it-swarm-es.com

Informática forense: ¿qué hay en su caja de herramientas?

¿Qué herramientas utiliza para recopilar pruebas, crear imágenes de disco, inspeccionar la memoria en vivo, etc.?

22
gbr

La mayor parte de mi trabajo forense se realiza después del hecho en un entorno de laboratorio, por lo que para cuando me involucro, el trabajo en línea es demasiado tarde, es decir, no hay análisis de memoria.

Históricamente usaría

  1. EnCase
  2. Helix LiveCD
  3. Argus

Recientemente comencé a alejarme de esa combinación y a

  1. Argus
  2. Autopsia - Para adquisición y análisis del sistema
  3. BackTrack (Modo forense)
  4. sed/awk/grep/last, etc.

En ambos casos, las adquisiciones se realizan utilizando el bloqueador de escritura que sea apropiado, la mayoría de los que uso son realizados por Tablea . Una razón por la que me cambié a Autopsy es el soporte para bases de datos hash, como NSRL . Otro es que es gratis. EnCase es una gran herramienta, pero cara.

10
Scott Pack

No he profundizado mucho en el tema, pero quizás este sitio pueda ayudarlo - http://www2.opensourceforensics.org/home .

4
anonymous

No he visto FTK por datos de acceso mencionado. He usado Encase y FTK hace unos años, ambos tienen sus ventajas y desventajas, pero es otra herramienta forense aceptada comercialmente y aceptada por los tribunales.

Soy partidario de escribir bloqueadores de weibetech, pero no tengo mucha experiencia con otros proveedores. Puede mirar verificación NIST para bloqueadores de escritura . También hay informes de verificación sobre software/hardware adicional de pruebas de herramientas forenses del NIST como ese sitio web.

4
Reiger

Echa un vistazo a bulk_extractor , un programa que busca automáticamente direcciones de correo electrónico, números de tarjetas de crédito y otra información de imágenes de disco. Luego produce un histograma que le permite identificar el uso principal del disco duro y los contactos principales de esa persona. Incluso busca en archivos comprimidos.

4
vy32

Siempre usé EnCase y Coroner's Toolkit (estos días es el Sleuthkit ) junto con dd. Para ser honesto, los LiveCD de Helix y BackTrack están prácticamente disponibles para análisis forense técnico, internamente dentro de una organización, o si no tiene la intención de involucrar a la policía o los tribunales.

El problema que tendrá se presenta si necesita presentarse ante el tribunal.

En ese punto, dependiendo de su jurisdicción, EnCase gana sin lugar a dudas, simplemente porque las fuerzas policiales tienden a saberlo, por lo que pueden responder por ello en los tribunales. Si no puede obtener la aprobación certificada para su kit de herramientas favorito, vaya con EnCase.

3
Rory Alsop

Puede consultar este artículo de NIST http://www.cftt.nist.gov/ , aunque no es una caja de herramientas sino una forma de realizar pruebas.

2
Mohamed

Recopilación de pruebas
captura de red y http

  1. Etéreo
  2. Netmon
  3. Fiddler
  4. Firebug
  5. httpwatch

Registros de eventos

LogParser 2

2
Anonymous Type