Meilleurs outils gratuits de criminalistique informatique
Presque tous les jours, nous constatons qu’il y a des fuites de données de particuliers ou d’entreprises vers Internet, soit en raison d’une mauvaise configuration dans le réseau et dans les systèmes informatiques, soit parce qu’un cybercriminel a réussi à contourner les mesures de sécurité mises en place et en a fini avec beaucoup d’informations qui se sont ensuite retrouvées sur Internet. Aujourd’hui, dans RedesZone, nous allons parler des meilleurs outils gratuits pour la criminalistique informatique , car lorsqu’un incident de sécurité se produit, il est essentiel de retracer d’où il vient, ce qui s’est passé et comment agir pour que cela ne se reproduise plus. .
Introduction à l’informatique judiciaire numérique
La criminalistique numérique est une spécialité très importante de la sécurité informatique. C’est un ensemble de techniques qui permettent d’extraire des informations des disques et mémoires d’un ordinateur, sans altérer leur état. Ceci est utilisé pour rechercher des données, essayer de détecter un modèle ou découvrir des informations qui ne sont pas bien visibles. En cas d’incident de sécurité, il est essentiel d’effectuer une analyse médico-légale numérique sur tous les supports d’information, tels que les disques durs, SSD, clés USB et autres types de stockage interne et externe.
Le travail d’un informaticien judiciaire comporte différentes étapes, dont la première est l’acquisition et la conservation des données d’un système, car il est essentiel de conserver toutes les informations en lieu sûr. Pour effectuer ce travail, des outils logiciels gratuits et payants sont utilisés, ainsi que des outils matériels pour le clonage de disque. À ce stade, il est très important d’avoir une copie exacte des disques et d’accéder au système de fichiers complet, en analysant en détail le système de fichiers, les documents, les enregistrements internes du système d’exploitation et bien plus encore.
Ensuite, nous avons la phase d’analyse approfondie de toutes les informations, où l’expert analysera en détail toutes les informations qu’il a obtenues et essaiera de découvrir ce qui s’est passé dans le système pour qu’il ait été exposé, et aussi comment ils ont réussi à mettre la main sur toutes les données. Actuellement, il existe des suites médico-légales qui nous facilitent la vie, car nous pouvons rechercher dans une grande quantité d’informations ce dont nous avons besoin. Bien sûr, nous pouvons effectuer des activités telles que la récupération de fichiers précédemment supprimés, car de nombreuses informations peuvent être facilement récupérées car elles n’ont pas été écrasées.
Bien qu’au début, vous puissiez penser que l’analyse médico-légale numérique ne se limite qu’aux ordinateurs, aux appareils mobiles tels que les smartphones et les tablettes, etc., la vérité est qu’elle s’étend également aux données que nous envoyons et transmettons via le réseau filaire ou sans fil, donc il est très important d’avoir des outils de ce type.
Si nous voulons lutter contre la cybercriminalité et protéger les actifs numériques que nous avons sur Internet, la meilleure façon de le faire est de recourir à l’informatique judiciaire. Grâce à ces outils que nous allons vous indiquer, nous pourrons obtenir et analyser ces tests importants des différents appareils électroniques et supports de stockage de données.
Ensuite, nous présentons une liste complète d’outils médico-légaux, à la fois des systèmes d’exploitation orientés vers l’informatique judiciaire, ainsi que des outils intégrés à ces systèmes d’exploitation.
Systèmes d’exploitation complets orientés vers la criminalistique informatique
Il existe actuellement des systèmes d’exploitation tout-en-un, qui disposent de la grande majorité des outils d’investigation informatique que nous verrons ci-dessous. Si vous envisagez de mener une analyse médico-légale et que vous ne disposez pas d’un système d’exploitation tout-en-un créé avec vos propres outils, ces systèmes d’exploitation vous permettent de démarrer rapidement.
CAINE
CAINE est un système d’exploitation complet spécifiquement orienté vers la criminalistique informatique, il est basé sur Linux et intègre la grande majorité des outils dont nous aurons besoin pour effectuer une analyse criminalistique complète. Il a une interface utilisateur graphique, il est très facile à utiliser, bien que vous ayez bien sûr besoin des connaissances appropriées pour utiliser chacun de ses outils.
