Pháp y kỹ thuật số là một quá trình lưu giữ, xác định, trích xuất và tài liệu bằng chứng máy tính có thể được sử dụng bởi tòa án pháp luật. Có rất nhiều công cụ giúp bạn thực hiện quá trình này đơn giản và dễ dàng. Các ứng dụng này cung cấp các báo cáo hoàn chỉnh có thể được sử dụng cho các thủ tục pháp lý.
Sau đây là danh sách Bộ công cụ pháp y kỹ thuật số được lựa chọn cẩn thận, với các tính năng phổ biến và liên kết trang web của chúng. Danh sách này chứa cả phần mềm nguồn mở (miễn phí) và phần mềm thương mại (trả phí).
1) Pháp y ProDiscover
ProDiscover Forensic là một ứng dụng bảo mật máy tính cho phép bạn định vị tất cả dữ liệu trên đĩa máy tính. Nó có thể bảo vệ bằng chứng và tạo ra các báo cáo chất lượng cho việc sử dụng các thủ tục pháp lý. Công cụ này cho phép bạn trích xuất thông tin EXIF (Định dạng tệp hình ảnh có thể trao đổi) từ các tệp JPEG.webp.
Các tính năng :
- Sản phẩm này hỗ trợ các hệ thống tệp Windows, Mac và Linux.
- Bạn có thể xem trước và tìm kiếm các tệp đáng ngờ một cách nhanh chóng.
- Nó tạo ra một bản sao của toàn bộ đĩa bị nghi ngờ để giữ an toàn cho bằng chứng gốc.
- Công cụ này giúp bạn xem lịch sử internet.
- Bạn có thể nhập hoặc xuất hình ảnh định dạng .dd.
- Nó cho phép bạn thêm nhận xét vào bằng chứng về sự quan tâm của bạn.
- ProDiscover Forensic hỗ trợ VMware chạy một hình ảnh đã chụp.
Liên kết : https://www.prodiscover.com
2) Bộ dụng cụ kiểm tra (+ Khám nghiệm tử thi)
Sleuth Kit (+ Khám nghiệm tử thi) là một công cụ tiện ích dựa trên Windows giúp phân tích pháp y hệ thống máy tính dễ dàng hơn. Công cụ này cho phép bạn kiểm tra ổ cứng và điện thoại thông minh của mình.
Các tính năng :
- Bạn có thể xác định hoạt động bằng cách sử dụng giao diện đồ họa một cách hiệu quả.
- Ứng dụng này cung cấp phân tích cho các email.
- Bạn có thể nhóm các tệp theo loại của chúng để tìm tất cả tài liệu hoặc hình ảnh.
- Nó hiển thị một hình thu nhỏ của hình ảnh để xem nhanh hình ảnh.
- Bạn có thể gắn thẻ các tệp bằng các tên thẻ tùy ý.
- Bộ Sleuth cho phép bạn trích xuất dữ liệu từ nhật ký cuộc gọi, SMS, danh bạ, v.v.
- Nó giúp bạn gắn cờ các tệp và thư mục dựa trên đường dẫn và tên.
Liên kết : https://www.sleuthkit.org
3) CAINE
CAINE là một ứng dụng dựa trên Ubuntu cung cấp một môi trường pháp y hoàn chỉnh cung cấp giao diện đồ họa. Công cụ này có thể được tích hợp vào các công cụ phần mềm hiện có dưới dạng một mô-đun. Nó tự động trích xuất dòng thời gian từ RAM.
Các tính năng :
- Nó hỗ trợ người điều tra kỹ thuật số trong bốn giai đoạn của cuộc điều tra kỹ thuật số.
- Nó cung cấp một giao diện thân thiện với người dùng.
- Bạn có thể tùy chỉnh các tính năng của CAINE.
- Phần mềm này cung cấp nhiều công cụ thân thiện với người dùng.
Liên kết : https://www.caine-live.net
4) PALADIN
PALADIN là công cụ dựa trên Ubuntu cho phép bạn đơn giản hóa một loạt các nhiệm vụ pháp y. Nó cung cấp hơn 100 công cụ hữu ích để điều tra bất kỳ tài liệu độc hại nào. Công cụ này giúp bạn đơn giản hóa nhiệm vụ pháp y của mình một cách nhanh chóng và hiệu quả.
Các tính năng :
- Nó cung cấp cả phiên bản 64-bit và 32-bit.
- Công cụ này có sẵn trên ổ USB.
- Hộp công cụ này có các công cụ mã nguồn mở giúp bạn dễ dàng tìm kiếm thông tin cần thiết.
- Công cụ này có hơn 33 danh mục hỗ trợ bạn hoàn thành nhiệm vụ pháp y mạng.
Liên kết : https://sumuri.com/software/paladin/
5) EnCase
Encase là một ứng dụng giúp bạn khôi phục bằng chứng từ ổ cứng. Nó cho phép bạn tiến hành phân tích sâu các tệp để thu thập bằng chứng như tài liệu, hình ảnh, v.v.
