπηρεσίες, και δικηγορικά γραφεία σε όλο τον κόσμο βασίζονται σε λογισμικό της AccessData για την προστασία τους από τους κινδύνους που υπάρχουν στο σημερινό περιβάλλον του συνεχούς συμβιβασμού. Σε μια εποχή συνεχούς συμβιβασμού, η πρόληψη από μόνη της δεν θα λειτουργήσει. Συνεχής συμβιβασμός απαιτεί συνεχείς, Αυτοματοποιημένη Ανάλυση Περιστατικών (CAIRTM), ανίχνευση συμβιβασμού, κυβερνοεπιθέσεις και την προηγμένη επίμονη απειλή (APT), όπως συμβαίνει και για την επίλυσή απειλών μέσω ολοκληρωμένων πληροφοριών.
Πηγές: http://accessdata-ftk-imager.software.informer.com/3.1/ http://accessdata.com/ http://www.gfi.com/blog/top-20-free-digital-forensic-investigation-tools-for-sysadmins/
NetSleuth (Καρούμπα Γεωργία,Μητακίδης Δημήτρης)
επεξεργασίαLantern by Katana ( Ντίνος Χρήστος, Πολίδης Αλέξανδρος, Τσιούγκος Ιώαννης)
επεξεργασίαΤο Lantern αναπτύσσεται από την εταιρία Katana Forensics. Είναι ένα λογισμικό για mobile Forensics που παρέχει στον χρήστη μια λεπτομερή εικόνα ενός κινητού τηλεφώνου με λειτουργικό iOS ή Android. Μπορεί επίσης ο χρήστης να ανακτήσει διαγραμμένα μηνύματα κειμένου, διαγεγραμμένο ιστορικό από τον Chrome και το ιστορικό από τις συνδέσεις σε WIFI δίκτυα. Ο στόχος του λογισμικού Lantern είναι να αποσπά αρχεία και δεδομένα από μια κινητή συσκευή χωρίς να αλλοιώνονται τα δεδομένα. Η εταιρία Katana Forensics βρίσκεται στην Αμερική που δημιουργεί προγράμματα Forensics για όλα τα επίπεδα της δίωξης του εγκλήματος. Ο κύριος στόχος τους είναι να παρέχουν σε υπηρεσίες επιβολής νόμου, στρατό και ιδιωτικές ερευνητικές εταιρίες τα καλύτερα εργαλεία για να πάρουν τις απαντήσεις που ψάχνουν. Οι υπηρεσίες που προσφέρουν είναι διαθέσιμες σε όλον τον κόσμο χάρις στους δορυφόρους τους.
Η πιο πρόσφατη έκδοση του λογισμικού (4.0) προϋποθέτει να έχουμε έναν υπολογιστή Macintosh με έκδοση λογισμικού OS X 10.8 ή νεότερο και να έχει ελάχιστη μνήμη RAM 8GB (με ιδανική μνήμη 16GB) για να λειτουργήσει σωστά.
Η iOS/Android κινητή συσκευή πρέπει να είναι εν μέρη φορτισμένη και να συνδεθεί μέσω USB με τον υπολογιστή. Αναγνωρίζεται αυτόματα μέσα στα επόμενα δευτερόλεπτα. Το Lantern ενεργοποιεί την κινητή συσκευή χωρίς να αφήνει ίχνη μέσω των οποίων ο ιδιοκτήτης μπορεί να καταλάβει ότι αποσπάστηκαν στοιχεία από το κινητό του. Στη συνέχεια δημιουργούμε ένα "New Case" και τρέχουμε την εντολή "Acquire" η οποία συλλέγει τα απαραίτητα δεδομένα από την συσκευή σε σχετικά γρήγορο χρόνο. Έπειτα μπορούμε να αποσυνδέσουμε την συσκευή και να τρέξουμε την εντολή "Report" η οποία δημιουργεί μία αναλυτική αναφορά στη μορφή που εμείς επιλέγουμε (π.χ. PDF, XLS, DOC κ.λ.π.). Η αναφορά που συλλέγουμε από το Lantern περιέχει πληροφορίες όπως: Ημερολόγια, σημειώσεις, κλήσεις, μηνύματα τηλεφωνητή, επαφές, γραπτά μηνύματα, σελιδοδείκτες και ιστορικό των περιηγητών του διαδικτύου, φωτογραφίες και άλλα.
Πολύ σημαντικά χαρακτηριστικά της εφαρμογής που βοηθάνε στην έρευνα είναι:
- Ιστορικό συνδέσεων WiFi και τοποθεσίες των δικτύων αυτών. Αυτή η λειτουργία συλλέγει στοιχεία για τις τοποθεσίες στις οποίες βρέθηκε η συσκευή που βρίσκεται υπό έρευνα και σε ποια δίκτυα συνδέθηκε.
- Παρέχει κλήσεις και γραπτές συζητήσεις που έγιναν μέσω της εφαρμογής “Skype". Αυτό μας δίνει την δυνατότητα να ανατρέξουμε και να ελέγξουμε οποιαδήποτε στιγμή τις συζητήσεις του υπόπτου με τρίτους.
- Δυνατότητα εύρεσης και αναδημιουργίας διαγεγραμμένων αρχείων από τον χρήστη. Κυρίως εικόνες, αρχεία ήχων και βίντεο που μπορούν να μας παρέχουν κρίσιμες πληροφορίες.
- Συλλογή πληροφοριών από το λογαριασμό του υπόπτου στο "Facebook"(συζητήσεις και αρχεία που έχουν ληφθεί ή σταλεί).
- Πρόσβαση σε λογαριασμούς "Gmail" ή "Yahoo Mail".
Το Lantern είναι ένα ολοκληρωμένο πρόγραμμα για την εξαγωγή πληροφοριών από iOS ή Android συσκευές. Προσφέρεται με έκπτωση σε κυβερνητικές υπηρεσίες και υπάρχει επίσης δυνατότητα αγοράς πολλών κλειδιών ενεργοποίησης. Υπάρχουν πολλά παρόμοια προγράμματα αλλά το συγκεκριμένο είναι αρκετό για να διεξαχθεί μια πλήρης έρευνα. Επίσης λόγο της διάθεσης του λογισμικού στην Βόρεια Αμερική, στην Αυστραλία και στην Ευρώπη χρησιμοποιείται από πολλές Κυβερνητικές Υπηρεσίες και από τις Fortune 500 εταιρίες.
Πηγές: https://katanaforensics.com/products , http://www.dfinews.com/product-releases/2011/12/katana-forensics-announces-lantern-lite , https://viaforensics.com/resources/white-papers/iphone-forensics/lantern/, http://www.firewire-revolution.de/veyton/index.php?page=product&info=993
OSFMount by Passmark Software (Κωνσταντίνος Κρικέλης ,Νίκος Κοπάνας )
επεξεργασίαTULP2G(Κωτούλας,Τζιλίνης)
επεξεργασίαΤο TULP2G είναι ένα εργαλείο το οποίο αντλεί δεδομένα τα οποία είναι αποθηκευμένα σε ηλεκτρονικές συσκευές και τα αποκωδικοποιεί .Το πλαίσιο αυτό περιέχει μια δομημένη αρχιτεκτονική με plugins τα οποία είναι επικοινωνία, πρωτόκολλο,μετατροπή και την εξαγωγή.Αυτά τα plugins έχουν ως στόχο να πάρουν δεδομένα να τα αποκωδικοποιήσουν και να εξάγουν αποτελέσματα τα οποία βοηθάνε στην δημιουργία σχεδιαγραμμάτων
Τα δεδομένα που παρήχθησαν αποθηκεύονται σε αρχεία XML και συνοδεύονται από πληροφορίες τα οποία βοηθάνε να εξυπηρετήσουν σε κάποιο πιθανό έλεγχο. Τα αρχεία αυτά μπορούν επίσης να χρησιμοποιηθούν για να ρυθμίσουν το πλαίσιο σε διαφορετικές γλώσσες .Τα plugins της μετατροπής και της εξαγωγής μπορεί επίσης να χρησιμοποιηθούν για την αποκωδικοποίηση των δεδομένων . Το TULP2G υλοποιείται σε C # χρησιμοποιώντας .NET1.1 και κυκλοφόρησε στο πλαίσιο μιας άδειας BSD.
Communication plugins
Αυτά τα plugins χειρίζονται το χαμηλότερο επίπεδο της επικοινωνίας την δημιουργία και το κλείσιμο των συνδέσεων καθώς και την αποστολή και την παραλαβή των αρχικών δεδομένων.Λόγω των παραπάνω συνδέονται απευθείας με εξωτερικές συσκευές η χαμηλού επιπέδου λογισμικό.Παραδείγματα αυτών των plugins είναι η σειριακή επικοινωνία plug-in για την πρόσβαση
συσκευών μέσω RS232, υπερύθρων ή Bluetooth, και η plug-in επικοινωνία PC / SC για
πρόσβασης της κάρτας chip μέσω της τυποποιημένης διεπαφής PC / SC.
Protocol plugins
Το plugin πρωτοκόλλου έχουν άμεση συσχέτιση με τα communication plugin. Αυτά τα plugins δεν έχουν την δυνατότητα απευθείας σύνδεσης του hardware αλλά μπορούν να εφαρμόσουν ένα πρωτόκολλο το οποίο να παίρνει και να στέλνει δεδομένα από μια συσκευή σύμφωνα με το πρωτόκολλο που εφαρμόζει. Παραδείγματα από το πρωτόκολλο plug-ins είναι το
Πρωτόκολλο AT_ETSI plug-in για την εξαγωγή δεδομένων από τα κινητά τηλέφωνα και την κάρτα SIM και το πρωτόκολλο plug-in για την εξαγωγή δεδομένων από το chip κάρτες SIM.
Conversion plugins
Μια μετατροπή plugin λαμβάνει τα δεδομένα που αποθηκεύονται από το πλαίσιο, που προέρχονται από τα εκθέματα,
και είναι σε θέση να μετατρέψει συγκεκριμένους τύπους δεδομένων. Μετατροπή plugins μπορεί να αλυσοδεθεί προκειμένου
να υποστηρίξει διαδοχική αποκωδικοποίηση . Ο μηχανισμός αυτός υποστηρίζεται προς
μεγιστοποίηση της επαναχρησιμοποίησης του κώδικα και την αποφυγή πολύπλοκων διαδικασιών συντήρησης λογισμικού. Παραδείγματα
μετατροπής plug-ins είναι η μετατροπή plug-in SIM για τη μετατροπή χαμηλoύ επιπέδου δεδομένων SIM
σε δεδομένα XML τα οποία μπορούν να δώσουν κατευθείαν στοιχειά.
