У статті наведено посилання та інструменти зі збору цифрових доказів. Їх мета – використання засобів для збереження, збирання цифрових доказів.
405 
Розвиток сучасного суспільства призвів до появи новітніх комп’ютерно-цифрових технологій. Однак, дана тенденція до комп’ютеризації дала свої плоди і в кримінальному аспекті, адже злочинні групи дедалі частіше використовують “віртуальний” простір як майданчик для підготовки, вчинення та подальшого розвитку діянь. Але, як відомо, інтернет-простір зберігає в собі всі сліди: як пасивні (технічна інформація використання електронних пристроїв), так і активні (сліди дій, вчинених безпосередньо користувачем: фото, різноманітні записи). У зв’язку з цим і з’явилася досить нова галузь, яка активно розвивається, – цифрова криміналістика. Цифрова криміналістика – це одна з галузей криміналістики, яка вивчає виявлення, фіксацію та використання цифрових слідів “віртуального” світу в мережі “Інтернет”. У зв’язку з цим у правоохоронних органів, що займаються розкриттям цифрових злочинів, існує своя специфіка проведення слідчих дій, спрямованих на виявлення і використання слідів злочинів, як, наприклад, органи поліції ведуть відео-банки та відеотеки осіб, які проходили (проходять) у справах і матеріалах перевірок поліції.
Крім цього, застосовується різноманітне інтеграційне програмне забезпечення, що дає змогу розширити можливості використовуваних технічних засобів. При всьому різноманітті способів заміни людського фактора і спрощення роботи слідчого шляхом застосування технологій, що виникає, серед учених-криміналістів тривають дискусії. Кримінальний світ не стоїть на місці, дедалі більше місця відводиться відносно новому напряму – цифровій криміналістиці.
SIFT Workstation — набір безкоштовних інструментів для форензики та реагування на інциденти з відкритим вихідним кодом від SANS Institute. Універсальний і детально документований тулкіт на основі Ubuntu LTS 20.04.
Appliance for Digital Investigation and Analysis (ADIA) — Open Source інструментарій для проведення цифрових розслідувань і збору даних, що включає Autopsy, Sleuth Kit, Digital Forensics Framework, log2timeline, Xplico и Wireshark. Доступний у вигляді образів для VMware і VirtualBox.
Skadi — ще один набір утиліт з відкритим вихідним кодом, який дає змогу збирати, обробляти і проводити розширений аналіз криміналістичних артефактів і зображень. Працює на MacOS, Windows і Linux, легко масштабується.
Autopsy досить функціональна, щоб займати окреме місце в цьому списку. Це платформа для цифрової криміналістики та графічний інтерфейс для аналізатора образів дисків The Sleuth Kit, PhotoRec, STIX та інших програм для цифрової криміналістики. Підтримує сторонні модулі на Java і Python, що розширюють можливості платформи.
IRIS — веб-додаток для спільної роботи над складними і заплутаними розслідуваннями. Спрощує обмін файлами, наприклад, журналами Windows. Може бути розгорнута на сервері або локальному комп’ютері з Docker-образу.
Kuiper — платформа сфокусована на зборі та аналізі доказів. Надає зручний графічний інтерфейс, централізоване управління парсерами, підтримує масове завантаження артефактів з будь-яких каналів і дає змогу цілій групі аналітиків спільно маркувати та сортувати файли.
TheHive — платформа реагування на інциденти безпеки з відкритим вихідним кодом, призначена для SOC, CSIRT, CERT і будь-яких інших фахівців з інформаційної безпеки. Легко інтегрується з MISP і виділяється опрацьованою рольовою моделлю, яка дає змогу аналітикам із різних компаній без проблем працювати над одним випадком.
GRR Rapid Response дає змогу групі аналітиків сортувати атаки і виконувати їхній аналіз віддалено в режимі реального часу. Складається з клієнтського python-агента, який встановлюється на цільові системи, і керуючого python-сервера. Підтримує низькорівневий доступ і автоматичне планування повторюваних завдань.
DFIRTrack — платформа для форензики, орієнтована на розбір одного або декількох великих інцидентів, що зачепили відразу багато різних систем. Це веб-додаток для розгортання в Ubuntu, заснований на Django, який використовує PostgreSQL.
Orochi — це платформа для групового аналізу дампів пам’яті. Де-факто являє собою графічний інтерфейс для Volatility 3. Зберігає результати роботи цієї утиліти в ElasticSearch.
Timesketch — утиліта для спільного timeline analysis. Дозволяє відновити і наочно уявити послідовність подій під час інциденту.
Zentral — рішення для моніторингу кінцевих точок. Об’єднує збір журналів подій за допомогою osquery з гнучкою системою повідомлень і різними сховищами даних: ElasticStack, Azure Log Analytics, Splunk.
