NetworkMiner

NetworkMiner is an open source network forensics tool that extracts artifacts, such as files, images, emails and passwords, from captured network traffic in PCAP files.

https://www.netresec.com/?page=NetworkMiner

Top 50 forensic tools

50 лучших инструментов для цифровой криминалистики

Инструменты для сетевой криминалистики

Nmap: Мощный инструмент для сканирования сети, позволяющий обнаруживать хосты и сервисы в сети.
Wireshark: Анализатор сетевых протоколов, который захватывает и анализирует сетевой трафик.
Xplico: Средство для извлечения данных из сетевого трафика, восстанавливающее информацию из захваченных пакетов.
Snort: Система обнаружения вторжений с открытым исходным кодом для мониторинга и анализа сетевого трафика.
TCPDump: Командный инструмент для захвата и анализа сетевых пакетов.
The Sleuth Kit: Набор инструментов для анализа файловых систем и сетевой криминалистики.

Инструменты для криминалистики электронной почты

MailXaminer: Программное обеспечение для криминалистического анализа данных электронной почты.
MailPro+: Инструмент для расследования электронной почты, который поддерживает множество почтовых форматов.
Xtraxtor: Инструмент для извлечения данных из почтовых сообщений.
Aid4Mail: Программа для переноса, архивации и криминалистического анализа электронной почты.
eMailTrackerPro: Инструмент для отслеживания источников и анализа электронной почты.
Autopsy: Платформа с открытым исходным кодом для криминалистического анализа цифровых данных, включая электронные письма.

Инструменты для мобильной криминалистики

Elcomsoft iOS Forensic Toolkit: Инструмент для извлечения данных из устройств Apple (iPhone, iPad).
Mobile Verification Toolkit: Набор инструментов для криминалистического анализа мобильных устройств.
Oxygen Forensic: Многофункциональное программное обеспечение для извлечения и анализа данных с мобильных устройств.
MOBILedit: Инструмент для извлечения данных и анализа мобильных телефонов.
Cellebrite UFED: Решение для физического и логического извлечения данных с мобильных устройств.
MSAB XRY: Программный продукт для извлечения и анализа данных с мобильных телефонов.

Инструменты для анализа вредоносных программ

Wireshark: Анализатор трафика, который может использоваться для обнаружения вредоносной активности.
YARA: Инструмент для обнаружения и классификации вредоносного ПО на основе правил.
Malwarebytes: Антивирусная программа, специализирующаяся на удалении вредоносного ПО.
VirusTotal: Онлайн-сервис для сканирования файлов и URL на наличие вирусов с использованием нескольких антивирусных движков.
Cuckoo Sandbox: Песочница для анализа подозрительных файлов и поведения программ.
IDA Pro: Инструмент для реверс-инжиниринга и дизассемблирования программного обеспечения.

Инструменты для восстановления данных

Recuva: Программа для восстановления удаленных файлов.
EaseUS Data Recovery: Программное обеспечение для восстановления утраченных данных с различных устройств.
TestDisk: Бесплатное средство восстановления данных, которое может восстановить разделы и загрузочные сектора.
Stellar Data Recovery: Программа для восстановления данных с поврежденных или удаленных разделов.
PhotoRec: Инструмент для восстановления потерянных файлов, таких как фото, видео и документы.
Disk Drill: Программа для восстановления данных с жестких дисков и флеш-накопителей.

Инструменты для OSINT (разведка с использованием открытых источников)

Maltego: Инструмент для анализа и визуализации данных, часто используемый для проведения OSINT-исследований.
Nmap: Инструмент для исследования сети и сбора информации о хостах.
OSINT Framework: Набор инструментов для проведения OSINT, структурированных по категориям.
Shodan: Поисковая система для обнаружения устройств, подключенных к интернету.
Recon-ng: Фреймворк для выполнения операций по сбору информации в OSINT-исследованиях.
TheHarvester: Инструмент для сбора информации об электронной почте, поддоменах, IP-адресах и URL.

