Astuces pcinternetlogiciel

Investigation numerique : Top 10 des outils

Voici 10 des meilleurs outils gratuits qui vous aideront à mener une investigation numerique. Qu’il s’agisse d’un dossier de ressources humaines interne, d’une enquête sur un accès non autorisé à un serveur ou de nouvelles compétences, ces suites et utilitaires vous aideront à effectuer des analyses judiciaires, une analyse judiciaire du disque dur, imagerie légale et médecine légale mobile. En tant que tels, ils offrent tous la possibilité de récupérer des informations détaillées sur ce qui est “sous le capot” d’un système.

Même si vous avez déjà entendu parler de certains de ces outils, je suis convaincu que vous trouverez un ou deux joyaux parmi cette liste.

 

1 SANS SIFT

SANS Investigative Forensic Toolkit (SIFT)

Le SANS Investigative Forensic Toolkit (SIFT) est un CD Live basé sur Ubuntu qui comprend tous les outils dont vous avez besoin pour mener une enquête approfondie en matière de médecine légale ou d’incident. Il prend en charge l’analyse des formats de preuve Expert Witness Format (E01), Advanced Forensic Format (AFF) et RAW (dd). SIFT comprend des outils tels que log2timeline pour générer une chronologie à partir des journaux système, Scalpel pour la création de fichiers de données, Rifiuti pour examiner la corbeille, et bien plus encore.

SANS Investigative Forensic Toolkit (SIFT)

Lorsque vous démarrez pour la première fois dans l’environnement SIFT, je vous suggère d’explorer la documentation sur le bureau pour vous aider à vous familiariser avec les outils disponibles et à les utiliser. Il y a aussi une bonne explication de l’endroit où trouver des preuves sur un système. Utilisez la barre de menus supérieure pour ouvrir un outil ou lancez-le manuellement depuis une fenêtre de terminal.

2 Le kit du sleuth (+ autopsie)

 

kit Sleuth

Le kit Sleuth est un kit d’outils de criminalistique numérique open source qui peut être utilisé pour analyser en profondeur différents systèmes de fichiers. L’autopsie est essentiellement une interface graphique qui se trouve sur le kit The Sleuth. Il est livré avec des fonctionnalités telles que l’analyse de chronologie, le filtrage de hachage, l’analyse de système de fichiers et la recherche de mots-clés, avec la possibilité d’ajouter d’autres modules pour des fonctionnalités étendues.

Remarque: Vous pouvez utiliser le Kit de contrôle si vous exécutez une boîte Linux et Autopsy si vous exécutez une boîte Windows.

kit Sleuth

Lorsque vous lancez Autopsy, vous pouvez choisir de créer un nouveau cas ou d’en charger un existant. Si vous choisissez de créer un nouveau cas, vous devrez charger une image judiciaire ou un disque local pour lancer votre analyse. Une fois le processus d’analyse terminé, utilisez les nœuds du volet de gauche pour choisir les résultats à afficher.

A VOIR AUSSI
Télécharger l'outil d'installation de Miracle Box sans Box[Mai 2019] +Activation

3- imageur FTK

FTK Imager

FTK Imager est un outil de prévisualisation et d’imagerie de données qui vous permet d’examiner des fichiers et des dossiers sur des disques durs locaux, des lecteurs réseau, des CD / DVD et d’examiner le contenu des images ou des vidages de mémoire. À l’aide de FTK Imager, vous pouvez également créer des hachages de fichiers SHA1 ou MD5, exporter des fichiers et des dossiers depuis des images judiciaires vers un disque, consulter et récupérer des fichiers supprimés de la corbeille (à condition que leurs blocs de données n’aient pas été remplacés). une image judiciaire pour afficher son contenu dans l’Explorateur Windows.

Remarque: il existe une version portable de FTK Imager qui vous permet de l’exécuter à partir d’un disque USB.

FTK Imager

Lorsque vous lancez FTK Imager, accédez à «Fichier> Ajouter un élément de preuve» pour charger un élément de preuve à examiner. Pour créer une image médico-légale, allez dans «Fichier> Créer une image disque» et choisissez la source que vous souhaitez imaginer.

4-CAINE

 

CAINE (Computer Aided INvestigative Environment) est un Linux Live CD qui contient une multitude d’outils d’analyse numérique. Les fonctionnalités comprennent une interface graphique conviviale, la création de rapports semi-automatisés et des outils pour la criminalistique mobile, l’analyse de réseau, la récupération de données, etc.

CAINE

Lorsque vous démarrez dans l’environnement CAINE Linux, vous pouvez lancer les outils d’analyse numérique à partir de l’interface CAINE (raccourci sur le bureau) ou du raccourci de chaque outil dans le dossier ‘Forensic Tools’ de la barre de menus des applications.

5-extracteur en vrac

bulk_extractor est un outil informatique informatique qui analyse une image disque, un fichier ou un répertoire de fichiers et extrait des informations telles que les numéros de carte de crédit, les domaines, les adresses de messagerie, les URL et les fichiers ZIP. Les informations extraites sont générées par une série de fichiers texte (qui peuvent être examinés manuellement ou analysés à l’aide d’autres outils ou scripts d’analyse légale).

Conseil: dans les fichiers texte de sortie, vous trouverez des entrées pour des données qui ressemblent à un numéro de carte de crédit, une adresse e-mail, un nom de domaine, etc. Vous verrez également une valeur décimale dans la première colonne du fichier texte hex, peut être utilisé comme pointeur sur le disque où l’entrée a été trouvée (par exemple, si vous analysiez le disque manuellement à l’aide d’un éditeur hexadécimal, par exemple, vous passeriez à cette valeur hexadécimale pour afficher les données).

