Для того щоб успішно проводити розслідування інцидентів інформаційної безпеки необхідно мати практичні навички роботи з інструментами із вилучення цифрових артефактів. У цій статті буде наведено список корисних посилань та інструментів для проведення робіт зі збору цифрових доказів. Основна мета при проведенні таких робіт – використання методів та засобів для збереження (незмінності), збирання та аналізу цифрових речових доказів, для того щоб відновити події інциденту. Термін “forensics” є скороченою формою “forensic science”, дослівно “судова наука”, тобто наука про дослідження доказів – саме те, що називається криміналістикою. Термін “форензика” означає не будь-яку криміналістику, а саме комп’ютерну. Деякі автори поділяють комп’ютерну криміналістику (computer forensics) та мережеву криміналістику (network forensic).
Основна сфера застосування форензики – аналіз та розслідування подій, у яких фігурують комп’ютерна інформація як об’єкт зазіхань, комп’ютер як знаряддя скоєння злочину, а також будь-які цифрові докази. Для повноцінного збору та аналізу інформації використовуються різні вузькоспеціалізовані утиліти, які будуть розглянуті нижче. Хочу попередити, що при проведенні робіт з укладання у тій чи кримінальній справі швидше за все розглядатиметься наявність тих чи інших сертифікатів та відповідностей ПЗ (ліцензії ФСТЕК). У цьому випадку доведеться використовувати комбіновані методи зі збору та аналізу інформації, або писати висновки та висновок на підставі отриманих даних із несертифікованих джерел.
Використовує розширені методи статичного аналізу для автоматичної деобфускації даних із двійкових файлів шкідливих програм.
Вільна програма відновлення даних, призначена для відновлення втрачених файлів у пам’яті цифрової камери.
Digital Forensics Framework — платформа з відкритим вихідним кодом для проведення робіт із вилучення та дослідження даних.
PowerForensics – це утиліта написана на PowerShell, призначена для дослідження жорстких дисків.
The Sleuth Kit (TSK) – це бібліотека мовою C та колекція інструментів командного рядка, які дозволяють досліджувати образи дисків.
Для проведення досліджень і збору цифрових доказів необхідно дотримуватись принципів незмінності, цілісності, повноти інформації та її достовірності. Для цього необхідно дотримуватися рекомендацій щодо програмного забезпечення та методики проведення досліджень.