Export plugins
H εξαγωγή plugin sστέλνει όλα τα δεδομένα που είναι αποθηκευμένα από το πλαίσιο και επιλέγεται από τον χρήστη μέσω των ενεργοποιημένων μετατροπών plugin.Εάν τα δεδομένα μετατρέπονται με ένα συγκεκριμένο conversion plugin , το export plugin αντικαθιστά τα αρχικά δεδομένα με τα τροποποιημένα. Όταν τελειώσουν όλες οι μετατροπές δεδομένων το export plugin μετατρέπει τα δεδομένα των αποτελεσμάτων σε αρχεία μορφής XML,HTML, PDF η DOG.Ένα παράδειγμα μιας εξαγωγής plug-in είναι το plug-in για την εξαγωγή XML η δημιουργία XML ,αλλά και δημιουργία HTML, χρησιμοποιώντας XSL17 stylesheets.
Πηγες:http://www.utica.edu/academic/institutes/ecii/publications/articles/B4A85456-BE75-87F8-E45EB9C6082FDF4E.pdf http://tulp2g.sourceforge.net/
DumpIt (Ιωαννίδης Γιώργος, Στέφος Βασίλης)
επεξεργασίαΤο DumpIt, συγκαταλέγεται στην κατηγορία των "forensics", τα οποία με βάση την επιστήμη των υπολογιστών βοηθούν στον εντοπισμό,την ανάκτηση,την ανάλυση,τη διατήρηση και την παρουσίαση γεγονότων και απόψεων που αφορούν τίς ψηφιακές πληροφορίες ενός υπολογιστή, έτσι ώστε αυτά να γίνουν δεκτά στην διεξαγωγή δίκης,σαν στοιχεία κάποιου εγκλήματος.
Έχει δημιουργηθεί από τον Matthieu Suiche που εργάζεται για την Moonsols, και έχει τη δυνατότητα να δημιουργεί αντίγραφα μνήμης από ηλεκτρονικούς υπολογιστές με λειτουργικό Windows, σε περίπτωση που ο υπολογιστής τεθεί σε μη λειτουργία από μη ασφαλείς παράγοντες όπως κλείνοντας τον υπολογιστή τραβώντας το καλώδιο του από την πρίζα.Αυτό επιτρέπει στις αρχές να έχουν την δυνατότητα εξαγωγής στοιχείων από ηλεκτρονικούς υπολογιστές πιθανών εγκληματιών έτσι ώστε να χρησιμοποιηθούν αργότερα στο δικαστήριο.
Είναι μία σύντηξη από win32dd και win64dd σε ένα εκτελέσιμο αρχείο, και είναι ιδιαίτερα εύκολο στην χρήση του,και αυτό είναι που κάνει το Dumpit τόσο ιδιαίτερο σαν εφαρμογή. Το μόνο που χρειάζεται κανείς είναι ένα USB Flash Drive και πρόσβαση στον ηλεκτρονικό υπολογιστή από τον οποίο θέλει να αποκτήσει το αντίγραφο μνήμης. Αφού τοποθετηθεί το USB Flash Drive στον επιθυμητό υπολογιστή, με το άνοιγμα του εκτελέσιμου αρχείου που φέρει το όνομα DumpIt, ανοίγει μια γραμμή εντολών στην οποία με την εισαγωγή του λατινικού χαρακτήρα "Y", ξεκινά η ανάκτηση δεδομένων και αρχείων της μνήμης του υπολογιστή, και στη συνέχεια ένα ακατέργαστο αρχείο δημιουργείται στην τοποθεσία που βρίσκεται το DumpIt, με όλα τα δεδομένα διαθέσιμα στον χρήστη. Το DumpIt όμως είναι εργαλείο μόνο για ανάκτηση δεδομένων και όχι για την ανάλυση τους. Για την ανάλυση των αποκτημένων δεδομένων είναι απαραίτητη η χρήση κάποιου προγράμματος ανάλυσης.
NetworkMiner (Δημήτρης Μουτσίκας, Κωνσταντίνος Σαμιώτης)
επεξεργασίαΤο NetworkMiner από την Netresec είναι ένα εργαλείο Forensic για την ανάλυση δικτύων (NFAT) σχεδιασμένο για Windows. (αλλά λειτουργεί επίσης σε Linux / Mac OS X / FreeBSD). Το NetworkMiner μπορεί να χρησιμοποιηθεί ως ένα παθητικό εργαλείο sniffing στο δίκτυο προκειμένου να εντοπίσει λειτουργικά συστήματα, συνεδρίες, ονόματα κεντρικών υπολογιστών, να ανοίξει ports κ.λπ., χωρίς όμως να φορτώνει το δίκτυο. Το NetworkMiner συλλέγει δεδομένα για υπολογιστές του δικτύου και όχι δεδομένα σχετικά με την κίνηση που υπάρχει στο δίκτυο. Υποστηρίζετε ακόμα παθητικά η λειτουργία os fingerprinting μέσω τον βάσεων δεδομένων απο Satori and p0f και λειτουργία WiFi sniffing μέσω AirPcap.
Το NetworkMiner μπορεί να εξάγει αρχεία και πιστοποιητικά που μεταφέρονται μέσω του δικτύου από την ανάλυση ενός αρχείου PCAP. Αυτή είναι μια λειτουργία που μπορεί να χρησιμοποιηθεί για την εξαγωγή και την αποθήκευση αρχείων πολυμέσων (όπως αρχεία ήχου ή βίντεο ή ποιες σελίδες επισκέπτεστε ) που υπάρχουν σε ένα δίκτυο. Υποστηριζόμενα πρωτόκολλα για την εξαγωγή αρχείων είναι FTP, TFTP, HTTP, SMB and SMTP.
Τα πιστοποιητικά του χρήστη (usernames και passwords) για τα υποστηριζόμενα πρωτόκολλα εμφανίζονται στην καρτέλα "Διαπιστευτήρια". Η καρτέλα διαπιστευτήρια μερικές φορές δείχνει επίσης πληροφορίες που μπορεί να χρησιμοποιηθεί για να προσδιορίσει ένα συγκεκριμένο πρόσωπο, όπως λογαριασμούς χρηστών για δημοφιλείς online υπηρεσίες όπως το Gmail ή το Facebook.
Υπάρχει επίσης μια εμπορική έκδοση του NetworkMiner. Η εμπορική έκδοση ονομάζεται NetworkMiner Professional και διαθέτει επιπλέον χαρακτηριστικά όπως:
- Ανεξάρτητο πρωτόκολλο αναγνώρισης port (PIPI)
- Εξαγωγή αποτελεσμάτων σε CSV / Excel
- Επεξεργάσιμο αρχείο εξόδου καταλόγου
- Geo IP εντοπισμού
- Υποστήριξη χρωματισμού κεντρικού υπολογιστή
- Εντολή γραμμή υποστήριξης scripting
- Φορητή εφαρμογή USB
Το NetworkMiner είναι ένα εργαλείο forensic που έγινε δημοφιλές από την πρώτη έκδοση του το 2007 και χρησιμοποιείται σήμερα από εταιρείες και οργανισμούς σε όλο τον κόσμο.
Πηγή: http://www.netresec.com/?page=Networkminer
Belkasoft(Δήμητρα\Παρασκευή Λουκά , Χρήστος Kατσίκας)
επεξεργασίαBelkasoft Γενικές Πληροφορίες
To Belkasoft είναι ένα forensic λογισμικό που είναι διαθέσιμο τόσο για υπολογιστές όσο και για κινητά. Αναπτύχθηκε το 2002 η εταιρία που το κατασκεύασε εχει φτιάξει και αλλά software που επικεντρωνονται και απευθύνονται σε ερευνητές,ειδικούς πληροφορικής, ατομα που αχολουνται με δικαστικες υποθεσεις ,ασφαλεια καθως και για τον στρατό. Οσο αφορα την χρηση είναι ευκολο και δεν χρειαζονται ιδιαιτερες ικανοτητες για να λειτουρησει .Κυκλοφορει σε 5 εκδοσεις ( Chat Analyzer, Chat & Social Analyzer, Professional, and Ultimate).Επισης αξιζει να σημειωσουμε ότι υπαρχει και edition portable και μπορει να λειτουρησει και να εκτελεστει σε ένα usb στυλο χωρις καμια εγκατασταση απλα με μια απλη συνδεση με την συσκευη.Με την μονη διαφορα ότι η φορητη εκδοση είναι διαθεσιμη μονο για συγκεκριμενες περιπτωσεις (στρατο,αστυνομια,επιθεωρητες,ντετεκτιβ ).Διατειθεται η εκδοση 2014 αλλα εάν καποιος δεν είναι διατεθειμενος να το αγορασει παρεχει και ένα πληθος από δωρεαν εργαλεια forensics.Ειναι ένα διαδεδομενο εργαλειο που χρησιμοποιειται από χιλιαδες ανθρωπους,κυβερνηση,ιδιωτικους οργανισμους , fbi , αμερικανικο στρατο ακομα και από την αστυνομια της Γερμανιας. Δυνατοτητες
Οι δυνατοτητες που παρεχει είναι αρκετες και το καθιστουν ένα αξιοπιστο εργαλειο.Καθιστα ευκολη την δυνατοτητα αναζητησης,αναλυσης,αποθηκευσης και αποστολης στοιχειων αποδειχτικων που βρισκονται ειτε στον σκληρο δισκο ειτε στην μνημη (RAM) του υποπτου. Βοηθα τους ερευνητες να εντοπιζουν να και να αναλυουν εξισου ευκολα δεδομενα που βρισκονται στο ιστορικο του περιηγητη,σε ένα ηλεκτονικο ταχυδρομειο,σε ομοτιμα δικτυα ανταλλαγης δεδομενων (peer to peer),σε game chats,κρυπτογραφημενα αρχεια ,εικονες βιντεο καθως και αρχεια που βρισκονται στο συστημα η στην registry(μητρώο).
