Alat Digital Forensik Open Source Terbaik, Investigasi forensik selalu menantang karena Anda dapat mengumpulkan semua informasi yang Anda bisa untuk bukti dan rencana mitigasi. Berikut adalah beberapa alat penyidik forensik komputer yang Anda perlukan. Kebanyakan dari mereka gratis!
Baik itu untuk kasus sumber daya manusia internal, penyelidikan akses tidak sah ke server, atau jika Anda hanya ingin mempelajari keterampilan baru, rangkaian dan utilitas ini akan membantu Anda melakukan analisis forensik memori, analisis forensik hard drive, eksplorasi gambar forensik, pencitraan forensik dan forensik seluler. Dengan demikian, mereka semua memberikan kemampuan untuk membawa kembali informasi mendalam tentang apa yang “tersembunyi” dari suatu sistem.
1. Autopsy
Autopsy® adalah platform forensik digital dan antarmuka grafis untuk The Sleuth Kit® dan alat forensik digital lainnya. Ini digunakan oleh penegak hukum, militer, dan penguji perusahaan untuk menyelidiki apa yang terjadi di komputer. Anda bahkan dapat menggunakannya untuk memulihkan foto dari kartu memori kamera Anda.
Program forensik digital open source berbasis GUI untuk menganalisis hard drive dan ponsel pintar secara efektif. Autospy digunakan oleh ribuan pengguna di seluruh dunia untuk menyelidiki apa yang sebenarnya terjadi di komputer.
Baca Juga : Langkah dan Jenis Proses Mobile Forensik
2. Detektor Disk Terenkripsi
Detektor Disk Terenkripsi adalah alat baris perintah yang dapat dengan cepat, dan tidak mengganggu, memeriksa volume terenkripsi pada sistem komputer selama respons insiden.
Keputusan kemudian dapat dibuat untuk menyelidiki lebih lanjut dan menentukan apakah akuisisi langsung perlu dilakukan untuk mengamankan dan memelihara bukti yang akan hilang jika steker dicabut.
Ia memeriksa drive fisik lokal pada sistem untuk volume terenkripsi TrueCrypt, PGP atau BitLocker. Jika tidak ada tanda enkripsi disk yang ditemukan di MBR, EDD juga menampilkan ID OEM dan, jika berlaku, Label Volume untuk partisi di drive tersebut, memeriksa volume BitLocker.
Detektor Disk Terenkripsi dapat membantu untuk memeriksa drive fisik terenkripsi. Ini mendukung volume terenkripsi TrueCrypt, PGP, Bitlocker, Safeboot.
3. Wireshark
Wireshark adalah penganalisis protokol jaringan yang terkemuka dan banyak digunakan di dunia. Ini memungkinkan Anda melihat apa yang terjadi di jaringan Anda pada tingkat mikroskopis dan merupakan standar de facto (dan sering kali secara de jure) di banyak perusahaan komersial dan nirlaba, lembaga pemerintah, dan lembaga pendidikan. Pengembangan Wireshark berkembang pesat berkat kontribusi relawan dari pakar jaringan di seluruh dunia dan merupakan kelanjutan dari proyek yang dimulai oleh Gerald Combs pada tahun 1998.