Инструменты для анализа данных в реальном времени

OS Forensics: Инструмент для поиска и анализа цифровых доказательств на компьютере.
Encase Live: Программное обеспечение для криминалистики с возможностью анализа данных в реальном времени.
CAINE: Дистрибутив Linux с набором инструментов для криминалистического анализа в реальном времени.
F-Response: Средство для удаленного анализа данных в реальном времени.
Kali Linux Forensic Mode: Специализированный режим Kali Linux для проведения криминалистического анализа без изменения данных на устройстве.

Инструменты для анализа оперативной памяти

Volatility: Фреймворк для анализа дампов оперативной памяти.
DumpIt: Инструмент для создания дампа оперативной памяти для последующего анализа.
memDump: Средство для захвата содержимого оперативной памяти.
Access data FTK Imager: Инструмент для захвата и анализа образов данных, включая оперативную память.
Hibernation Recon: Программа для анализа файлов гибернации.
WindowSCOPE: Средство для криминалистического анализа оперативной памяти и обнаружения вредоносных программ.

Для анализа оперативной памяти можно добавить несколько дополнительных инструментов и подходов, которые широко используются в области цифровой криминалистики:

Дополнительные инструменты для анализа оперативной памяти:

LiME (Linux Memory Extractor): Модуль ядра для захвата дампов оперативной памяти в живой системе Linux. Очень полезен для криминалистического анализа на живых Linux-системах.
Belkasoft RAM Capturer: Легковесный инструмент для захвата содержимого оперативной памяти на Windows-системах. Это помогает в сборе доказательств для последующего анализа.
Redline: Программа от FireEye, которая позволяет собирать и анализировать данные с оперативной памяти и дисков. Она помогает в поиске подозрительных процессов и модулей в оперативной памяти.
Moonsols Windows Memory Toolkit: Пакет инструментов для захвата и анализа содержимого оперативной памяти на Windows-системах. Может быть использован для захвата данных на зараженных системах.
AVML (Azure Virtual Machine Memory forensics): Инструмент для захвата оперативной памяти на виртуальных машинах в облачной среде Microsoft Azure.
Mandiant Memoryze: Инструмент для захвата и анализа дампов оперативной памяти на системах Windows. Позволяет выявлять скрытые процессы, драйверы и другие аномалии в оперативной памяти.
Rekall: Форк Volatility, который также предоставляет фреймворк для анализа дампов памяти с расширенными возможностями и поддержкой различных операционных систем.

Подходы и техники для анализа оперативной памяти:

Поиск следов вредоносного ПО: Оперативная память часто хранит следы вредоносного ПО, которые не могут быть обнаружены на жестком диске. Например, инструменты вроде Volatility или Rekall могут помочь выявить скрытые процессы, незарегистрированные драйверы или инъекции кода в память.
Анализ процессов и потоков: Исследование активных процессов и потоков помогает выявить несанкционированную активность, включая скрытые процессы и сетевые соединения, которые могут указывать на активную атаку.
Поиск зашифрованных данных: Оперативная память может содержать ключи шифрования или зашифрованные данные, которые можно анализировать для получения дополнительных доказательств.
Исследование сетевой активности: Оперативная память хранит временные данные о сетевых соединениях, которые могут указывать на взаимодействие с внешними C2-серверами (серверы управления и контроля) или подозрительную сетевую активность.
Извлечение артефактов: Память хранит данные, которые могут быть не сохранены на диске, такие как содержимое документов, незакрытые соединения, кэш браузера или временные файлы.

Добавление этих инструментов и методов позволит существенно расширить возможности анализа оперативной памяти и увеличить шансы на обнаружение скрытых угроз и других криминалистических артефактов.

Инструменты для анализа данных в облаке

Magnet AXIOM: Платформа для проведения комплексного цифрового анализа, включая облачные данные.
MSAB XRY Cloud: Инструмент для извлечения данных из облачных хранилищ и сервисов.
Azure CLI: Командная строка для управления сервисами и данными в облаке Microsoft Azure.