Ειδικοτερα
Μας παρεχει την δυνατοτητα να ανιχνευσουμε την πλαστοτητα δηλαδη να βρουμε φωτογραφιες που εχουν υπεισελθει επεξεργασια η τυχον τροποποιησεις. Εφαρμοζοντας ενα εύρος από αλγοριθμους ανάλυσης της ψηφιακής εικόνας .Το λογισμικο εξαγει ένα μοναδικο κωδικο που αξιολογεί κατά ποσο αυθεντική είναι μια φωτογραφια.Επισης μια ακόμη λειτουργια που παρεχει είναι η εξαγωγή πληροφοριών από κοινωνικα δικτυα όπως το Facebook αντλώντας στοιχεια που είναι δημοσια στο προφιλ.Αυτη η λειτουργεια καθιστα δυνατη την αντιγραφη των σελιδων του συγκεκριμενου κοινωνικου δικτυου στον κεντρικο υπολογιστη τα οποια μπορουν να χρησιμοποιηθουν ως αποδειχτκα στοιχεια για ερευνες .Aυτη η λειτουργία παρέχεται από το δωρεαν tool Facebook Profile Saver.Επισης στην ultimate version παρεχει την δυνατοτητα της ανίχνευσης αυτοματα προσώπων καθως και πορνογραφικού υλικού που πιθανον υπάρχει σε μια εικονα η ένα βιντεο.Tο λογισμικο σαρωνει τον δισκο δημιουργώντας αυτοματα μια λιστα απο εικονες και αρχεια βιντεο που περιεχουν πορνογραφικο υλικο ενω μετατρεπει τα βιντεο σε στιγμιοτυπα εξαγωντας καρε καρε.Επιπλέον η εξαγωγή συνομιλίων από το Skype είναι μια επίπονη και δυσκολη εργασια αναλογα με τα εργαλεία που έχουμε στην διαθεση μας με το συγκεκριμενο λογισμικο η διαδικασία γινεται ακομα πιο ευκολη.Προσφέρει στους ερευνητές ένα οικονομικο εργαλείο επιτρέπωντας στους χρηστες να εξαγουν να αναλυουν αρχεια καταγραφης ,ιστορικο συνομιλιων ενώ τους δινει την δυνατοτητα να εχουν προσβαση στην βαση δεδομενων των επαφων υποστηριζοντας ολες αυτές τις λειτουριες σε μια πληθωρα γνωστων εφαρμογων (Skype, msn live messenger, yahoo) και αλλα messenger σε Windows, Linux, Mac OS. Τελος παρεχει την δυνατοτητα της προσβασης σε διεγραμμένες συνομιλιες ανακτώντας ετσι διεγραμμενα η ακομα και κατεστραμμενα στοιχεια.
Παραπομπές http://www.forensicswiki.org/wiki/Belkasoft http://forensic.belkasoft.com/en/bec/en/Evidence_Center.asp
MacForensicsLab(Γαλανής,Σαχπεκίδης )
επεξεργασίαΓενικά
Το MacForensicsLab™ είναι μια ολοκληρωμένη σουίτα forensics και εργαλείων ανάλυσης και ανήκει στην εταιρεία SubRosaSoft Inc.
Δυνατότητες
Συνδυάζει την δύναμη των πολλών επιμέρους λειτουργίων σε μία εφαρμογή, προκειμένου να παράσχει μια ενιαία λύση για τους εκπροσώπους του νόμου και για τις ψηφιακές εγκληματολογικές έρευνες.
Παρέχει την δυνατότητα καταγράφης παντός είδους πληροφορίας (ενεργειών,log files,σημειώσεων κλπ) που βρέθηκαν κατα την διάρκεια της έρευνας και να τα εξάγει με αναλυτικό τρόπο σε μαι αναφορά της μορφης html,τόσο κατά την διάρκεια οσό και στο τέλος της ερεύνας. Γίνεται προσεκτική δημιουργία των διπλότυπων με υψηλή ταχύτητα . Τα αντίγραφα ασφαλείας γίνονται με ολοκληρωμένο τρόπο όπως τον ενσωματομένο κατακερματισμό,την έξυπνη διαχείριση σφαλμάτων μέσων ενημέρωσης του χρήστη όπου επιτρέπει τη δημιουργία των διπλών εικόνων εξόδου και αρχεία με κωδικοποίηση hash.
Η αναζήτηση μέσω λέξης κλειδιού(keyword) και η κατηγοριοποίηση μπορεί να πραγματοποιηθεί σε διάφορες γλώσσες και περιλαμβάνει του υπολογισμούς κλειδιών όπως τα MD5, SHA1 και SHA256 . Αυτό επιτρέπει την αναζήτηση αρχείων μέσα απο συσκευές,φακέλους αρχείων αλλα και συγκεκριμενα αρχεία.
Επίσης έχει την δυνατότητα της αναζήτησης και ανάληψης διεγραμμένων αρχείων.
Παρουσίαση user interface εφαρμογής
Κύριο παράθυρο Το κύριο παράθυρο παρέχει τον ερευνητή μια λεπτομερή εικόνα του συστήματος αρχείων και τις συσκευές που είναι συνδεδεμένες στον υπολογιστή,και μπορεί αν διαχειρηστεί ενα μεγάλο εύρος τύπων αρχείων πολυμέσων και εικόνων.
Παράθυρο καταγραφής συμβάντων Λεπτομερείς καταγραφές διατηρούνται από κάθε βήμακατά τη διάρκεια μιας έρευνας για να στηρίξει την συλλογή στοιχείων ώστε να παρουσιαστούν αργότερα ως αποδεικτίκα στοιχεία.
Το "Παράθυρο καταγραφής συμβάντων" παρέχει τον ερευνητή πλήρη στοιχεία της υπόθεσης. Ολες οι κινήσεις παρουσιάζοντε και καταγράφοντε λεπτομερώς. Παράθυρο Forensics Σε αυτο το σημείο η εφαρμογή αποθηκέυει τα στοιχεία ουτως ώστε να γίνεται ανάλυση και έρευνα χωρίς την φυσική πρόσβαση στην συσκευή που θέλουμε να ερευνήσουμε,έτσι παρέχει την δυνατότητα καταγραφής είκονων δίσκων σε μορφη iso,δεδομένα απο οπτικούς δίσκους και άλλα μέσα αποσπώμενου τύπου,την απευθείας αντιστοίχηση με αλγόριθμους κλειδιών MD5, SHA1 και SHA256.
Παράθυρο κατηγοριόποιησης δεδομένων Εδω γίνεται πλήρη καταγραφεί των πληροφοριών των αρχείων όσο και της θέσης τυς στους καταλογους.Αυτό γίνεται με την μορφή μιας αυτόματης καταγραφής αρχείων τύπου bookmark.Μπορεί να δημιουργηθεί και κατάλογος καταγραφών. Παράθυρο ανάλυσης Forensics
Εδώ ο αναλυτής έχει την δυνατότητα να ερευνήσει τα δεδομένα των αρχείων σε μορφή ASCII,Hex αλλα και φυσική μορφή,όπως επικεφαλίδεςαρχεία ήχου η εικόνες ,κειμένου κλπ. Η ανάλυση γίνεται απο κομμάτι σε κομμάτι και απο σελίδα σε σελίδα. Επίσης η θέση τους καταγράφετε σε bookmark για την διευκόληνση της εντόπισης της θέσης απο τον ερευνητή.
Παράθυρο ανάκτησης δεδομένων
Άλλη μια λειτουργία είναι αυτή της ανάκτησης διεγραμμένων αρχείων και υπάρχουν 2 επιλογές α)απευθείας ανάκτηση του αρχείου β)ευρέση της θέσης του διεγραμμενου αρχείου. Υποστηρίζοντε τύποι όπως iso,UNIX dd, Drive Genius™ κλπ
Άλλες λειτουγίες Dual Boot DVD Διαχείρηση δίσκων (root,static file system,volume status database κλπ) Εκκαθάριση του οδηγού Σάρωση του διάυλου των συσκευών Σύνδεση και αποσύνδεση εικονικών δίσκων Online έλεγχος της έκδοσης Πρόσβαση στο τερματικό
Τρόποι προσέγγισης υπόπτου
Αυτό γίνεται συνληθως με 2 τρόπους α)φυσική παρουσία του ερευνητή όπου το εγκαθιστά ο ίδιος β)μέσω της εξαπάτησης του θύματος παρέχοντας του ενα live usb που είναι προγρμματισμένο ώστε αθόρυβα να εγκαταστήσει το υλικό
Παραπομπή: http://www.forensicswiki.org/wiki/Tools
Παραπομπή: http://www.forensiccomputers.com/software/subrosasoft-macforensicslab.html
Παραπομπή: http://www.forensicswiki.org/wiki/MacForensicsLab
MOBILedit! Forensic (Παπουτσάκης Στέλιος, Νέδος Γιάννης)
επεξεργασίαΤα πρώτα εγκλήματα με τη χρήση ηλεκτρονικού υπολογιστή καταγράφηκαν το 1978 στη Florida και σχετίζονταν με μη εξουσιοδοτημένη επεξεργασία και διαγραφή δεδομένων. Από τότε και μέχρι το 1990 οι περισσότερες εγκληματολογικές έρευνες στον ψηφιακό κόσμο, περιορίζονταν σε πρακτικές που κατέστρεφαν τα πρωτότυπα δεδομένα κατά τη διάρκεια της επεξεργασίας τους.
Αυτή η πρόκληση αντιμετωπίστηκε με εξειδικευμένα ψηφιακά εργαλεία, που αφορούσαν αρχικά σε ηλεκτρονικούς υπολογιστές και στη συνέχεια φορητές συσκευές.
Ως φορητή συσκευή ορίζεται οποιαδήποτε ψηφιακό μέσο έχει εσωτερικό αποθηκευτικό χώρο και δυνατότητες επικοινωνίας, όπως για παράδειγμα κινητά τηλέφωνα, Smartphones, υπολογιστές παλάμης, GPS, Tablets, κλπ.
Παρόλο που η χρήση κινητών τηλεφώνων σε εγκλήματα ήταν γνωστή για χρόνια, η εγκληματολογική έρευνα σε φορητές συσκευές είναι ένας σχετικά καινούριος τομέας, με τις ρίζες του στις αρχές του 2000.