CAINE peut être utilisé en mode LiveCD sans toucher au stockage de l’ordinateur où nous voulons le démarrer, de cette façon, toutes les informations sur le disque dur resteront intactes pour faire plus tard la copie de toutes les informations. Parmi les outils inclus avec CAINE, nous avons les suivants : The Sleuth Kit, Autopsy, RegRipper, Wireshark, PhotoRec, Fsstat et bien d’autres.
Un aspect très important de CAINE est qu’il dispose également d’outils qui peuvent être exécutés directement sur les systèmes d’exploitation Windows, donc si nous téléchargeons l’image ISO et extrayons son contenu, nous pouvons accéder au logiciel pour Windows qu’il intègre, sans avoir à démarrer le LiveCD ou utilisez une machine virtuelle. Certains des outils pour Windows dont nous disposons sont : Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, Network tools, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC et analyseur de fichiers Windows.
Kali Linux
Kali Linux est l’un des systèmes d’exploitation liés à la sécurité informatique les plus utilisés, à la fois pour les tests d’intrusion et pour l’investigation informatique, car nous avons à l’intérieur un grand nombre d’outils préinstallés et configurés pour lancer une analyse médico-légale dès que possible.
Ce système d’exploitation contient non seulement un grand nombre d’outils médico-légaux, mais il dispose également d’un mode Live spécifique pour l’analyse médico-légale, et il n’écrit rien du tout sur le disque dur ou le stockage interne que nous avons sur nos ordinateurs. Cela évite également que lorsque nous introduisons un périphérique de stockage amovible, il soit monté automatiquement, mais nous devrons le faire nous-mêmes manuellement.
DEFT Linux et DEFT Zéro
Le système d’ exploitation DEFT Linux est également spécifiquement orienté vers l’analyse médico-légale, il intègre la grande majorité des outils CAINE et Kali Linux, c’est une alternative de plus dont nous disposons et que nous pouvons utiliser. La chose la plus remarquable à propos de DEFT est qu’il dispose d’un grand nombre d’outils médico-légaux prêts à l’emploi.
DEFT Zero est une version beaucoup plus légère et réduite de DEFT, elle est orientée exactement vers la même chose, mais maintenant nous aurons besoin de moins de ressources pour pouvoir l’utiliser sans problème, de plus, elle est compatible à la fois avec 32 bits et 64 -bit, ainsi que les systèmes UEFI.
Outils d’analyse médico-légale gratuits
Une fois que nous aurons vu tous les systèmes d’exploitation orientés vers l’informatique et l’analyse médico-légale, nous allons voir différents outils gratuits pour effectuer des tâches médico-légales. Tous les outils que nous allons vous enseigner sont entièrement gratuits, et en fait, ils sont intégrés à ces distributions Linux que nous venons de vous montrer.
Kit d’autopsie et le détective
L’outil Autopsy est l’un des plus utilisés et recommandés, il nous permettra de localiser de nombreux programmes et plugins open source, c’est comme une bibliothèque Unix et des utilitaires Windows, ce qui facilite grandement l’analyse médico-légale des systèmes informatiques.
Autopsy est une interface utilisateur graphique qui affiche les résultats de la recherche médico-légale. Cet outil est largement utilisé par la police, l’armée et les entreprises lorsqu’elles souhaitent enquêter sur ce qui est arrivé à un ordinateur.
L’un des aspects les plus intéressants est qu’il est extensible, cela signifie que les utilisateurs peuvent ajouter de nouveaux plugins facilement et rapidement. Il intègre par défaut certains outils comme PhotoRec pour récupérer des fichiers, et il permet même d’extraire des informations EXIF des images et des vidéos.
Quant à The Sleuth Kit , il s’agit d’un ensemble d’outils de commande en ligne pour enquêter et analyser le volume et les systèmes de fichiers utilisés dans les enquêtes médico-légales numériques. Grâce à sa conception modulaire, il peut être utilisé pour obtenir les bonnes données et trouver des preuves. En outre, il est compatible et fonctionne sur Linux et fonctionne sur les plates-formes Windows et Unix.
