Các công cụ pháp y kỹ thuật số giúp điều tra, bảo quản, trích xuất và ghi lại bằng chứng máy tính cho các thủ tục pháp luật. Bài viết này tập trung vào các công cụ pháp y kỹ thuật số.
Tổng quan
Các công cụ pháp y kỹ thuật số giúp điều tra, xác định, khai thác, bảo quản và tài liệu về bằng chứng kỹ thuật số. Các công cụ này liên quan đến việc thu thập các sự kiện trong các vụ án hình sự liên quan đến bằng chứng kỹ thuật số được tìm thấy trên máy tính và các thiết bị kỹ thuật số khác có thể được sử dụng bởi Tòa án pháp luật. Có nhiều công cụ pháp y kỹ thuật số nguồn mở giúp bạn thực hiện quyết định pháp y đơn giản và dễ dàng. Các ứng dụng phần mềm pháp y kỹ thuật số (DFS) này tạo ra các báo cáo đầy đủ về các sự kiện tội phạm có thể được sử dụng trong các thủ tục pháp lý. Khi tội phạm mạng phát triển và phát triển, các tổ chức thực thi pháp luật cần một đội các công cụ để bảo vệ và điều tra các sự cố. Bằng chứng kỹ thuật số hoặc bằng chứng điện tử có thể tồn tại trên một số nền tảng khác nhau và trong nhiều hình thức khác nhau mà một bên tham gia vụ kiện có thể sử dụng tại phiên tòa. Cho dù đó là trường hợp nhân sự nội bộ, một cuộc điều tra về truy cập máy chủ trái phép hoặc thiết bị di động, các công cụ pháp y kỹ thuật số nguồn mở sẽ giúp bạn tiến hành phân tích chuyên sâu về những gì nằm dưới mui xe của hệ thống. Điều tra pháp y bao gồm các bằng chứng vật lý liên quan đến tội phạm, phân tích hoạt động mạng, dấu vân tay, tệp, email, ổ cứng và nguồn manh mối để thiết lập cách xảy ra tội phạm. Sử dụng các công cụ pháp y kỹ thuật số phù hợp sẽ luôn giúp bạn di chuyển các cuộc điều tra nhanh hơn và dẫn đến kết quả hiệu quả hơn. Bài đăng trên blog sau đây phác thảo các công cụ pháp y kỹ thuật số nguồn mở hàng đầu vào năm 2021 để điều tra pháp y máy tính và những tổ chức bảo mật nào nên xem xét khi mua hoặc mua công cụ phần mềm pháp y kỹ thuật số phổ biến (DFS).
- Bộ công cụ xác minh di động (MVT)
- Wireshark
- Bộ dụng cụ Sleuth và khám nghiệm tử thi
- Khung biến động
- Bộ công cụ pháp y điều tra Sans (Sift)
- Tại sao bạn cần phần mềm pháp y kỹ thuật số?
- Suy nghĩ cuối cùng
1. Bộ công cụ xác minh di động (MVT) - Phân tích Android và iOS
Tổ chức Ân xá Quốc tế đã phát hành một bộ công cụ có tên Bộ công cụ xác minh di động hoặc MVT để giúp bạn tìm ra dấu vết pháp y để hiểu liệu phần mềm gián điệp Pegasus đã nhắm mục tiêu điện thoại iOS hoặc Andriod của bạn. Đặc trưng:
- Giải mã các bản sao lưu iOS được mã hóa.
- Quy trình và phân tích các bản ghi từ hệ thống iOS.
- Trích xuất các ứng dụng đã cài đặt từ các thiết bị Android.
- Trích xuất thông tin chẩn đoán từ các thiết bị Android thông qua giao thức ADB.
- So sánh các bản ghi được trích xuất với một danh sách các chỉ số độc hại ở định dạng STIX2.
- Tạo nhật ký JSON của các bản ghi được trích xuất.
- Bản ghi JSON riêng biệt của tất cả các dấu vết độc hại được phát hiện.
- Tạo một dòng thời gian theo thời gian thống nhất của các hồ sơ được trích xuất,
- Tạo một dòng thời gian tất cả các dấu vết độc hại được phát hiện. Liên kết :
2. Wireshark - Phân tích giao thức mạng
Wireshark là một công cụ phân tích gói mạng. Nó có thể được sử dụng để kiểm tra mạng và xử lý sự cố. Công cụ này giúp bạn kiểm tra lưu lượng truy cập khác nhau thông qua hệ thống máy tính của bạn. Đặc trưng:
- Nó cung cấp phân tích VoIP (giao thức qua Internet) phong phú.
- Chụp các tệp được nén với GZIP có thể được giải nén dễ dàng.
- Đầu ra có thể được xuất sang XML (ngôn ngữ đánh dấu mở rộng), tệp CSV (giá trị phân tách bằng dấu phẩy) hoặc văn bản thuần túy.
- Dữ liệu trực tiếp có thể được đọc từ mạng, màu xanh, ATM, USB, v.v.
- Hỗ trợ giải mã cho nhiều giao thức bao gồm IPSEC (bảo mật giao thức Internet), SSL (lớp ổ cắm an toàn) và WEP (quyền riêng tư tương đương có dây).
- Bạn có thể áp dụng phân tích trực quan, quy tắc tô màu cho gói.