Η αύξηση των φορητών συσκευών στην αγορά και ιδιαίτερα των Smartphones, δημιούργησε την ανάγκη εξειδικευμένων ψηφιακών εργαλείων για την εγκληματολογική έρευνα τους, μιας και τα ήδη υπάρχοντα εργαλεία που χρησιμοποιούνταν ως τότε για τους ηλεκτρονικούς υπολογιστές δεν μπορούσαν να χρησιμοποιηθούν σωστά σε φορητές συσκευές.
Η πρώτη εξειδικευμένη εφαρμογή εγκληματολογικής έρευνας για κινητά τηλέφωνα δόθηκε από την εταιρία Compelson και λεγόταν SIMedit. Επειδή όμως μέχρι το 2004 οι τηλεφωνικές συσκευές είχαν ήδη εξελιχθεί τεχνολογικά και δεν περιορίζονταν μόνο στις κάρτες SIM για αποθηκευτικό χώρο, η εταιρία προχώρησε στην δημιουργία ενός ακόμη πιο δυνατού εργαλείου, το MOBILedit.
Το MOBILedit είναι ένα ψηφιακό εγκληματολογικό εργαλείο, που εξειδικεύεται στην ανάκτηση δεδομένων από φορητές συσκευές. Χρησιμοποιείται από περισσότερα από 2 εκατομμύρια χρήστες, ενώ το εμπιστεύονται υπηρεσίες όπως το FBI, η CIA και αστυνομικά τμήματα σε περισσότερες από 75 χώρες ανά τον κόσμο.
Με λίγα κλικ είναι δυνατόν να ανακτήσουμε όλα τα δεδομένα μιας φορητής συσκευής όπως, ιστορικό εισερχόμενων και εξερχόμενων κλήσεων, τηλεφωνικό κατάλογο, μηνύματα(SMS), MMS, αρχεία, μουσική, βίντεο, φωτογραφίες, ημερολόγια, σημειώσεις, υπενθυμίσεις, δεδομένα εφαρμογών(π.χ. skype, dropbox, κλπ), σειριακό αριθμό συσκευής(IMEI), πληροφορίες για το λειτουργικό σύστημα, το firmware της συσκευής, πληροφορίες για τη SIM(IMSI+ICCΙD), πληροφορίες τοποθεσίας και σε ορισμένες περιπτώσεις ανάκτηση διαγεγραμμένων αρχείων από τη συσκευή και παράκαμψη κωδικών ασφαλείας(κυρίως σε iOS).
Έχει πιστοποιηθεί η υποστήριξη για 3.345 φορητές συσκευές, και όλοι οι τρόποι διασύνδεσης τους ενσύρματα ή ασύρματα(Bluetooth, Wi-Fi, υπέρυθρη ακτινοβολία(IR) και καλώδια όπως USB,κλπ).
Μόλις πραγματοποιηθεί η σύνδεση, η συσκευή αναγνωρίζεται από τον κατασκευαστή της, τον αριθμό του μοντέλου της και τον σειριακό αριθμό(ΙΜΕΙ), ενώ παράλληλα εμφανίζεται και μια αντιπροσωπευτική φωτογραφία της συσκευής.
Τα δεδομένα απεικονίζονται στον χρήστη σε πολύ φιλική μορφή φακέλων. Αυτό δίνει τη δυνατότητα να δημιουργούνται αντίγραφα ασφαλείας είτε σε ηλεκτρονικό υπολογιστή είτε σε άλλη κινητή συσκευή. Τα δεδομένα που αντλούνται αποθηκεύονται σε αρχεία τύπου .med.
H Compelson προσφέρει δωρεάν μια “Lite” έκδοση απεριόριστου χρόνου του προγράμματος, την οποία μπορεί να κατεβάσει οποιοσδήποτε από την επίσημη ιστοσελίδα, καθώς και αντίστοιχες εφαρμογές που εγκαθίστανται απευθείας στη φορητή συσκευή και κατεβάζονται από το market του εκάστοτε λειτουργικού(android,iOS,κλπ).
Η δωρεάν έκδοση λειτουργεί σε “read-only mode”, παρόλα αυτά αποτελεί άρτιο δείγμα της πλήρους, αφού μας επιτρέπει να δούμε όλα τα δεδομένα της συσκευής μας, να δημιουργήσουμε αντίγραφα ασφαλείας, να στείλουμε μηνύματα, να κάνουμε τηλεφωνικές κλήσεις και άλλα.
Τιμή έναρξης για τη βασική έκδοση είναι τα 399€, ενώ το πλήρες κιτ κοστίζει 1.330.50€ και περιέχει καλώδια διασύνδεσης για όλες τις υποστηριζόμενες συσκευές.
Πηγές:
1. http://www.mobiledit.com/forensic
2. https://en.wikipedia.org/wiki/MOBILedit
3. https://en.wikipedia.org/wiki/Digital_forensics
4. https://en.wikipedia.org/wiki/Mobile_device_forensics
HashKeeper (Παναγιωτίδης Κων/νος, Κεμάλλι Ρολάντ)
επεξεργασίαΤο HashKeeper είναι μια εφαρμογή βάσης δεδομένων που μας βοηθάει στην διεξαγωγή των ιατροδικαστικών εξετάσεων, η οποία χρησιμοποιεί τον αλγόριθμο MD5 για να δημιουργήσει τιμές hash για γνωστά αρχεία και τις συγκρίνει με τιμές hash των αρχείων του συστήματος. Η εφαρμογή αναπτύχθηκε με στόχο την μείωση του χρόνου εξέτασης ψηφιακών δεδομένων, καθώς μας εξασφαλίζει σιγουριά και σταθερότητα στα αποτελέσματα του, συνεπώς να μην είναι αναγκαία οποιαδήποτε περαιτέρω εξέταση. Στις περισσότερες περιπτώσεις, το πρόγραμμα μειώνει το πλήθος των αρχείων που πρέπει να εξεταστούν κατα 50%. Δημιουργήθηκε το 1996 από το Εθνικό Κέντρο Πληροφοριών Ναρκωτικών (National Drug Intelligence Center, NDIC) και ήταν το πρώτο μεγάλο πρόγραμμα για την συγκεκριμένη λειτουργία. Συγκεκριμένα η εφαρμογή αναπτύχθηκε από τον James Keiji Tamura και διανέμεται δωρεάν στον στρατό και σε κυβερνητικούς οργανισμούς.
Παρακάτω είναι κάποιες εντολές για την δημιουργία MD5 βιβλιοθήκης:
- hashdig-harvest.pl -c k -t hk -o hk.hd ${HKS}/*.hsh
- hashdig-make.pl -F -i -d hk.db hk.hd
(όπου HKS η διεύθυνση που αποθηκέυονται οι hash τιμές)
Γενικές τεχνικές της ψηφιακής εγκληματολογικής έρευνας είναι η διαστάυρωση δεδομένων σε διαφορετικούς σκληρούς δίσκους, η ανάκτηση διαγραμμένων αρχείων απο σκληρούς δίσκους, η ανάλυση σε λειτουργικά συστήματα με ειδικά προγράμματα για την εξαγωγή στοιχείων, καθώς και κάποια αρχεία τα οποία συλλέγουν πληροφορίες για αφαιρούμενες μονάδες αποθήκευσης ή ακόμα και για κοινοποιήσεις στο διαδίκτυο.
Πηγές:
- 1. Wikipedia
- 2. ForensicsWiki
- 3. Department of Justice
- 4. ViaForensics
- 5. Sourceforge
X-Ways Forensics: Integrated Computer Forensics Software (Παραθύρας Φίλιππος, Βασίλης Μπεκρής)
επεξεργασίαΤο X-Ways Forensics: Integrated Computer Forensics Software είναι ένα προηγμένο και ολοκληρωμένο περιβάλλον Forensics (εγκληματολογικό) το οποίο δημιουργήθηκε από την Χ-Way Software Technology AG. Είναι αρκετά πιο αποδοτικό στην χρήση από άλλα λογισμικά Forensics, από την στιγμή που προσφέρει πολλά χαρακτηριστικά και δυνατότητες που άλλα λογισμικά υπολείπονται, όπως την ευχρηστία και την εύκολη κατανόηση στην χρήση του, την ταχύτητα του και την χαμηλή κατανάλωση πόρων του συστήματος για να τρέξει, καθώς και εργαλεία όπως την εύρεση διαγραμμένων αρχείων και ανίχνευση κρυμμένων-ύποπτων δραστηριοτήτων στο ιστορικό του χρήστη. Επιπλέον, υποστηρίζοντας οποιοδήποτε σύστημα των Windows, είναι πλήρως φορητό διότι μπορεί να τρέξει με ένα φλασάκι USB χωρίς να χρειάζεται κάποια εγκατάσταση. Το κόστος του δεν είναι ιδιαίτερα μεγάλο ενώ επίσης δίνει το πλεονέκτημα στον καταναλωτή να χρησιμοποιήσει τις άδειες του για διδασκαλία του λογισμικού ή ακόμα και για πώληση σε ενδιαφερόμενους. Είναι βασισμένο στο WinHex της ίδιας εταιρίας και είναι μέρος ενός μοντέλου εργασίας, όπου διάφοροι εγκληματολόγοι ερευνητές και ειδικοί συνεργάζονται και μοιράζονται πληροφορίες για διάφορες υποθέσεις.
Έχει πολλές και ιδιαίτερες λειτουργίες και εφαρμογές και κάποιες από τις πιο σημαντικές και κυριότερες είναι :
Γρήγορος δίσκος απεικόνισης με επιλογή κρυπτογράφιση συμπίεσης, και ακριβή αντιγραφή των περιεχομένων του.Έχει την δυνατότητα να διαβάσει και να γράψει .e01 αρχεία , ή εναλλακτικά με τον τρόπο πραγματικής κρυπτογράφησης.Μπορεί αναδρομικά να ετοιμάσει ήδη δημιουργημένες συμβατικές εικόνες και επιλεγμένα αρχεία από το μενού προγράμματος περιήγησης καταλόγου.Δυνατότητα αντιγραφής φακέλων , που διατηρούν όλα τα αρχικά τους δεδομένα ως ένα μέσο για να αποκτήσουν πρόσβαση σε συγκεκριμένα αρχεία.Εξάγει τα δεδομένα ανάλογα με την χρονολογία από πολλούς τύπους δεδομένων και επιτρέπει την χρησιμοποίηση φιλτραρίσματος από προγράμματα π.χ. HTML,3GP,JPEG κτλ.Δυνατότητα να περιλαμβάνει όλα τα κρυφά αντίγραφα κατά την ανάλυση , να τα φιλτράρει και να αποθηκεύει τις ιδιότητες.Επιλογή δυνατότητας απομακρυσμένης ανάλυσης στους δίσκους δικτύου και αυτοματοποιημένη καταγραφή δραστηριότητας του χρήστη στο δίκτυο. (login).