Fleetdm — ще один інструмент для моніторингу хостів, який використовує osquery для отримання журналів подій і збирає їх із цільових систем у реальному часі.
POFR — клієнт-серверна “чорна скринька”, яка реєструє дані про виконання процесів, доступ до файлів і мережеві з’єднання в Linux-системах, а потім передає звіти на сервер за протоколом SSH.
IntelMQ — система автоматизованого опрацювання інцидентів, яку можна використовувати для збору даних для подальшого аналізу. Має модульну структуру, що складається з ботів для вилучення, збагачення та запису даних.
Velociraptor — інструмент для збирання інформації про стан хостів за допомогою гнучкої мови запитів VQL. Дозволяє значною мірою автоматизувати збір різноманітних криміналістичних артефактів.
Meerkat — набір модулів PowerShell, призначених для збору артефактів із систем на базі Windows без попереднього встановлення агента. Сценарії використання включають реагування на загрози, пошук загроз, базовий моніторинг, порівняння снапшотів.
Loki — простий сканер індикаторів компрометації для перевірки кінцевих точок.
Fenrir — універсальний bash-скрипт для сканування Linux, OSX і Unix систем. Працює з ширшим набором індикаторів компрометації.
Fastfinder — кросплатформна утиліта для пошуку підозрілих файлів. Підтримує контрольні суми md5/sha1/sha256, регулярні вирази та правила YARA.
artifactcollector — агент, що налаштовується, для збору артефактів з Windows, macOS і Linux. Вміє витягувати файли, каталоги, записи реєстру, команди WMI. Інтегрується з Digital Forensics Artifact Repository.
osquery — аналітика операційної системи для знавців баз даних. Утиліта представляє операційну систему як високопродуктивну реляційну базу даних. Це дає змогу використовувати SQL для роботи з усім вмістом комп’ютера. Доступна для Linux, macOS, Windows і FreeBSD.
ir-rescue — пара сценаріїв для Windows і Unix, які збирають великий обсяг криміналістичних даних, що відповідає потребам більшості розслідувань. Запускають безліч команд та інструментів, тому залишають помітні сліди в системі.
UAC — (Unix-like Artifacts Collector) – використовує вбудовані інструменти Unix-подібних систем для автоматизації збору артефактів. Працює незалежно від архітектури, зокрема на macOS і Android.
FastIR Artifacts — кросплатформний збирач артефактів із підтримкою Digital Forensics Artifact Repository.
DFTimewolf — фреймворк для організації збору, обробки та експорту даних, цінних для криміналістів.
AChoir — сценарій для збирання артефактів Windows у режимі реального часу.
CyLR — інструмент для збору криміналістичних артефактів із систем із файловою системою NTFS.
DFIR ORC — тулкіт для делікатного збирання артефактів: файлових таблиць, гілок реєстру та журналів подій з машин під керуванням Windows. Розроблено так, щоб звести до мінімуму вплив на систему, в якій він працює. Не встановлює жодних програм, створює мінімум файлів, ключів реєстру та служб і записує мінімально необхідний обсяг даних.
RegRipper — інструмент з відкритим вихідним кодом для вилучення інформації (ключі, значення, інші дані) з реєстру. Написаний мовою Perl.
RegRippy и Regipy ще пара бібліотек для читання і вилучення корисних криміналістичних даних з гілок реєстру Windows. Цього разу на Python.
Logdissect — CLI-утиліта і Python API для аналізу, фільтрації та експорту даних у файли журналу Windows або JSON.
APT Hunter — розроблено для пошуку підозрілої активності в журналах Windows. Автоматизує збір журналів Sysmon, Security, System, Powershell, Powershell Operational, ScheduledTask, WinRM, TerminalServices, Windows Defender. Сортує події за серйозністю і веде статистику, яка допомагає виявляти аномалії.
LogonTracer — аналізує Windows Active Directory, пов’язує ім’я хоста (або IP-адресу) та ім’я облікового запису, знайдені в подіях, пов’язаних із входом у систему, а потім відображає їх у вигляді схеми. Дає змогу реконструювати історію авторизацій.
StreamAlert — безсерверна система аналізу журналів у реальному часі, написана на Python. Приймає дані з будь-яких джерел, має вбудовану систему сповіщень на основі настроюваної користувацької логіки. Виконується з мінімальними привілеями, зберігає дані в зашифрованому вигляді.
USBRip — проста консольна утиліта для відновлення історії підключення USB-носіїв до комп’ютерів під управлінням Linux. Може експортувати зібрані дані у JSON-файл.