- Cho phép bạn đọc hoặc ghi tệp ở bất kỳ định dạng nào. Liên kết : https://www.wireshark.org
3. Bộ dụng cụ Sleuth và khám nghiệm tử thi - Phân tích đĩa
Sleuth Kit & Khám nghiệm tử thi là một công cụ tiện ích dựa trên Windows giúp phân tích pháp y của các hệ thống máy tính dễ dàng hơn. Công cụ này cho phép bạn kiểm tra ổ cứng và điện thoại thông minh của bạn. Đặc trưng:
- Bạn có thể xác định hoạt động bằng giao diện đồ họa một cách hiệu quả.
- Ứng dụng này cung cấp phân tích cho email.
- Bạn có thể nhóm các tệp theo loại của họ để tìm tất cả các tài liệu hoặc hình ảnh.
- Nó hiển thị một hình thu nhỏ của hình ảnh để xem nhanh hình ảnh.
- Bạn có thể gắn thẻ các tệp với tên thẻ tùy ý.
- Bộ Sleuth cho phép bạn trích xuất dữ liệu từ nhật ký cuộc gọi, SMS, danh bạ, v.v.
- Nó giúp bạn gắn cờ các tệp và thư mục dựa trên đường dẫn và tên. Liên kết : https://www.sleuthkit.org
4. Khung biến động - Bộ nhớ pháp y
Khung biến động là phần mềm để phân tích bộ nhớ và pháp y. Đây là một trong những công cụ hình ảnh pháp y tốt nhất giúp bạn kiểm tra trạng thái thời gian chạy của hệ thống bằng cách sử dụng dữ liệu được tìm thấy trong RAM. Ứng dụng này cho phép bạn cộng tác với đồng đội của mình. Đặc trưng:
- Nó có API cho phép bạn tra cứu các cờ PTE (mục nhập bảng trang) một cách nhanh chóng.
- Khung biến động hỗ trợ KASLR (ngẫu nhiên bố trí không gian địa chỉ nhân).
- Công cụ này cung cấp nhiều plugin để kiểm tra hoạt động tệp MAC.
- Nó tự động chạy lệnh thất bại khi dịch vụ không bắt đầu nhiều lần. Liên kết : https://www.volatilityfoundation.org
5. Bộ công cụ pháp y điều tra Sans (SIFT) - Máy trạm Sift cho Ubuntu
Sans Sift là một phân phối pháp y máy tính dựa trên Ubuntu. Đây là một trong những công cụ pháp y máy tính tốt nhất cung cấp một cơ sở kiểm tra ứng phó pháp y và sự cố kỹ thuật số. Đặc trưng:
- Nó có thể hoạt động trên một hệ điều hành 64 bit.
- Công cụ này giúp người dùng sử dụng bộ nhớ theo cách tốt hơn.
- Nó tự động cập nhật gói DFIR (pháp y kỹ thuật số và ứng phó sự cố).
- Bạn có thể cài đặt nó thông qua trình cài đặt Sift-Cli (Giao diện dòng lệnh).
- Công cụ này chứa nhiều công cụ và kỹ thuật pháp y mới nhất. Liên kết : [https://digital-forensics.sans.org/THERTOR6]
Tại sao bạn cần phần mềm pháp y kỹ thuật số?
Bạn cần công cụ pháp y kỹ thuật số vì nó đóng một vai trò quan trọng trong cơ sở hạ tầng an ninh mạng toàn diện. Pháp y kỹ thuật số và an ninh mạng làm việc cùng nhau để bảo vệ sự hiện diện trực tuyến của bạn và thông tin dữ liệu riêng tư của bạn. Phần mềm pháp y kỹ thuật số (DFS) chuyên điều tra các hệ thống CNTT, bộ định tuyến hoặc máy chủ trong bối cảnh các sự kiện bảo mật. Pháp y kỹ thuật số có thể hữu ích cho các tập đoàn cũng như các công ty luật để xác định các mối đe dọa mạng. Doanh nghiệp của bạn cần các công cụ pháp y kỹ thuật số để tăng an ninh mạng bằng cách giảm nguy cơ trộm cắp danh tính, gian lận và các tội phạm kỹ thuật số khác. Công cụ pháp y kỹ thuật số thu thập thông tin bằng các công cụ phức tạp để đưa một người ra công lý để khai thác hoặc giả mạo thông tin cá nhân.
Suy nghĩ cuối cùng:
Chúng tôi đã thảo luận về hầu hết các công cụ pháp y kỹ thuật số nguồn mở phổ biến trải qua nhiều triển khai với thời gian quay vòng nhanh hơn so với các phương pháp truyền thống. Các công cụ pháp y dữ liệu chủ yếu dựa trên công nghệ với sự thay thế nhanh chóng để phân tích thủ công. Đây là một số công cụ miễn phí hàng đầu bạn có thể sử dụng cho pháp y. Chúng tôi hy vọng bạn thích đọc qua danh sách. Trong các bài viết blog sắp tới của chúng tôi, chúng tôi sẽ thảo luận về các chủ đề thú vị hơn về các công cụ pháp y kỹ thuật số nguồn mở. _Your có thể tham gia với chúng tôi trên Twitter, LinkedIn và trang Facebook của chúng tôi. Bạn thích công cụ pháp y kỹ thuật số nguồn mở nào? Nếu bạn có bất kỳ câu hỏi hoặc phản hồi nào, xin vui lòng liên hệ]10.
Khám phá:
Chúng tôi cũng có một số bài viết khác mà bạn có thể thích.