Έχει την ικανότητα να συλλέγει το ιστορικό, την μνήμη cashe, και τα κατεβασμένα αρχεία ( λήψεις) του χρήστη σε όλους τους φυλλομετρητές ακόμα και επαφές, μεταφορές αρχείων μέσω Skype και e-mail όπως outlook.Προσφέρει μια γκάμα φωτογραφιών ταξινομημένες με το ποσοστό του χρώματος του δέρματος, για την επιτάχυνση της αναζήτησης και ανίχνευσης υλικού παιδικής πορνογραφίας. Επίσης, ανιχνεύει τις ασπρόμαυρες οι οποίες μπορούν να έχουν χρησιμοποιηθεί ως ψηφιακά αποθηκευμένα φαξ.Δεν έχει πολύπλοκη βάση δεδομένων για να δημιουργήσει και να συνδεθεί ο χρήστης , εξαλείφοντας το ρίσκο να μην είναι σε θέση να ανοίξει την υπόθεση .Υποστηρίζει εξαιρετικά ευέλικτο αλγόριθμο ευρετηρίου, που φέρνει εις πέρας σύνθετες αναζητήσεις λέξεων.Δίνει την δυνατότητα να διαλέξετε ανάμεσα σε 270 τύπους αρχείων για την προεπισκόπηση τους. Επιπλέον, μας επιτρέπει να δούμε τα αρχεία του μητρώου των Windows και να μας εξάγει μια πλήρη αυτοματοποιημένη αναφορά σχετικά με την κατάσταση τους. Έχει την ιδιότητα να αντιγράψει τα αρχεία από μια μονάδα, και συμπεριλαμβάνει την πλήρη διαδρομή του αρχείου τόσο στα σημαντικά όσο και στα μη (slack files).Δίνει την δυνατότητα προβολής και επεξεργασίας δυαδικών δομών ( binary data ) χρησιμοποιώντας κάποια συγκεκριμένα πρότυπα.
Πηγές: http://www.x-ways.net/forensics/index-m.html, http://www.x-ways.net
ΗxD (Τζιώρας Γιάννης, Τηληγάδας Φώτης)
επεξεργασίαO ΗxD είναι ένας προσεγμένος Hex Editor που επιτρέπει την αλλαγή των δυαδικών δεδομένων που συγκροτούν ένα αρχείο υπολογιστή και επιπλέον έχει την δυνατότητα να τροποποιεί και την μνήμη RAM.Ο HxD μπορεί να ανοίξει αμέσως αρχεία σχεδόν οποιουδήποτε μεγέθους (δηλαδή μέχρι 8 Exonabytes) με συνέπεια την ταχύτατη επεξεργασία των αρχείων.
Το πρόγραμμα μας παρέχει την δυνατότητα να ερευνήσουμε,να εισάγουμε,να εξάγουμε όπως και να αντικαταστήσουμε σχήματα bit.Επίσης,μας δίνεται η δυνατότητα να διαγράψουμε οριστικά αρχεία από τον σκληρό δίσκο του υπολογιστή και τέλος μέσα από το πρόγραμμα μπορούμε να διαχωρίσουμε αρχεία.
Tο HxD είναι ένα φιλικό προς τον χρήστη πρόγραμμα καθώς επιτρέπει την επεξεργασία σε ένα περιβάλλον παρόμοιο με αυτό ενός απλού επεξεργαστή κειμένου (π.χ. Notepad).Δηλαδή,η διαδικασία επεξεργασίας είναι μία απλή και στοχευμένη διαδικασία και για τον λόγο αυτό το πρόγραμμα έχει αναλάβει από τον χρήστη τις εξειδικευμένες τεχνικές λειτουργίες.Ακόμη,ο HxD δεν περιορίζει αυθαίρετα το μέγεθος των αρχείων.
Επιπλέον χαρακτηριστικά του HxD αναφέρονται παρακάτω:
- -Ο HxD είναι και ένα εργαλείο επεξεργασίας σκληρών δίσκων,δισκετών,USB Drives και CDs που επιτρέπει την ανάγνωση και την εγγραφή δίσκων και drivers που είναι μορφοποιημένοι σε μορφή RAW.
- -Τα δεδομένα από την επεξεργασία εξάγονται σε πολλές μορφές.Μερικές από αυτές είναι:
- i)Σε κώδικα πηγής Pascal,Java,C
- ii)Σε απλό κείμενο και γλώσσα HTML
- iii)Σε HEX Files (Intel HEX,Motorola S-record)
- -O HxD παρέχει και στατιστική ανάλυση των δεδομένων με την γραφική απεικόνιση των byte.
- -Συγκέντρωση όλων των αρχείων με ίδιο τύπο bytes (1,2,4,8 ή 16 bytes) σε μία στήλη (byte grouping)
- -Παράθυρο προόδου για διαδικασίες που λειτουργούν για αρκετό χρονικό διάστημα
- -O HxD ξεχωρίζει τα επεξεργασμένα δεδομένα
- -Ο HxD παρέχει και την δυνατότητα εκτύπωσης των επεξεργασμένων δεδομένων
Ο HxD είναι ένα ελεύθερο πρόγραμμα τόσο για ιδιωτική όσο και για επαγγελματική χρήση και η μεταπώλησή του απαγορεύεται. Τελευταία έκδοση είναι η 1.7.7.0 (που εκδόθηκε στις 3 Απριλίου 2009) και υποστηρίζεται από τα εξής λειτουργικά συστήματα: -Windows 95,98,ME,NT cl,2000,XP,2003,Vista και Windows 7
πηγή:http://mh-nexus.de/en/hxd/
BitPIM (Γκιάτας Ιωάννης,Χαλκίδης Θεόδωρος)
επεξεργασίαBitPIM είναι ένα δωρεάν πρόγραμμα ανοιχτού κώδικα που έχει σχεδιαστεί για να επιτρέπει στους χρήστες να εισάγουν,εξάγουν και να διαχειρίζονται δεδομένα προς και από τα κινητά τους τηλέφωνα στο PC τους.Ο δημιουργός του είναι ο Roger Binns και το πρόγραμμα κυκλοφόρησε για πρώτη φορά 1η Μαρτίου του 2003. Το πρόγραμμα έχει τη δυνατότητα να εξετάζει τον κατάλογο τηλεφώνων,λειτουργικά αρχεία του κινητού καθώς και άλλα δεδομένα(εικόνες,ήχους,μηνύματα,αρχείο κλήσεων)Στην συνέχεια τα δεδομένα αυτά μπορούν να παραποιηθούν και οι αλλαγές να αποθηκευτούν στο κινητό.Τα αρχικά δεδομένα αποθηκεύονται σε εξωτερικά αρχεία για λόγους ασφαλείας.Όταν γίνεται μια forensic έρευνα η εφαρμογή θα πρέπει να είναι πάντα σε read mode για να αποφεύγεται κάθε απόπειρα write.Το πρόγραμμα δεν θα ανακτήσει δεδομένα που έχουν διαγραφεί καθώς και υπάρχει πιθανότητα να μην ανακτήσει και κάποια υπάρχοντα δεδομένα.Το πρόγραμμα επιτρέπει στον χρήστη να δει συνοπτικά τα δεδομένα των λειτουργικών αρχείων του κινητού.Αυτό είναι σημαντικό σε μια τέτοια έρευνα καθώς υπάρχει πιθανότητα το bitPIM να μην μπορέσει να ανακτήσει κάποια δεδομένα που ίσως τα θεωρήσει ασήμαντα.
Πηγές :
http://www.forensicswiki.org/wiki/BitPIM
FAW (Forensics Acquisition of Websites) (Παραπραστανίτης Κων/νος , Παπαπάσχος Νίκος)
επεξεργασίαΤο FAW είναι το πρώτο πρόγραμμα περιήγησης το οποίο έχει σχεδιαστεί ώστε να αποκτηθούν οι ιστοσελίδες για Forensics σκοπούς από οποιοδήποτε web site στο διαδίκτυο.
Το πρόγραμμα επιτρέπει την συνολική απόκτηση δηλαδή την πλήρη ανάλυση της ιστοσελίδας ή απλά ένα μέρος της επιλέγοντας ο χρήστης γρήγορα και απλά τι θέλει να χρησιμοποιήσει. Έχοντας ως εργαλεία την μπάρα κύλισης και τον οριζόντιo δρομέα είναι εύκολο να αποφασίσει ο χρήστης ποιά web περιοχή της σελίδας θέλει να αναλυθεί.
Επιπλέον η εφαρμογή μπορεί να αναλύσει όλες τις σελίδες που περιέχουν ροές δεδομένων. Το λογισμικό αποκτά αυτόματα τα βίντεο ή τις σελίδες με την βοήθεια των plug in (JavaScript, jQuery, Flash, κλπ.).
Το πρόγραμμα έχει σχεδιαστεί επίσης για να συνεργαστεί με ιστοσελίδες που περιέχουν πλαίσια, δηλαδή ιστότοπους που αποτελούνται από διαφορετικά τμήματα, ανεξάρτητα μεταξύ τους. Οι ράβδοι της πλαϊνής πλευράς κύλισης επιτρέπουν την περιήγηση ανάμεσα στα διαφορετικά πλαίσια ώστε να αποφασιστεί τι πρέπει να αποκτηθεί από τον χρήστη.
Επιπλέον μπορείτε να αποκτήσετε όλους τους τύπους αρχείων της ιστοσελίδας, συμπεριλαμβανομένων: εικόνες, αρχεία, έγγραφα, εκτελέσιμα και Scripts. Τα στοιχεία όλων των σαρωμένων αρχείων τοποθετούνται στο φάκελο Acquisition.xml. Η απόκτηση των αντικειμένων που συνδέονται με τη σελίδα διαμορφώνεται από το χρήστη από το μενού Configuration> Linked Objects. Σημαντικό είναι επίσης ότι μπορεί να αποκτηθεί ο κώδικας HTML των ιστοσελιδών.