Détecteur de disque crypté magnétique
Cet outil fonctionne via la ligne de commande, il vérifie de manière rapide et non intrusive les volumes chiffrés sur un ordinateur, pour savoir s’ils existent et ensuite essayer d’y accéder avec d’autres outils. La dernière version disponible est la 3.0, et c’est celle qu’il est recommandé d’utiliser, de plus, il est recommandé d’utiliser le système d’exploitation Windows 7 ou supérieur. Cet outil nous permet de détecter les disques physiques chiffrés avec TrueCrypt, PGP, VeraCrypt, SafeBoot ou Bitlocker de Microsoft. Magnet Encrypted Disk Detector est entièrement gratuit, mais nous devrons nous inscrire sur son site officiel pour procéder au téléchargement.
Capture de RAM magnétique et Capture de RAM
Magnet RAM Capture est un outil conçu pour obtenir la mémoire physique de l’ordinateur où nous l’utilisons. En l’utilisant, nous pouvons récupérer et analyser des données très précieuses qui sont stockées dans la RAM et non sur un disque dur ou un SSD. Il est possible que, dans certains cas, on doive chercher les preuves directement dans la mémoire RAM, et il faut se rappeler que la RAM est volatile et qu’elle s’efface à chaque fois que l’on éteint l’équipement.
Que trouve-t-on dans la RAM ? Processus, programmes exécutés sur le système, connexions réseau, preuves de logiciels malveillants, informations d’identification des utilisateurs et bien plus encore. Cet outil permet d’exporter des données mémoire brutes, sans traitement, pour charger ultérieurement ces informations dans d’autres outils spécialement conçus pour cela. Bien entendu, ce logiciel est également gratuit.
Un autre outil similaire est RAM Capturer , nous pouvons vider les données de la mémoire RAM d’un ordinateur sur un disque dur, une clé USB ou un autre périphérique de stockage amovible. Cet outil nous permettra d’accéder aux informations d’identification des utilisateurs de volumes chiffrés tels que TrueCrypt, BitLocker, PGP Disk ou les informations d’identification de compte pour de nombreux services de messagerie Web et réseaux sociaux, car toutes ces informations sont généralement stockées dans la mémoire RAM.
Capture de processus magnétique
MAGNET Process Capture est un outil gratuit qui nous permettra de capturer la mémoire des processus individuels d’un système, c’est-à-dire que si nous avons besoin de connaître les données qu’un certain processus de notre système d’exploitation utilise, nous pouvons le faire avec cela.
Économiseur de page Web Magnet et FAW
MAGNET Web Page Saver est une alternative au précédent, et il est mis à jour afin que nous ayons toutes les améliorations. Cet outil est parfait pour capturer comment est le Web à un certain moment, il est particulièrement utile lorsque nous voulons montrer un site Web, mais que nous n’avons pas de connexion Internet. De plus, cet outil permet des captures de chaque page, nous pouvons indiquer les URL manuellement ou les importer via un fichier texte ou CSV, en plus, nous pouvons facilement naviguer sur le web téléchargé.
FAW ou Forensics Acquisition of Websites, est un outil qui nous permet de télécharger des pages Web complètes pour une analyse médico-légale ultérieure, les exigences de cet outil sont très basiques, vous pouvez donc l’exécuter sans problème. Avec cet outil, nous pouvons acquérir facilement et rapidement des preuves à partir de pages Web. D’autres fonctionnalités intéressantes sont que nous pouvons décider quelle zone du Web nous voulons analyser, nous pouvons capturer les images, le code source HTML et il peut même être intégré à Wireshark que nous avons vu précédemment.
TAMISER
SIFT , qui signifie SANS Investigative Forensic Toolkit, est une suite complète d’outils médico-légaux et l’une des plates-formes open source de réponse aux incidents les plus populaires. En ce qui concerne les systèmes d’exploitation, nous disposons d’une version à utiliser dans la machine virtuelle qui utilise Ubuntu LTS 16.04 dans sa version 64 bits, cette version a subi des changements importants, tels que, par exemple, une meilleure utilisation de la mémoire, la mise à jour automatique du package DFIR pour la réponse à incidents informatiques, intègre les derniers outils médico-légaux et techniques, ainsi qu’une disponibilité croisée entre Linux et Windows.