Menurut thetrainingco Wireshark memiliki serangkaian fitur kaya yang meliputi:
- Pemeriksaan mendalam terhadap ratusan protokol, dengan lebih banyak ditambahkan setiap saat
- Tangkapan langsung dan analisis offline
- Browser paket tiga panel standar
- Multi-platform: Berjalan di Windows, Linux, macOS, Solaris, FreeBSD, NetBSD, dan banyak lainnya
- Data jaringan yang diambil dapat dilihat melalui GUI, atau melalui utilitas TShark mode TTY
- Filter tampilan paling kuat di industri
- Analisis VoIP yang kaya
- Baca / tulis berbagai format file tangkap: tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (terkompresi dan tidak terkompresi), Sniffer® Pro, dan NetXray®, Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek / TokenPeek / AiroPeek, dan banyak lainnya
- Tangkap file yang dikompresi dengan gzip dapat didekompresi dengan cepat
- Data langsung dapat dibaca dari Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, dan lainnya (tergantung platform Anda)
- Dukungan dekripsi untuk banyak protokol, termasuk IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP, dan WPA / WPA2
- Aturan pewarnaan dapat diterapkan ke daftar paket untuk analisis yang cepat dan intuitif
- Output dapat diekspor ke XML, PostScript®, CSV, atau teks biasa
4. Magnet RAM Capture
MAGNET RAM Capture adalah alat gratis yang dirancang untuk menangkap memori fisik komputer tersangka, memungkinkan penyelidik untuk memulihkan dan menganalisis artefak berharga yang sering kali hanya ditemukan di memori.
MAGNET RAM Capture memiliki footprint memori yang kecil, yang berarti penyelidik dapat menjalankan alat tersebut sambil meminimalkan data yang ditimpa dalam memori. Anda dapat mengekspor data memori yang diambil dalam format Raw (.DMP / .RAW / .BIN) dan dengan mudah mengunggahnya ke alat analisis terkemuka termasuk Magnet AXIOM dan Magnet IEF.
Bukti yang dapat ditemukan di RAM mencakup proses dan program yang berjalan di sistem, koneksi jaringan, bukti intrusi malware, kumpulan registri, nama pengguna dan sandi, file dan kunci yang didekripsi, dan bukti aktivitas yang biasanya tidak disimpan di hard disk lokal.
Ini mendukung sistem operasi Windows.
5. Network Miner
NetworkMiner adalah Alat Analisis Forensik Jaringan (NFAT) open source untuk Windows (tetapi juga bekerja di Linux / Mac OS X / FreeBSD). NetworkMiner dapat digunakan sebagai alat penangkap paket / sniffer jaringan pasif untuk mendeteksi sistem operasi, sesi, nama host, port terbuka, dll. Tanpa menempatkan lalu lintas apa pun di jaringan. NetworkMiner juga dapat mem-parsing file PCAP untuk analisis off-line dan untuk meregenerasi / memasang kembali file dan sertifikat yang ditransmisikan dari file PCAP.
NetworkMiner memudahkan untuk melakukan Analisis Lalu Lintas Jaringan (NTA) lanjutan dengan menyediakan artefak yang diekstrak dalam antarmuka pengguna yang intuitif. Cara penyajian data tidak hanya membuat analisis menjadi lebih sederhana, tetapi juga menghemat waktu yang berharga bagi analis atau penyelidik forensik.
NetworkMiner, sejak rilis pertama pada tahun 2007, menjadi alat yang populer di antara tim penanganan insiden serta penegakan hukum. NetworkMiner saat ini digunakan oleh perusahaan dan organisasi di seluruh dunia.
6. NMAP (Network Mapper)
Nmap (“Network Mapper”) adalah utilitas (lisensi) gratis dan open source untuk penemuan jaringan dan audit keamanan. Banyak sistem dan administrator jaringan juga merasa berguna untuk tugas-tugas seperti inventaris jaringan, mengelola jadwal peningkatan layanan, dan memantau waktu aktif host atau layanan. Nmap menggunakan paket IP mentah dengan cara baru untuk menentukan host apa yang tersedia di jaringan, layanan apa (nama aplikasi dan versi) yang ditawarkan host tersebut, sistem operasi apa (dan versi OS) yang mereka jalankan, jenis filter paket / firewall apa sedang digunakan, dan lusinan karakteristik lainnya.