-Ενοποίηση με το WireShark. Wireshark είναι ένα δικτυακό πρωτόκολλο αναλυτή, που χρησιμοποιείται ευρέως σε forensic δίκτυα, το οποίο έχει σημείο αναφοράς την ευελιξία. Χάρη σε ειδικούς κανόνες για την ταξινόμηση και το φιλτράρισμα του ερευνητή μπορεί να προεκτείνει και να αναλύσει τα δεδομένα γρήγορα. Το FAW χρησιμοποιεί τις δυνατότητες του Wireshark για να συλλάβει το σύνολο της κυκλοφορίας σε όλες τις διασυνδέσεις σε ενεργά δίκτυα. Κατά τη διάρκεια της απόκτησης της ιστοσελίδας, ο ερευνητής μπορεί να κάνει μια ανάλυση του συνόλου της κίνησης του δικτύου που διήλθε για να φτάσει στη σελίδα Web. Η ολοκλήρωση σας επιτρέπει να έχετε ένα αρχείο καταγραφής σε μορφή pcap.
-Αυτόματος υπολογισμός του κατακερματισμού MD5 και SHA1 όλων των αποκτηθέντων αρχείων. Η εφαρμογή εκτελεί αυτόματα το MD5 hash και τον υπολογισμό SHA1 για όλα τα αρχεία που αποκτήθηκαν. Hash αλγόριθμοι, ιδιαίτερα SHA1 και MD5 χρησιμοποιούνται ευρέως σε forensics της πληροφορικής για να επικυρώσoυν και να υπογράψουν ψηφιακά τα αποκτηθέντα δεδομένα. Η πρόσφατη νομοθεσία επιβάλλει μια αλυσίδα φύλαξης που επιτρέπει τη διατήρηση της πληροφορικής κυρίως από πιθανές αλλαγές μετά την εξαγορά.
-Επαλήθευση ακεραιότητας της απόκτησης. Αυτή η λειτουργία σας δίνει τη δυνατότητα να επαληθεύσετε την ακεραιότητα της αγοράς σας, χρησιμοποιώντας ένα ιδιόκτητο αλγόριθμο για να ελέγξετε εάν όλα τα αρχεία που καταγράφηκαν δεν μεταβάλλονται.
Είναι σημαντικό να αναφερθεί ότι έχουν βγει 9 εκδόσεις του προγράμματος με την τελευταία να είναι στις 8/1/2014 πράγμα που σημαίνει ότι το πρόγραμμα ανανεώνεται συνεχώς, επίσης είναι ένα freeware program το οποίο μπορεί οποιοσδήποτε να το κατεβάσει από το download center του site. Τέλος για όποιον ενδιαφέρεται να κατεβάσει το συγκεκριμένο πρόγραμμα στην σελίδα του Site [1] υπάρχουν συγκεκριμένα βήματα που καθιστούν την πλοήγηση στο πρόγραμμα πολύ εύκολη !
Πηγές : http://www.fawproject.com/
P2 eXplorer Pro ( Γιαννακοσιάν, Κλαριδόπουλος, Νγκόυτσαϊ)
επεξεργασίαΤο P2 eXplorer Pro είναι ένα πρόγραμμα forensics που διαβάζει εικονικούς δίσκους. Συνήθως οι ερευνητές χρησιμοποιούν προγράμματα τέτοιας κατηγορίας ώστε να εξομοιώνουν τον δίσκο προς ανάλυση ως κομμάτι του υπολογιστή τους. To p2 eXplorer Pro φορτώνει τον εικονικό δίσκο σε bit streaming,δηλαδή σε τομείς δυναμικού χώρου, προστατεύει τον μη δεσμευμένο χώρο, και εμφανίζει το slack και τα διαγραμμένα αρχεία. Επισης το p2 explorer αποτελεί και ενα εργαλειο του προγραμματος P2 commander. Το P2 commander είναι ένα νομικά πιστοποιημενο προγραμμα το οποιο ειδικεύεται σε ανάλυση e-mail και δισκων για καταπολεμηση εγκληματων τρομοκρατιας ή παιδικης πορνογραφιας. Το κόστος του P2 eXplorer είναι 200 δολάρια και το συνολικό πακέτο μαζί με το p2 Commander είναι 1095 δολάρια. Επισης η εταιρεια προσφερει εκπαιδευση στη σωστη χρηση του προγράμματος, ωστε ο χρηστης να μπορεί να επωφεληθεί κατά το μεγιστο δυνατον.
Τα πλεονεκτήματα διαβάσματος του εικονικού δίσκου με bit streaming είναι η ευκολία διαχείρισης καθώς εφόσων ο δίσκος είναι εικονικός και σε κομμάτια, υπάρχει η δυνατότητα να αναλύσεις τμήματα του, οπότε είναι δυνατόν η παράλληλη επεξεργασία των δεδομένων. Συνήθως προγράμματα τέτοιας κατηγορίας είναι πιο γρήγορα απ ότι αντίστοιχα που δουλεύουν με cd ή κάποια άλλη εξωτερική μονάδα. Τα μειονεκτήματα του διαβάσματος εικονικού δίσκοu είναι ότι
εξαρτάται σε μεγάλο βαθμό από τρίτα προγράμματα για τη δημιουργία του εικονικού δίσκου. Οι απαιτήσεις του συστήματος καθώς και τα χαρακτηριστικά του είναι το οτι τρέχει σε λειτουργικά windows 32 bit και 64 bit, τρέχει εικονικούς δίσκους σε λογική, φυσική και δυναμική εμφάνιση/ κατάσταση, μπορεί να φορτώσει πολλαπλές εικόνες και επίσης αναγνωρίζει αυτόματα τον τύπο μορφοποίησης του εικονικού δίσκου
Πηγές: https://www.paraben.com/p2-explorer.html
https://www.paraben.com/downloads/p2x-release-notes.pdf
http://www.suggestsoft.com/soft/paraben-corporation/p2-explorer/
Epilog(SQlite forensic tool) ( Γιώργο Πάσκου,Παππάς Στυλιανός)
επεξεργασίαΤο SQLite είναι ένα σύστημα διαχείρισης σχεσιακών βάσεων δεδομένων το οποίο χρησιμοποιεί την γλώσσα προγραμματισμού C.Το SQLite είναι συμβατό με ACID(ένα σύνολο ιδιοτήτων το οποίο εγγυάται ότι η συναλλαγές στην βάση δεδομένων (ΒΔ) λειτουργούν αξιόπιστα) και υλοποιεί το μεγαλύτερο μέρος του προτύπου SQL, χρησιμοποιώντας μια δυναμική και εβδομαδιαία τυπωμένη SQL σύνταξη που δεν εγγυάται την ακεραιότητα του τομέα.Έχει συνδέσεις με πολλές γλώσσες προγραμματισμού.Ο D. Richard Hipp σχεδίασε το SQLite την άνοιξη του 2000.Το Epilog είναι ένα εργαλείο λογισμικού που επιτρέπει στους ερευνητές να ανακτήσουν τα διαγραμμένα αρχεία από την ευρέως χρησιμοποιούμενη μορφή της βάσης δεδομένων, SQLite.Δημιουργήθηκε από τον προγραμματιστή Alex Caithness.Ο Alex Caithness εργάζεται στο εργαστήριο Mobile devices ως ψηφιακός αναλυτής και τώρα επικεντρώνεται στην ανάπτυξη των νέων ψηφιακών εγκληματολογικών λύσεων και την παροχή άμεσης στήριξης στο PC.Είναι επίσης προγραμματιστής του Dunk!, PIP and Rubus.Χαρακτηριστικά του Epilog: χρησιμοποιεί 3 διαφορετικούς αλγόριθμους ώστε να ανακτήσει και να ξαναχτίσει τα διαγραμμένα αρχεία αναλύει αρχεία από την βάση δεδομένων SQLite και τα αντιστοιχεί στα αρχεία δεδομένων εργάζεται σε διαγραμμένα αρχεία της βάσης δεδομένων, τα οποία παράγονται κατά τη διάρκεια της λειτουργίας της βάσης δεδομένων σε μια εικόνα του δίσκου επιτρέπει στο χρήστη να σώσει ένα μόνο πεδίο στο αρχείο, ή πολλά δυαδικά(binary) πεδία από τα ανακτηθέντα αρχεία για περαιτέρω ανάλυση επιτρέπει στο χρήστη να δημιουργήσει «Εισαγωγή Καταστάσεων» από ανακτηθέντα αρχεία, προκειμένου να διευκολυνθεί η αποκατάσταση των διαγραμμένων αρχείων σε μια βάση δεδομένων
Δομή: Database Forensics το οποίο χρησιμοποιείτε περισσότερο από τα άλλα.Εδώ μπορούμε να ανακτήσουμε τα διαγραμμένα αρχεία από το αρχείο της βάσης δεδομένων Journal Forensics Εδώ μπορούμε να ανακτήσουμε αρχεία από τα προσωρινά SQLite journal αρχεία Wal file Forensics Raw data/DIsk image Search στο οποίο χρησιμοποιούμε τις Epilog συνδέσεις για να αναζητήσουμε αρχεία SQLite Database and Table Details η οποία μπορεί να βοηθήσει όταν πρόκειται να δημιουργήσουμε τις δικές μας συνδέσεις αρχείου
Το Epilog εμφανίζεται σε Android(SMS,επαφές,ημερολόγιο,ιστορικό κλήσεων και άλλα),iPhone(SMS,emails,ημερολόγιο και άλλα),Smartphone εφαρμογές τρίτων(συμπεριλαμβανομένου Yahoo Messenger, eBuddy συνομιλία και άλλα),Safari(ιστορικό και άλλα),Mozilla(cookies,δεδομένα φόρμας,ιστορικό και άλλα),Chrome(ιστορικό).Για την λειτουργία του χρειάζεται είτε Windows XP είτε Vista είτε Windows 7 είτε .NET runtime 3.5. Χωρίς το Epilog,υπάρχει περίπτωση να χάναμε πολύτιμα στοιχεία.Τα δεδομένα που αποθηκεύονται σε αυτό το είδος της βάσης δεδομένων μπορούν να προσφέρουν μια τεράστια αποδεικτική ευκαιρία για τους ερευνητές.Μπορούμε να το κατεβάσουμε δωρεάν από εδώ www.ccl-forensics.com/epilog.