Cet outil est un tout-en-un vraiment intéressant et recommandé, tous les outils sont gratuits et ils sont conçus pour effectuer des examens médico-légaux numériques détaillés prenant en charge une grande variété de situations. L’un des aspects les plus remarquables est qu’il est mis à jour très fréquemment.
Volatility est une autre application d’analyse de mémoire open source pour la réponse aux incidents et l’analyse des logiciels malveillants, cet outil est intégré à SIFT. Il permet aux chercheurs d’analyser l’état d’exécution d’un appareil, en lisant la RAM. Volatility n’a pas beaucoup de mises à jour, mais ce framework est vraiment puissant et il l’est toujours avec des mises à jour.
Nous vous recommandons d’accéder à son site officiel où vous trouverez tous les détails sur cet excellent outil.
Programmes de hachage et de vérification d’intégrité
HashMyFiles vous aidera à calculer les hachages MD5 et SHA1 et fonctionne sur presque tous les systèmes d’exploitation Windows, cet outil est l’un des plus utilisés par tous pour calculer ces hachages et garantir l’intégrité de tous les fichiers, donc si vous modifiez un seul bit, il sera aussi changer complètement le hachage que nous avons. Il existe de nombreux autres programmes de ce style, à la fois pour Windows et Linux, pour n’en nommer que quelques-uns, dans Windows, nous avons également IgorWare Hasher , HashCheck , HashTools et bien d’autres, pour Linux nous avons par défaut md5sum et sha1sum installés dans le système d’exploitation lui-même.
Réponse de la foule
Crowdresponse est une application Windows de Crowd Strike, cet outil vous permettra de collecter des informations du système d’exploitation pour répondre aux incidents survenus et à tout compromis sur la sécurité du système. Ce programme est portable, ne nécessite pas d’installation et tous les modules sont intégrés à l’application principale et aucun outil externe tiers n’est requis.
CrowdResponse est idéal pour la collecte de données non intrusives à partir de plusieurs systèmes lorsqu’ils sont placés sur le réseau. Il dispose également d’autres outils utiles pour les enquêteurs Shellshock Scanner, qui analysera votre réseau à la recherche d’une vulnérabilité shellshock et bien plus encore.
Exiftool
Toute image et vidéo intègre des données EXIF avec toutes les métadonnées d’image, cet outil gratuit vous aidera à lire, écrire et modifier les méta-informations pour différents types de fichiers. Il est capable de lire EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, etc. Cet outil s’exécute directement sans installation, est portable et est disponible pour Windows et macOS.
Cet outil est une bibliothèque Perl autonome plus une application en ligne de commande pour lire, écrire et éditer des méta-informations dans une grande variété de formats.
Comme vous pouvez le voir, il prend en charge de nombreux formats de métadonnées différents et certaines de ses fonctionnalités incluent ses images Geotags de fichiers journaux de suivi GPS avec correction de dérive temporelle, et il génère également des journaux de suivi d’images géomarquées.
Cet outil est l’un des plus complets pour voir toutes les métadonnées d’une image.
Browser History Capturer (BHC) et Browser History Viewer (BHV)
El software Browser History Capture nos permite capturar el historial de navegación web de cualquier sistema operativo Windows, posteriormente, podremos usar Browser History Viewer (BHV) que es una herramienta de software forense para extraer y ver el historial de Internet de los principales navegadores web de bureau.
Nous pouvons trouver les deux gratuitement. Ces outils peuvent être exécutés à partir d’une mémoire USB et ce qu’il fera essentiellement est de capturer l’historique des principaux navigateurs : Chrome, Edge, Firefox et Internet Explorer. Les fichiers d’historique sont copiés vers une destination dans leur format d’origine pour un traitement ultérieur.
Suite médico-légale Paladin
Paladin est un outil basé sur Ubuntu qui simplifie la tâche de la criminalistique informatique. On retrouvera un grand nombre d’outils dans cette suite pour effectuer différentes tâches, le plus remarquable est qu’elle intègre plus de 100 outils très utiles pour enquêter sur les incidents informatiques. Grâce à Paladin, nous pouvons simplifier et accélérer les tâches médico-légales. Ce logiciel dispose d’une interface utilisateur graphique, il ne nécessite pas l’utilisation de commandes en ligne, il facilitera donc grandement son utilisation.