Nmap dirancang untuk memindai jaringan besar dengan cepat, tetapi berfungsi dengan baik terhadap host tunggal. Nmap berjalan di semua sistem operasi komputer utama, dan paket biner resmi tersedia untuk Linux, Windows, dan Mac OS X. Selain baris perintah klasik yang dapat dieksekusi Nmap, rangkaian Nmap menyertakan GUI tingkat lanjut dan penampil hasil (Zenmap), transfer data yang fleksibel, pengalihan, dan alat debugging (Ncat), utilitas untuk membandingkan hasil pemindaian (Ndiff), dan generasi paket dan alat analisis respons (Nping).
Nmap dinobatkan sebagai “Produk Keamanan Tahun Ini” oleh Linux Journal, Info World, LinuxQuestions.Org, dan Codetalker Digest. Itu bahkan ditampilkan dalam dua belas film, termasuk The Matrix Reloaded, Die Hard 4, Girl With the Dragon Tattoo, dan The Bourne Ultimatum.
Nmap adalah …
- Fleksibel: Mendukung lusinan teknik lanjutan untuk memetakan jaringan yang diisi dengan filter IP, firewall, router, dan hambatan lainnya. Ini mencakup banyak mekanisme pemindaian port (baik TCP & UDP), deteksi OS, deteksi versi, sapuan ping, dan banyak lagi. Lihat halaman dokumentasi.
- Kuat: Nmap telah digunakan untuk memindai jaringan besar dari ratusan ribu mesin.
- Portabel: Sebagian besar sistem operasi didukung, termasuk Linux, Microsoft Windows, FreeBSD, OpenBSD,
- Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS, Amiga, dan banyak lagi.
- Mudah: Meskipun Nmap menawarkan serangkaian fitur canggih yang kaya untuk power user, Anda dapat memulai sesederhana “nmap -v -A targethost”. Versi baris perintah dan grafis (GUI) tradisional tersedia untuk disesuaikan dengan preferensi Anda. Binari tersedia untuk mereka yang tidak ingin mengkompilasi Nmap dari sumber.
- Gratis: Tujuan utama Proyek Nmap adalah membantu membuat Internet sedikit lebih aman dan menyediakan administrator / auditor / peretas dengan alat canggih untuk menjelajahi jaringan mereka. Nmap tersedia untuk diunduh gratis, dan juga dilengkapi dengan kode sumber lengkap yang dapat Anda modifikasi dan distribusikan ulang di bawah persyaratan lisensi.
- Didokumentasikan dengan Baik: Upaya signifikan telah dimasukkan ke dalam halaman manual yang komprehensif dan terkini, whitepaper, tutorial, dan bahkan keseluruhan buku! Temukan mereka dalam berbagai bahasa di sini.
- Didukung: Meskipun Nmap tidak disertai jaminan, Nmap didukung dengan baik oleh komunitas pengembang dan pengguna yang dinamis. Sebagian besar interaksi ini terjadi di milis Nmap. Kebanyakan laporan bug dan pertanyaan harus dikirim ke daftar nmap-dev, tetapi hanya setelah Anda membaca panduannya. Kami merekomendasikan agar semua pengguna berlangganan daftar pengumuman nmap-hackers dengan lalu lintas
- rendah. Anda juga dapat menemukan Nmap di Facebook dan Twitter. Untuk obrolan waktu nyata, bergabunglah dengan saluran #nmap di Freenode atau EFNet.
- Diakui: Nmap telah memenangkan banyak penghargaan, termasuk “Produk Keamanan Informasi Tahun Ini” oleh Linux Journal, Info World dan Codetalker Digest. Itu telah ditampilkan di ratusan artikel majalah, beberapa film, puluhan buku, dan satu seri buku komik. Kunjungi halaman pers untuk detail lebih lanjut.
- Populer: Ribuan orang mendownload Nmap setiap hari, dan Nmap disertakan dengan banyak sistem operasi (Redhat Linux, Debian Linux, Gentoo, FreeBSD, OpenBSD, dll). Ini adalah salah satu dari sepuluh (dari 30.000) program teratas di repositori Freshmeat.Net. Ini penting karena ia meminjamkan Nmap pengembangan yang dinamis dan komunitas dukungan pengguna.