Χρησιμοποιήθηκαν πληροφορίες από τα παρακάτω links:
https://www.youtube.com/watch?v=1AuW3rM3CJ4
http://www.forensicfocus.com/index.php?name=News&file=article&sid=1675
http://www.cclgroupltd.com/product/epilog-sqlite-forensic-tool/
http://el.wikipedia.org/wiki/%CE%A0%CF%8D%CE%BB%CE%B7:%CE%9A%CF%8D%CF%81%CE%B9%CE%B1
http://uk.linkedin.com/pub/alex-caithness/51/41/a75
SIMCon ( Τσεντίδης Διονύσης, Μυλωνάκης Καλλίνικος)
επεξεργασίαΤο SIMCon είναι ένα πρόγραμμα που επιτρέπει στο χρήστη με ασφάλεια να δημιουργήσει ένα εικονικό αρχείο, όλων των αρχείων που υπάρχουν σε μια GSM/3G SIM κάρτα στον υπολογιστή χρησιμοποιώντας τη SIMCon forensic SIM κάρτα ανάγνωσης.Ο χρήστης μπορεί να αναλύσει στη συνέχεια τα περιεχόμενα της κάρτας συμπεριλαμβανομένων των αποθηκευμένων αριθμών και μηνύματα κειμένου.
Μερικά από τα χαρακτηριστικά του SIMCon είναι :
- Διαβάζει όλα τα διαθέσιμα αρχεία σε μια κάρτα SIM και τα αποθηκεύει σε ένα αρχείο.
- Αναλύει και ερμηνεύει το περιεχόμενο των αρχείων συμπεριλαμβανομένων των μηνυμάτων κειμένου και των αποθηκευμένων αριθμών.
- Ανάκτηση διεγραμμένων μηνυμάτων κειμένου που είναι αποθηκευμένα στην κάρτα,αλλά δεν είναι αναγνώσιμα στο τηλέφωνο.
- Διαχειριστείτε κωδικούς PIN και PUK
- Συμβατό με την κάρτα SIM και την κάρτα USIM.
- Έκθεση εκτύπωσης που μπορούν να χρησιμοποιηθουν ως αποδεικτικά στοιχεία με βάση την επιλογή των ειδών του χρήστη.
- Ασφαλής αρχειοθέτηση χρησιμοποιώντας MD5 και SHA1 hash τιμές
- Εξαγωγή αντικειμένων σε αρχεία που μπορούν να εισαχθούν σε δημοφιλή προγράμματα υπολογιστικών φύλλων.
- Υποστηρίζει διεθνή σετ χαρακτήρων.
~~SIMCon-Συχνές Ερωτήσεις~~
- Ποια μοντέλα τηλεφώνου υποστηρίζουν SIMCon ;
Το SIMCon μπορεί να διαβάσει τα περιεχόμενα μιας GSM SIM κάρτας ανεξαρτήτως σε ποιο τηλέφωνο έχει χρησιμοποιηθεί. - Πόσο καιρό παίρνει ;
Η δημιουργία εικόνας μιας κάρτας SIM διαρκεί 1-2 λεπτά ανάλογα με την ταχύτητα του αναγνώστη.Στη συνέχεια μπορείτε να αποθηκεύσετε το περιεχόμενο σε ένα φάκελο στον υπολογιστή και να κάνετε την ανάλυση αργότερα . Η δημιουργία εικόνας είναι τόσο εύκολη , θα μπορούσε να είναι μια καλή ιδέα για να πάρει " στιγμιότυπα " της κάρτας ώστε να διερευνάτε σε τακτά χρονικά διαστήματα . - Μπορεί το SIMCon να πάρει το PIN ή PUK ;
Κωδικούς PIN και PUK δεν αποθηκεύονται σε αρχεία στην κάρτα . Με το SIMCon , μπορείτε να πιστοποιήσετε τον εαυτό σας με το PIN ή PUK , ή μπορείτε να επιλέξετε να διαβάσετε τα προσβάσιμα αρχεία χωρίς κανέναν από τους κωδικούς . Ο κωδικός PUK ( ο κύριος κωδικός ) δεν μπορεί να αλλάξει , και είναι πάντα αποθηκεύμένος από τον φορέα παροχής υπηρεσιών . Επομένως, είναι πάντα δυνατό να επιτευχθεί ο σωστός κωδικός PUK για μια κάρτα από το φορέα παροχής υπηρεσιών . - Μπορεί το SIMCon να διαβάσει ανενεργές κάρτες ;
Το SIMCon μπορεί να διαβάσει τα περιεχόμενα της κάρτας , ανεξάρτητα από την κατάσταση της συνδρομής . Εφ 'όσον έχετε την κάρτα , μπορείτε να τη διαβάσετε , ακόμη και αν η εγγραφή έχει απενεργοποιηθεί .
Το SIMCon είναι κατασκευασμένο για χρήση επιβολής του νόμου και είναι η νούμερο ένα επιλογή για την εξασφάλιση αποδεικτικών στοιχείων για κάρτες SIM και να τις παρουσιάσει στο δικαστήριο.Το SIMCon μπορεί,ωστόσο, να είναι ένα πολύτιμο εργαλείο για τους άλλους που χρειάζονται αποδείξεις από τις κάρτες SIM και να ανακτήσουν στοιχεία όπως διαγραμμένα μηνύματα κειμένου.Το SIMCon είναι διαθέσιμο μόνο για τα Microsoft Windows.
Απαιτήσεις Συστήματος:
Processor: 1.4Ghz+
RAM: 512 MB
Hard Drive Space: 200 MB
Windows 2000, XP, 2003, Vista, Windows 7
Πηγή:http://www.simcon.no/details.html
PlainSight (Σκεντέρης Βάιος)
επεξεργασίαΤο PlainSight είναι ένα ευέλικτο εγκληματολογικό πρόγραμμα πολύ εύκολο στη χρήση. Το πρόγραμμα μπορεί να αντλήσει πληροφορίες από ένα υπολογιστικό σύστημα χρησιμοποιώντας ενα πολύ εύκολο γραφικό περιβάλλον. Οι πληροφοριές που μπορεί να αντλήσει από ένα υπολογιστικό σύστημα είναι οι εξής : πέρνει οτι δεδομένα έχει ένας σκληρός δίσκος και τα διαμμερίσμα του, αποσπά πληροφορίες των χρηστών και της ομάδας στην οποία ανήκει το μηχάνημα, βλέπει όλο το ιστορικό των περιηγητών, ανακαλύπτει τα τελευταία έγγραφα του υπολογιστή και πληροφορίες από εξωτερικές συσκευές αποθήκευσης (USB). Ακόμα εξετάζει αν υπάρχει κάποια διαμόρφωση στο τείχος προστασιάς του σηστήματος και στα ‘σκουπίδια’ της φυσικής μνήμης. Χρησιμοποιώντας το πρόγραμμα RegRipper μπορεί να εξαγει πληροφορίες μητρώου UserAssist. Τέλος, ο πιο γνωστός σκοπός χρησιμοποιήσης του προγραμματος PlainSight από τους εγκληματολόγους είναι για την ανάκτηση διαφόρων τύπου αρχείων, όπως: jpg, png, gif, bmp, gif, bmp, mpg, wav, avi, wmv, mov, pdf, htm, ole, zip, rar, exe. Το PlainSight είναι ανοιχτού κωδικα και μπορει να τρέξει είτε απο σε bootable μορφή από usb ή με εκτέλεση απο cd και αποθηκεύει τα δεδομένα είτε σε HTML μορφή είτε σε απλό κείμενο. Η τελευταία έκδοση του PlainSight είναι η version 0.1 και είναι διαθέσημη για το κοινό από της 18 Σεπτεμβρίου 2008.
Πηγές:
http://www.plainsight.info/index.html
http://files-recovery.blogspot.gr/2013/04/plainsight-open-source-computer.html
Download:
http://www.mirrorservice.org/sites/www.plainsight.info/releases/PlainSight-0.1.iso
Foremost (Παντελής Μπουγιουκμάνος)
επεξεργασίαTo foremost είναι ένα forensic λογισμικό που ανήκει στην κατηγορία εργαλείων για την ανάκτηση δεδομένων,είναι σχεδιασμένο για linux και χρησιμοποιείται για ανάκτηση αρχείων χρησιμοποιώντας τα header,footer καθώς και τη δομές δεδομένων ενός αρχείου μεσώ μιας διαδικασίας που είναι γνωστή ως file carving. Παρόλο που είναι ένα εργαλείο το οποίο σχεδιάστηκε για επίλυση προβλημάτων νομικού χαρακτήρα,παράλληλα διατίθεται δωρεάν ώστε να μπορεί να χρησιμοποιηθεί σαν λογισμικό γενικής χρήσης για ανάκτηση αρχείων. Ιστορία Το Foremost δημιουργήθηκε το Μάρτιο του 2001 για να αναπαράγει τη λειτουργικότητα του προγραμμάτος CarvThis που μέχρι τότε χρησιμοποιούταν μόνο σε Dos,έτσι ώστε να αρχίσει να χρησιμοποιείται και σε linux περιβάλλον. Το Foremost δημιουργήθηκε αρχικά από τους ειδικούς πράκτορες Kris Kendall και Jesse Kornblum οι οποίοι ανήκαν τότε στο γραφείο ειδικών ερευνών της πολεμικής αεροπορίας των Ηνωμένων Πολιτειών. Στα μέσα του 2005 το πρόγραμμα αυτό τροποποιήθηκε από τον Nick Mikus,ερευνητικός συνεργάτης τότε στο πλαίσιο της διατριβής του στο κέντρο ερευνών και σπουδών για πληροφοριακά συστήματα ασφαλείας Naval Postgraduate School's Center. Είναι σχεδιασμένο έτσι ώστε ανεξάρτητα με το σύστημα αρχείων να έχει τη δυνατότητα να διαβάζει και να αντιγράφει τμήματα του δίσκου στη μνήμη του υπολογιστή. Το Foremost χρησιμοποιείται από τη γραμμή εντολών χωρίς την ύπαρξη γραφικού περιβάλλοντος. Οι τύποι αρχείων που έχει τη δυνατότητα να ανακτήσει είναι συγκεκριμένοι και είναι οι παρακάτω jpg,png,gif,bmp,avi,exe,mpg,wav,riff,wmv,mov,pdf,ole,doc,zip,rar,htm και cpp. Τέλος το Foremost μπορεί να χρησιμοποιηθεί για να ανακτήσει αρχεία από image files ή ακόμη κατευθείαν από σκληρό δίσκο,που χρησιμοποιεί τα παρακάτω συστήματα αρχείων ext,ntfs και fat. Επίσης έχει τη δυνατότητα να κάνει ανάκτηση αρχείων από iPhones.