Imageur FTK
FTK Imager est un outil médico-légal pour les systèmes Windows, il nous permet de prévisualiser les données récupérables à partir d’un disque de tout type. Vous pouvez également créer des copies parfaites, appelées images médico-légales, de ces données. Parmi ses fonctionnalités et fonctions supplémentaires, nous avons la possibilité de créer des fichiers de hachage ou de monter les images disque déjà créées sont un autre des avantages importants à mentionner.
Apparemment, AccessData FTK Imager ressemble à un outil très professionnel créé uniquement pour les experts en criminalistique informatique avancés. Cependant, il est en fait plus facile à utiliser qu’il n’y paraît et pourrait être utilisé par plus de personnes.
Extracteur_vrac
Bulk_extractor est un outil d’investigation informatique qui nous permettra de scanner l’image d’un disque, d’un fichier ou d’un répertoire de fichiers. Les résultats que nous obtenons peuvent être facilement inspectés et analysés avec des outils automatisés. Un aspect remarquable est que cet outil est très rapide, contrairement à d’autres programmes similaires, cela est dû au fait qu’il ignore la structure du système de fichiers, il peut donc traiter différentes parties du disque en parallèle.
LastActivityView
LastActivityView est un outil logiciel portable pour afficher la dernière activité enregistrée sur votre PC. Concernant cette application, il y a un aspect important à mentionner, c’est que le registre Windows ne va plus être mis à jour. LastActivityView a un très bon temps de réponse et est capable de détecter une activité avant sa première exécution. De plus, il fonctionne avec une très faible quantité de CPU et de RAM, de sorte qu’il n’affectera pas les performances globales de votre ordinateur. Qu’il consomme peu de ressources est une chose très positive et à valoriser.
FireEye RedLine
FireEye est un outil de sécurité des terminaux qui fournit aux utilisateurs des capacités d’enquête sur l’hôte pour trouver des signes d’activité malveillante grâce à l’analyse de la mémoire et des fichiers. Dans ce cas, il convient de noter qu’il est disponible sur OS X et Linux.
Ses principales fonctionnalités incluent l’audit et la collecte de tous les processus et contrôles en cours à partir de la mémoire, des métadonnées du système de fichiers, des données de journal, des journaux d’événements, des informations réseau, des services, des tâches et de l’historique Web. Nous pouvons également considérer une analyse approfondie très utile, car elle permet à l’utilisateur d’établir la chronologie et l’étendue d’un incident.
Wireshark et mineur de réseau
Requin filaireC’est actuellement l’un des meilleurs analyseurs de protocoles réseau qui existent, c’est le plus connu et utilisé, multiplateforme (Windows, Linux, FreeBSD et plus), et, bien sûr, totalement gratuit. Dans RedesZone, nous avons parlé à plusieurs reprises de cet outil important, et c’est que nous pouvons effectuer une analyse médico-légale complète du réseau local, en reniflant tous les packages pour une étude plus approfondie. Wireshark nous permet d’effectuer une inspection approfondie de tous les paquets capturés et dispose d’une interface utilisateur graphique pour tout voir en détail classé par couches (physique, lien, réseau, transport et couche d’application). Avec les informations que Wireshark capture, nous pourrons afficher les informations avec TShark via la ligne de commande. La chose la plus remarquable à propos de Wireshark sont les filtres,
Network Miner est très similaire à Wireshark, c’est un analyseur judiciaire de réseau pour Windows, Linux et MAC OS X. Cet outil est utilisé pour détecter le système d’exploitation, le nom d’hôte, les sessions et les adresses IP et les ports qui ont été utilisés pour capturer les données. Network Miner peut être utilisé pour analyser et même capturer les paquets transférés via le réseau, nous pouvons détecter les systèmes d’exploitation des ordinateurs sur le réseau, les ports ouverts et bien plus encore.
Ces deux outils nous permettront également d’obtenir des informations d’identification d’utilisateur, des certificats numériques, des informations en texte brut et même de déchiffrer les communications si nous les déchiffrons ou avons la clé de déchiffrement. Network Miner a une version gratuite, mais aussi une version payante avec laquelle nous pouvons accéder à toutes les fonctionnalités avancées, telles que la détection du système d’exploitation, la géolocalisation IP et bien plus encore.