A VOIR AUSSI
Leet Speak - Déchiffrer , Encoder , Décoder

bulk_extractor

Bulk_extractor est un outil de ligne de commande ou un outil graphique. Dans l’exemple ci-dessus, je configure l’outil d’extraction en vrac pour extraire des informations d’une image de police scientifique que j’ai prise plus tôt et j’envoie les résultats dans un dossier appelé “BE_Output”. Les résultats peuvent ensuite être visualisés dans Bulk Extractor Viewer et les fichiers texte de sortie mentionnés ci-dessus.

 

6-DEFT

DEFT Linux - Computer Forensics live CD

DEFT est un autre Linux Live CD qui regroupe certains des outils légaux d’informatique gratuits et open source les plus populaires. Il vise à aider avec les scénarios de réponse aux incidents, de cyber-intelligence et de criminalistique informatique. Entre autres, il contient des outils pour l’informatique mobile, la criminalistique réseau, la récupération de données et le hachage.

DEFT

Lorsque vous démarrez avec DEFT, il vous est demandé si vous souhaitez charger l’environnement en direct ou installer DEFT sur le disque. Si vous chargez l’environnement en direct, vous pouvez utiliser les raccourcis de la barre de menus de l’application pour lancer les outils requis.

7- Xplico

Xplico est un outil d’analyse réseau (NFAT) Open Source destiné à extraire des données d’applications du trafic Internet (par exemple, Xplico peut extraire un message électronique du trafic POP, IMAP ou SMTP). Les fonctionnalités incluent la prise en charge d’une multitude de protocoles (par exemple HTTP, SIP, IMAP, TCP, UDP), le réassemblage TCP et la possibilité de générer des données sur une base de données MySQL ou SQLite, entre autres.

Xplico

Une fois Xplico installé, accédez à l’interface Web en accédant à http: // <IPADDRESS>: 9876 et en vous connectant avec un compte d’utilisateur normal. La première chose à faire est de créer un cas et d’ajouter une nouvelle session. Lorsque vous créez une nouvelle session, vous pouvez soit charger un fichier PCAP (acquis depuis Wireshark par exemple), soit lancer une capture en direct. Une fois le décodage terminé, utilisez le menu de navigation situé à gauche pour afficher les résultats.

A savoir au : Teracopy Pro Final  2018

8-bloqueur d’écriture USB DSi

DSi USB Write Blocker est un bloqueur d’écriture basé sur logiciel qui empêche l’accès en écriture aux périphériques USB. Ceci est important dans une enquête pour éviter de modifier les métadonnées ou les horodatages et d’invalider les preuves.

A VOIR AUSSI
Comment jouer ou télécharger des vidéos YouTube avec VLC Media

DSi USB Write Blocker

Lorsque vous exécutez DSi USB Write Blocker, une fenêtre s’ouvre pour vous permettre d’activer ou de désactiver le bloqueur d’écriture USB. Une fois que vous apportez des modifications et quittez l’application, vous pouvez garder un œil sur l’état de l’icône du cadenas dans la barre des tâches. Lorsque vous effectuez une analyse d’un lecteur USB, activez d’abord le bloqueur d’écriture USB, puisbranchez le lecteur USB.

Si vous cherchez une alternative à la ligne de commande, consultez la rubrique “Blocage d’écriture USB pour toutes les fenêtres”. Cet outil fonctionne en mettant à jour une entrée de registre pour empêcher l’écriture de lecteurs USB. Pour exécuter l’outil, il vous suffit d’exécuter le fichier de commandes et de sélectionner l’option 1 pour placer les ports USB en mode lecture seule.

DSi USB Write Blocker

 

9-HELIX3 Gratuit

 

HELIX3 est un CD Live basé sur Linux qui a été conçu pour être utilisé dans les scénarios Incident Response, Computer Forensics et E-Discovery. Il est rempli d’un tas d’outils open source allant des éditeurs hexadécimaux aux logiciels de sculpture de données, aux utilitaires de craquage de mots de passe, etc.

Note: La version HELIX3 dont vous avez besoin est 2009R1. Cette version était la dernière version gratuite disponible avant que HELIX ne soit reprise par un vendeur commercial. HELIX3 2009R1 est toujours valable aujourd’hui et constitue un complément utile à votre boîte à outils de criminalistique numérique.

HELIX3

Lorsque vous démarrez avec HELIX3, il vous est demandé si vous souhaitez charger l’environnement graphique ou installer HELIX3 sur le disque. Si vous choisissez de charger directement l’environnement graphique (recommandé), un écran Linux apparaîtra, vous permettant d’exécuter la version graphique des outils fournis.

10-Paladin Forensic Suite

Paladin Forensic Suite est un CD Live basé sur Ubuntu qui regorge d’outils légaux open source. Les plus de 80 outils disponibles sur ce Live CD sont organisés en plus de 25 catégories: outils d’imagerie, analyse des logiciels malveillants, analyse des médias sociaux, outils de hachage, etc.

Paladin Forensic

Après avoir démarré Paladin Forensic Suite, accédez au menu App ou cliquez sur l’une des icônes de la barre des tâches pour commencer.

Remarque: Un guide de démarrage rapide pratique pour Paladin Forensic Suite peut être consulté ou téléchargé depuis le site Web de Paladin, ainsi que dans la barre des tâches de Paladin.

 

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Check Also

Close
Back to top button
Close
Close