https://en.wikipedia.org/wiki/Foremost_(software) http://infolab.gen.auth.gr/downloads/ForensicLAB01.pdf
Nessus (Διονυσόπουλος Παναγιώτης)
επεξεργασίαΕισαγωγή
επεξεργασίαΤο Nessus είναι ένας ολοκληρωμένος σαρωτής ευπαθειών ο οποίος έχει δημιουργηθεί και διανέμετε δωρεάν στα πλαίσια ιδιωτικής χρήσης σε μη εταιρικό περιβάλλον από την Tenable Network Security. Αποδείχτηκε να είναι ένα από τα καλυτέρα λογισμικά ανίχνευσης ευπαθειών καταλαμβάνοντας την πρώτη θέση για 3 χρονιές ανάμεσα σε πολλούς ανταγωνιστές. Η Tenable Network Security εκτιμάει ότι το 2005 είχε χρησιμοποιηθεί σε παραπάνω από 75.000 οργανώσεις σε όλο τον κόσμο.
Δυνατότητες
επεξεργασίαΤο Nessus έχει την δυνατότητα να ανιχνεύσει τις ακόλουθες κατηγορίες ευπαθειών:
- Ευπαθειες τις οποίες μπορούν να επιτρέψουν σε κάποιον χάκερ να ελέγχει ή να έχει πρόσβαση σε ευαίσθητα δεδομένα ενός συστήματος.
- Λανθασμένες ρυθμίσεις συστήματος όπως updates & patches που μπορεί να λέιπουν από το σύστημα ή email ports που είναι ανοιχτά.
- Προεπιλεγμένος κωδικούς πρόσβασης, κωδικούς οι οποιοί εμφανίζονται συχνά και μπορούν να σπασουν εύκολα ή την απώλεια κωδικών από λογαριασμους του συστήματος.
- Επίσης το Nessus μπορεί να καλέσει ένα εξωτερικό εργαλείο ονόματι Hydra για να ξεκινήσει μια επίθεση λεξικού στο σύστημα.
- Την άρνηση υπηρεσιών κατά την στοίβα TCP/IP σε περίπτωση ανίχνευσης ακατάλληλων πακέτων.
Λειτουργία
επεξεργασίαΤο εργαλείο Nessus απότελείται από δύο μέρη. Το nessusd (Nessus daemon) το οποίο κάνει την σάρωση του συστήματος, και το Nessus το οποίο είναι ο client που ελέγχει την σάρωση του συστήματος και εμφανίζει τα αποτελέσματα ευπαθειών στον χρήστη. Στις νεότερες εκδόσεις του εργαλείου έχει χρησιμoποιηθεί και διαδυκτιακή πλατφόρμα η οποία χρησιμοποιείται απευθείας από τον browser και παρέχει την ίδια λειτουργiκότητα με τον client. Η τυπική εκκίνηση του εργαλείου κάνει μια σάρωση για ανοιχτές πόρτες στο σύστημα με έναν από τους τέσσερις ενσωματωμενους σαρώτες ανοιχτών πορτών ή αν έχει ρυθμιστεί με κάποιον άλλο εξωτερικό όπως Nmap για παραδειγμα. Αφού ολοκληρώσει την σάρωση, για κάθε ανοιχτή πόρτα που βρήκε τρέχει μια ρουτίνα επίθεσεις με γνωστά exploits. Όλες οι ρουτίνες και τα exploits είναι γραμμένα σε μια γλώσσα της εταιρίας γνωστή ως NASL (Nessus Attack Scripting Language) βελτιστοποιημένη για προσαρμοσμένη αλληλεπίδραση δικτύων. Επίσης προσφέρει την δυνατότητα εξαγωγής των αποτελεσμάτων σάρωσης σε μορφή XML,HTML,Latex ή απλού κειμένου. Η Tenable Network Security προσφέρει δωρεάν στο ευρύ κοινό κάθε βδομάδα δεκάδες καινούριους ελέγχους ευπαθειων σαν plugins. Επίσης προσφέρει και υποστήριξη και πρόσθετες δυνατότητες σε εμπορικό επίπεδο. Το Nessus προσφέρει την δυνατότητα εξαγωγής των αποτελεσμάτων σάρωσης σε μορφή XML,HTML,Latex ή απλού κειμένου.
https://en.wikipedia.org/wiki/Nessus_(software)
GetData Forensic Explorer(Σταμούλης Ζαμάνης)
επεξεργασίαΕισαγωγή
επεξεργασίαΤο Forensics Explorer από την εταιρία GetData είναι ένα εργαλείο για τη διατήρηση, την ανάλυση και την παρουσίαση των ηλεκτρονικών αποδεικτικών στοιχείων. Το λογισμικό απευθύνεται μόνο για τις αρχές επιβολής του νόμου, κυβερνητικές οργανώσεις, τον στρατό και εταιρικά γραφεία ερευνών. Το Forensics Explorer παρέχει:
- Εύκολη διαχείριση μεγάλου όγκου πληροφοριών ανάλυσης από πολλαπλές πηγές.
- Πρόσβαση και ανάλυση όλων τον δεδομένων όπως κρυφά αρχεία, αρχεία συστήματος, διαγραμμένα αρχεία, άλλα αρχεία και του unallocated χώρο στον δίσκο.
- Αυτοματοποιημένες πολύπλοκες εργασίες έρευνας.
- Δημιουργία αναλυτικών αναφορών.
- Ευκολοχρηστη πλατφόρμα για την ανάλυση πληροφοριών.
Δυνατότητες
επεξεργασίαΤο Forensics Explorer έρχεται με ένα ευέλικτο και προσαρμόσιμο περιβάλλον που δίνει την δυνατότητα στον χρήστη να μεταφέρει τα εργαλεία και τα παράθυρα όπως θέλει και να τα αποθηκεύσει ανάλογα με τις ανάγκες του.
Είναι συμβατός με unicode. Οι χρήστες μπορούν να αναζητήσουν και να προβάλλουν δεδομένα σε εγγενή μορφή γλώσσας, όπως τα ολλανδικά ή τα αραβικά.
Παρέχει πρόσβαση σε όλους τους τομείς της φυσικής ή εικονικής μνήμης ενός αρχείου ή κείμενου ή επιπέδου Hex. Προβολή και ανάλυση αρχείων συστήματος, κρυφά αρχεία, διαγραμμένα αρχεία, άλλα αρχεία, unallocated χώρο στον δίσκο, αρχεία μετάθεσης, αρχεία εκτύπωσης, αρχεία εκκίνησης, unallocated clusters κτλπ
Πλήρως threaded εφαρμογή, εκτελεί πολλαπλές λειτουργίες και σενάρια σε νήματα ταυτόχρονα.
Pascal Scripting:Δυνατοτητα δημιουργίας αυτοματοποιημένων λειτουργιών για ανάλυση χρησιμοποιώντας την βιβλιοθήκη που παρέχετε, ή να γράψετε τα δικά σας σενάρια ανάλυσης. Αυτοματοποίηση εργασιών, όπως:
- Ανάλυση αρχείων γραφικών.
- Απόσπαση πληροφοριών χρήστη, πληροφοριών υλικού και του συστήματος από το Registry.
- Εύρεση και ανάλυση εγγράφων από τις συζητήσεις στο Διαδίκτυο. κ.λπ.
Data View - Δημιουργία απόψεων για την δυναμική προβολή δεδομένων όπως:
- Λίστες αρχείων: Ταξινόμηση με επιλογές όπως επέκταση αρχείου, υπογραφή, hash , τη διαδρομή, πότε δημιούργηθικε,τελευτεα πρόσβαση, τελευταία τροποποίηση.
- Δίσκος: Πλοήγηση σε έναν δίσκο και της δομή του μέσω μιας γραφικής άποψης.
- Εικόνες: Φωτογραφίες και αρχεία εικόνας.
- Σύστημα αρχείων: Εύκολη πρόσβαση σε FAT και NTFS αρχεία.
- Κείμενο και Hex: Πρόσβαση και ανάλυση των δεδομένων σε ένα κείμενο ή Hex. Αυτόματη αποκωδικοποίηση και προβολή με τον επιθεωρητή δεδομένων.
Παρέχει προηγμένη αναζήτηση χρησιμοποιώντας λέξεις κλειδιά ή indexes(DTSearch) και Hashing(αναζήτηση με γνωστά hash για την εύρεση αρχείων).
Επίσης δίνει την δυνατότητα κατηγοριοποίησης, φιλτραρίσματος και μαρκαρίσματος των αρχείων των αναζητήσεων και των Data View κάνοντας ποιο εύκολη την προσπέλαση των αποτελεσμάτων.
Παρέχει υποστήριξη RAID, δίνοντας την δυνατότητα εργασίας με φυσικά ή εικονικά RAID πολυμέσα, συμπεριλαμβανομένου RAID, JBOD, RAID 0 και RAID 5 είτε είναι σε επίπεδο λογισμικού είτε υλικού.
Ανάκτηση δεδομένων και Carving, δίνοντας την δυνατότητα ανάκτησης φακέλων, αρχείων και διαμερισμάτων από το δίσκο. Χρησιμοποιήστε το εργαλείο File carving για την εύρεση και την ανάκτηση αρχείων μέσα από τα unallocated διαμερίσματα του δίσκου χρησιμοποιώντας τις υπογραφές αρχείων για την επιτυχία αυτού.
Ανάλυση Volume Shadow Copy ή αλλιώς ανάλυση στιγμιότυπων επιτρέπει την ανάλυση ενός δίσκου σε διαφορετικές χρονικές στιγμές.
Δυνατότητα Live Boot των αρχείων του Forensic Explorer κατα την εκκίνη του υπολογιστή.