Các tính năng :
- Bạn có thể lấy dữ liệu từ nhiều thiết bị, bao gồm điện thoại di động, máy tính bảng, v.v.
- Nó cho phép bạn tạo ra các báo cáo hoàn chỉnh để duy trì tính toàn vẹn của bằng chứng.
- Bạn có thể nhanh chóng tìm kiếm, xác định cũng như ưu tiên bằng chứng.
- Mã hóa pháp y giúp bạn mở khóa bằng chứng được mã hóa.
- Nó tự động hóa việc chuẩn bị bằng chứng.
- Bạn có thể thực hiện phân tích sâu và phân tích (mức độ nghiêm trọng và mức độ ưu tiên của các khuyết tật).
Liên kết : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT là một bản phân phối pháp y máy tính dựa trên Ubuntu. Nó cung cấp một phương tiện kiểm tra phản ứng sự cố và pháp y kỹ thuật số.
Các tính năng :
- Nó có thể hoạt động trên hệ điều hành 64-bit.
- Công cụ này giúp người dùng sử dụng bộ nhớ một cách tốt hơn.
- Nó tự động cập nhật gói DFIR (Pháp y kỹ thuật số và Ứng phó sự cố).
- Bạn có thể cài đặt nó thông qua trình cài đặt SIFT-CLI (Command-Line Interface).
- Công cụ này chứa nhiều công cụ và kỹ thuật pháp y mới nhất.
Liên kết : https://digital-forensics.sans.org/community/downloads/
7) Hình ảnh FTK
FTK Imager là một bộ công cụ pháp y do AccessData phát triển có thể được sử dụng để lấy bằng chứng. Nó có thể tạo ra các bản sao dữ liệu mà không cần thay đổi bằng chứng gốc. Công cụ này cho phép bạn chỉ định các tiêu chí, như kích thước tệp, kích thước pixel và kiểu dữ liệu, để giảm lượng dữ liệu không liên quan.
Các tính năng :
- Nó cung cấp một phương pháp tiếp cận theo hướng thuật sĩ để phát hiện tội phạm mạng.
- Chương trình này cung cấp hình ảnh tốt hơn về dữ liệu bằng cách sử dụng biểu đồ.
- Bạn có thể khôi phục mật khẩu từ hơn 100 ứng dụng.
- Nó có một cơ sở phân tích dữ liệu tiên tiến và tự động.
- FTK Imager giúp bạn quản lý các hồ sơ có thể sử dụng lại cho các yêu cầu điều tra khác nhau.
- Nó hỗ trợ sàng lọc trước và sau xử lý.
Liên kết : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Chụp RAM nam châm
Chụp RAM nam châm ghi lại bộ nhớ của một máy tính bị nghi ngờ. Nó cho phép các nhà điều tra khôi phục và phân tích các vật phẩm có giá trị được tìm thấy trong bộ nhớ.
Các tính năng :
- Bạn có thể chạy ứng dụng này trong khi giảm thiểu dữ liệu bị ghi đè trong bộ nhớ.
- Nó cho phép bạn xuất dữ liệu bộ nhớ đã chụp và tải nó lên các công cụ phân tích như nam châm AXIOM và nam châm IEF.
- Ứng dụng này hỗ trợ một loạt các hệ điều hành Windows.
- Chụp RAM nam châm hỗ trợ thu nhận RAM.
Liên kết : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) Pháp y X-Ways
X-Ways là phần mềm cung cấp môi trường làm việc cho các giám định viên pháp y trên máy tính. Chương trình này hỗ trợ sao chép đĩa và hình ảnh. Nó cho phép bạn cộng tác với những người khác có công cụ này.
Các tính năng :
- Nó có khả năng đọc cấu trúc hệ thống tệp và phân vùng bên trong tệp ảnh .dd.
- Bạn có thể truy cập đĩa, RAID (Mảng dự phòng của đĩa độc lập), v.v.
- Nó tự động xác định các phân vùng bị mất hoặc bị xóa.
- Công cụ này có thể dễ dàng phát hiện NTFS (Hệ thống tệp công nghệ mới) và ADS (Luồng dữ liệu thay thế).
- X-Ways Forensics hỗ trợ đánh dấu hoặc chú thích.
- Nó có khả năng phân tích máy tính từ xa.
- Bạn có thể xem và chỉnh sửa dữ liệu nhị phân bằng cách sử dụng các mẫu.
- Nó cung cấp bảo vệ ghi để duy trì tính xác thực của dữ liệu.
Liên kết : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark là một công cụ phân tích một gói mạng. Nó có thể được sử dụng để kiểm tra mạng và khắc phục sự cố. Công cụ này giúp bạn kiểm tra lưu lượng truy cập khác nhau đi qua hệ thống máy tính của bạn.
Các tính năng :
- Nó cung cấp phân tích VoIP (Giao thức thoại qua Internet) phong phú.
- Các tệp tin được nén bằng gzip có thể được giải nén dễ dàng.
