Computer Forensics: cosa c'è nella tua cassetta degli attrezzi?

Quali strumenti usi per raccogliere prove, creare immagini disco, ispezionare la memoria live e così via?

    
posta gbr 11.11.2010 - 23:21
fonte

7 risposte

La maggior parte del mio lavoro di medicina legale viene eseguita dopo il fatto in un ambiente di laboratorio, quindi per il momento in cui sono coinvolto il lavoro on-line è troppo tardi, cioè nessuna analisi della memoria.

Storicamente vorrei usare

  1. EnCase
  2. Helix LiveCD
  3. Argus

Recentemente ho iniziato a spostarmi da quella combinazione e a

  1. Argus
  2. Autopsia - Per aquisizione e analisi di sistema
  3. BackTrack (modalità Forensics)
  4. sed / awk / grep / last, ecc.

In entrambi i casi le acquisizioni vengono eseguite utilizzando qualsiasi write-blocker appropriato, la maggior parte di quelli che uso sono creati da Tableau . Una delle ragioni per cui sono passato all'autopsia è il supporto per i database hash, come NSRL . Un altro è che è gratuito. EnCase è un ottimo strumento, ma costoso.

    
risposta data 09.12.2010 - 18:02
fonte

Non ho approfondito molto l'argomento, ma forse questo sito potrebbe aiutarti - link .

    
risposta data 12.11.2010 - 00:49
fonte

Dai un'occhiata a bulk_extractor , un programma che trova automaticamente indirizzi email, numeri di carte di credito e altre informazioni dalle immagini del disco. Produce quindi un istogramma che consente di identificare l'uso principale del disco rigido e i contatti primari di quella persona. Cerca anche nei file compressi.

    
risposta data 14.12.2010 - 17:17
fonte

Non ho visto FTK dai dati di accesso menzionati. Alcuni anni fa ho utilizzato sia Encase che FTK, entrambi hanno i loro vantaggi e svantaggi, ma è un altro strumento di analisi forense supportato commercialmente e giudiziario.

Sono parziale a scrivere blockers da weibetech, ma non ho molta esperienza con altri venditori. Potresti consultare la verifica NIST per i bloccanti di scrittura . Ci sono anche rapporti di verifica su software / hardware aggiuntivi da test di strumenti forensi NIST come quel sito web.

    
risposta data 13.12.2010 - 18:10
fonte

Ho sempre usato EnCase e Coroner's Toolkit (questo giorno è il Sleuthkit ) insieme a dd. Per essere onesti ora i LiveCD di Helix e BackTrack sono praticamente lì per la scientifica forense, internamente all'interno di un'organizzazione, o se non hai intenzione di coinvolgere forze dell'ordine o tribunali.

Il problema che avrai verrà se devi presentarti in tribunale.

A quel punto, a seconda della tua giurisdizione, EnCase vince a mani basse - semplicemente perché le forze di polizia tendono a saperlo e quindi possono garantirlo in tribunale. Se non puoi ottenere l'approvazione per il tuo kit di strumenti preferito, vai con EnCase.

    
risposta data 09.12.2010 - 18:38
fonte

Puoi controllare questo articolo dal NIST link , sebbene non sia un toolbox ma un modo per eseguire test.

    
risposta data 12.11.2010 - 00:55
fonte

Raccolta di prove
acquisizione di rete e http

  1. Ethereal
  2. Netmon 3
  3. Fiddler
  4. Firebug
  5. link

Registri eventi

LogParser 2

    
risposta data 17.11.2010 - 00:17
fonte

Leggi altre domande sui tag