Volatility 3 — один із найпопулярніших фреймворків для дослідження дампів оперативної пам’яті. Підтримує 18 різних версій операційних систем, вміє працювати з дампами ядра Virtualbox і снапшотами VMware.
AVML — портативний інструмент для збирання даних з енергонезалежної пам’яті Linux-систем. Написаний на Rust і призначений для розгортання у вигляді статичного бінарного файлу. Його можна використовувати для отримання даних “наосліп”, не знаючи версію дистрибутив цільової ОС.
LiME — модуль ядра (LKM), що завантажується, для захоплення даних з пам’яті пристроїв під управлінням Linux, зокрема й Android-смартфонів. Розвивається і вдосконалюється з 2012 року.
Bmap-tools — інструмент для копіювання файлів з використанням створення карти блоків (bmap).
INDXParse — тулкіт для вилучення артефактів NTFS.
nTimetools — інструментарій для роботи з тимчасовими мітками в Windows. Дозволяє експертам-криміналістам перевіряти мітки у файловій системі NTFS з точністю до 100 наносекунд.
RecuperaBit — утиліта для криміналістичної реконструкції файлової системи та відновлення файлів. Підтримує тільки NTFS.
Sleuth Kit — бібліотека для низькорівневого дослідження образів дисків, файлових систем і пошуку доказів.
MemProcFS — утиліта для простого доступу до фізичної пам’яті, як до файлів віртуальної файлової системи.
dof (Docker Forensics Toolkit) — витягує і допомагає інтерпретувати криміналістичні артефакти з Docker-контейнерів. Відображає історію складання образу, монтує файлову систему контейнера в заданому місці, розподіляє артефакти за часовою шкалою тощо.
hindsight — простий і функціональний інструмент для аналізу веб-артефактів з підтримкою браузерів на базі Chromium. Дає змогу аналізувати історію відвідувань і завантажень, вміст кешу, cookie, закладки, автозаповнення, збережені налаштування, розширення і паролі. Усі витягнуті дані поміщаються на тимчасову шкалу.
Dumpzilla — аналогічна програма для збору цікавої інформації з браузерів Firefox, Iceweasel і Seamonkey.
Exif Tool — читання, запис і редагування метаданих у файлах різних графічних форматів.
Exiv2 — бібліотека для роботи з метаданими Exif, IPTC, XMP і ICC.
PdfParser — служить для вилучення даних із файлу PDF-файлів.
FOCA — це інструмент для пошуку метаданих і прихованої інформації в документах, завантажених у веб. Працює з Microsoft Office, Open Office, PDF, Adobe InDesign і SVG.
macOS Artifact Parsing Tool — комплект для обробки образів дисків Mac і вилучення даних, корисних для розслідування. Це фреймворк на основі Python, і плагіни для обробки окремих артефактів, наприклад, історії Safari.
ESF Playground — інструмент для перегляду подій в Apple Endpoint Security Framework (ESF) у режимі реального часу.
Knockknock — виводить повний список елементів (програм, скриптів, команд, двійкових файлів), які автоматично виконуються в macOS.
MobSF — автоматизована система для аналізу шкідливих програм і оцінки безпеки мобільних додатків (Android/iOS/Windows), здатна виконувати статичний і динамічний аналіз. Підтримує бінарні файли мобільних застосунків (APK, XAPK, IPA і APPX) разом із заархівованим вихідним кодом і надає REST API для безшовної інтеграції з конвеєром CI/CD або DevSecOps.
Andriller — утиліта для збору даних з Android-пристроїв. Може бути використана для зняття блокування зі смартфона.
ALEAPP — парсер журналів подій і Protobuf для Android.
iLEAPP — парсер журналів подій для iOS.
Bitscout — інструмент для створення LiveCD/LiveUSB пристосованих для цифрової криміналістики і не тільки.
Digital Forensics Artifact Repository — машиночитабельна база знань із цифрової криміналістики.
sherloq — набір інструментів для судової експертизи цифрових фотографій.
swap_digger — bash-скрипт, що автоматизує витяг файлу підкачки Linux і пошук облікових даних користувачів, адрес електронної пошти, вмісту веб-форм, WiFi SSID ключів та інших чутливих даних.
bulk extractor — сканує образи дисків, каталоги або окремі файли і витягує з них корисну інформацію, наприклад, адреси електронної пошти, JPEG або JSON snippets.
LaZagne — додаток із відкритим вихідним кодом для вилучення паролів, що зберігаються на комп’ютері.
Fibratus — інструмент для дослідження і трасування ядра Windows.
fflib — розширюваний відкритий формат для зберігання образів дисків і криміналістичної інформації.
Sigma — відкритий формат підпису для SIEM-систем.
405 
342 
594