- Đầu ra có thể được xuất sang tệp XML (Ngôn ngữ đánh dấu có thể mở rộng), CSV (Giá trị được phân tách bằng dấu phẩy) hoặc văn bản thuần túy.
- Dữ liệu trực tiếp có thể được đọc từ mạng, blue-răng, ATM, USB, v.v.
- Hỗ trợ giải mã cho nhiều giao thức bao gồm IPsec (Bảo mật giao thức Internet), SSL (Lớp cổng bảo mật) và WEP (Quyền riêng tư tương đương có dây).
- Bạn có thể áp dụng phân tích trực quan, quy tắc tô màu cho gói tin.
- Cho phép bạn đọc hoặc ghi tệp ở bất kỳ định dạng nào.
Liên kết : https://www.wireshark.org
11) Cơ quan đăng ký
Registry Recon là một công cụ pháp y máy tính được sử dụng để trích xuất, khôi phục và phân tích dữ liệu đăng ký từ hệ điều hành Windows. Chương trình này có thể được sử dụng để xác định một cách hiệu quả các thiết bị bên ngoài đã được kết nối với bất kỳ PC nào.
Đặc trưng:
- Nó hỗ trợ Windows XP, Vista, 7, 8, 10 và các hệ điều hành khác.
- Công cụ này tự động khôi phục dữ liệu NTFS có giá trị.
- Bạn có thể tích hợp nó với công cụ tiện ích Microsoft Disk Manager.
- Nhanh chóng gắn kết tất cả các VSC (Bản sao ổ đĩa) VSC trong một đĩa.
- Chương trình này xây dựng lại cơ sở dữ liệu đăng ký đang hoạt động.
Liên kết : https://arsenalrecon.com/products/
12) Khung biến động
Khung biến động là phần mềm để phân tích bộ nhớ và pháp y. Nó giúp bạn kiểm tra trạng thái thời gian chạy của hệ thống bằng cách sử dụng dữ liệu có trong RAM. Ứng dụng này cho phép bạn cộng tác với đồng đội của mình.
Các tính năng :
- Nó có API cho phép bạn tra cứu cờ PTE (Mục nhập bảng trang) một cách nhanh chóng.
- Khung biến động hỗ trợ KASLR (Kernel Address Space Layout Randomization).
- Công cụ này cung cấp nhiều plugin để kiểm tra hoạt động của tệp Mac.
- Nó tự động chạy lệnh Failure khi một dịch vụ không thể khởi động nhiều lần.
Liên kết : https://www.volposefoundation.org
13) Xplico
Xplico là một ứng dụng phân tích pháp y mã nguồn mở. Nó hỗ trợ HTTP (Giao thức truyền siêu văn bản), IMAP (Giao thức truy cập tin nhắn Internet), v.v.
Các tính năng :
- Bạn có thể lấy dữ liệu đầu ra của mình trong cơ sở dữ liệu SQLite hoặc cơ sở dữ liệu MySQL.
- Công cụ này cung cấp cho bạn sự cộng tác trong thời gian thực.
- Không giới hạn kích thước đối với mục nhập dữ liệu hoặc số lượng tệp.
- Bạn có thể dễ dàng tạo bất kỳ loại điều phối nào để tổ chức dữ liệu được trích xuất một cách hữu ích.
- Nó hỗ trợ cả IPv4 và IPv6.
- Bạn có thể thực hiện tra cứu DNS dự trữ từ các gói DNS có tệp đầu vào.
- Xplico cung cấp tính năng PIPI (Nhận dạng Giao thức Độc lập Cổng) để hỗ trợ pháp y kỹ thuật số.
Liên kết : https://www.xplico.org
14) e-fense
E-fense là một công cụ giúp bạn đáp ứng các nhu cầu về pháp y máy tính và an ninh mạng. Nó cho phép bạn khám phá các tệp từ bất kỳ thiết bị nào trong một giao diện sử dụng đơn giản.
Các tính năng :
- Nó cung cấp sự bảo vệ khỏi các hành vi độc hại, tấn công và vi phạm chính sách.
- Bạn có thể lấy lịch sử internet, bộ nhớ và ảnh chụp màn hình từ hệ thống vào ổ USB.
- Công cụ này có giao diện dễ sử dụng cho phép bạn đạt được mục tiêu điều tra của mình.
- E-fense hỗ trợ đa luồng, có nghĩa là bạn có thể thực thi nhiều luồng đồng thời.
Liên kết : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike là phần mềm pháp y kỹ thuật số cung cấp thông tin tình báo về mối đe dọa, bảo mật điểm cuối, v.v. Nó có thể nhanh chóng phát hiện và phục hồi sau các sự cố an ninh mạng. Bạn có thể sử dụng công cụ này để tìm và chặn những kẻ tấn công trong thời gian thực.
Các tính năng :
- Công cụ này giúp bạn quản lý các lỗ hổng của hệ thống.
- Nó có thể tự động phân tích phần mềm độc hại.
- Bạn có thể bảo mật trung tâm dữ liệu ảo, vật lý và dựa trên đám mây của mình.
Liên kết : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/