Liste kostenloser forensischer Software
Nachfolgend finden Sie eine Liste von 13 kostenlosen forensischen Softwareprogrammen. Dies ist keine erschöpfende Liste, aber sie dient dazu, zu veranschaulichen, was digitale forensische Tools sind und was Sie damit machen können. In einigen Fällen finden Sie Toolkits, die mehrere Tools zusammenfassen, um die Nutzung aller Funktionen verwandter Software zu erleichtern. Zwar gibt es einige Unterschiede zwischen digitalen Forensik-Tools, im Endeffekt bieten sie jedoch unzählige Möglichkeiten zur Datenerfassung während einer Untersuchung. Es ist auch erwähnenswert, dass sich der Bereich der digitalen Forensik durch die ständige Veröffentlichung neuer Tools und Funktionen, die sich an sich ständig weiterentwickelnde Geräte anpassen, rasant weiterentwickelt.
Bei einem so breiten Angebot kann es schwierig sein, das perfekte Werkzeug für Ihre Bedürfnisse auszuwählen.
Bei der Auswahl eines digitalen forensischen Tools ist Fachwissen ein entscheidender Faktor, über den man nachdenken sollte. Einige Tools sind für Personen mit Grundkenntnissen konzipiert, während andere fortgeschrittenere Kenntnisse erfordern. Es ist ratsam, Ihre aktuellen Fähigkeiten mit denen zu vergleichen, die das Tool erfordert, damit Sie das effektivste Tool auswählen können, das Sie verwenden können.
Hier ist die Liste von 13 kostenlosen Forensik-Software:
Free Hex Editor Neo
Free Hex Editor Neo ist der schnellste für die Windows-Plattform optimierte Binärdatei-Editor, entwickelt von HHD Software Ltd. Er wird unter dem „Freemium“-Modell vertrieben, das alle grundlegenden Bearbeitungsfunktionen kostenlos bereitstellt.
Die Grundfunktionen sind wie folgt: Tippen, Ausschneiden, Kopieren, Einfügen, Füllen, Löschen, Einfügen, Importieren und Exportieren sowie erweiterte Funktionen. Überschreib- und Einfügemodi werden unterstützt. Über die Zwischenablage können Sie auch binäre Hexadezimaldaten mit anderen Anwendungen austauschen. Dieses kostenlose Dienstprogramm zum Bearbeiten von Binärdateien bietet außerdem die folgenden Funktionen: Unbegrenztes Rückgängigmachen/Wiederherstellen; GoTo-Offset; Speichern/Laden des Vorgangsverlaufs; Erstellung von 32bit/64bit-Patches; Hexadezimal-/Oktal-/Float-/Double-Daten und Binärcodes suchen/ersetzen; Gruppierung nach Bytes, Wörtern, Doppelwörtern, Quadwörtern.
Freeware Hex Editor Neo ist äußerst nützlich zum Anzeigen, Bearbeiten und Analysieren von Hexadezimaldaten in großen Dateien und Datenträgern. Wenn Sie beispielsweise ein Text-/Hexadezimal-/Binärmuster in einer 1 GB – 1 TB großen Datei suchen und ersetzen möchten, werden Sie für dieses Produkt keine Konkurrenz finden.
SLaden Sie jetzt den kostenlosen Hex Editor Neo und beginnen Sie in Sekundenschnelle mit der Bearbeitung von Binärdateien!
Ohne Sieb
Eine auf Ubuntu basierende Live-CD namens SANS Investigative Forensic Toolkit (SIFT) enthält alle Tools, die Sie für die Durchführung einer forensischen oder Vorfallsreaktionsuntersuchung benötigen. Ermöglicht die Analyse der Beweisformate RAW (dd), Advanced Forensic Format (AFF) und Expert Witness Format (E01). SIFT wird mit einer Reihe von Tools geliefert, darunter log2timeline, Scalpel, Trash und viele mehr. Diese Programme können verwendet werden, um eine Zeitleiste aus Systemprotokollen zu erstellen, Datendateien zu hacken und den Papierkorb zu untersuchen.
Mehr als 200 Forensik-, Incident-Response- und Pentesting-Tools sind bereits auf SIFT Workstation vorinstalliert. Die neuesten Versionen vieler bei Fans beliebter Tools wurden veröffentlicht, darunter RegRipper, Plaso/log2timeline und Volatility. Das Repository älterer forensischer Projekte, das zusammen mit den neuesten Tools installiert wurde, ist seit langem einer der positiven Aspekte von SIFT. Beim Umgang mit beschädigten Laufwerken oder Partitionen haben sich Programme wie ddrescue und testdisk als sehr hilfreich erwiesen. Sie können die Weboberfläche und Malware-Analysetools von CyberChef wie PDF-Parser, UPX und Radare2 für alle Ihre Dekodierungsanforderungen verwenden. Das Sleuth Kit und die erstaunlichen Libyal-Bibliotheken, die vorinstalliert sind, sind wichtige forensische Tools, die den Zugriff auf Dateisystem-Forensik und die Analyse verschiedener Formate wie Windows Volume Shadow erleichtern.
Massenstreik Massenreaktion
CrowdResponse ist eine schlanke Konsolenanwendung, die als Teil eines Incident-Response-Szenarios verwendet werden kann, um Kontextinformationen wie Prozesslisten, geplante Aufgaben oder Shim-Cache zu sammeln. Sie können den Host auch auf Malware scannen und alle Anzeichen einer Kompromittierung melden.
Um CrowdsResponse auszuführen, extrahieren Sie die ZIP-Datei und starten Sie eine Eingabeaufforderung mit Administratorrechten. Navigieren Sie zu dem Ordner, in dem sich der CrowdResponse*.exe-Prozess befindet, und geben Sie die Befehlsparameter ein. Sie müssen mindestens den Ausgabepfad und das „Tool“ angeben, das Sie zum Sammeln der Daten verwenden möchten. Geben Sie für eine vollständige Liste der „Tools“ CrowdResponse64.exe in die Eingabeaufforderung ein. Daraufhin wird eine Liste der unterstützten Toolnamen und Beispielparameter angezeigt.
Einzelheiten zur Nutzung und den gemeldeten Ergebnissen finden Sie in der Datei „CrowdResponse User Guide.pdf“, die im Download enthalten ist.
Laden Sie Crowd Strike Crowd Response herunter
Xplico
Xplico ist weit verbreitet und in großen Distributionen für digitale Forensik und Penetrationstests installiert.
Xplico ist eine Open-Source-NFAT-Software (Network Forensic Analysis). Es verfügt über die Fähigkeit, Anwendungsdaten aus dem Internetverkehr zu extrahieren (Xplico kann beispielsweise eine E-Mail-Nachricht aus POP-, IMAP- oder SMTP-Verkehr extrahieren). Es handelt sich außerdem um eine äußerst anpassungsfähige Software, da sie eine Vielzahl von Protokollen (z. B. HTTP, SIP, IMAP, TCP, UDP) und TCP-Reassemblierung unterstützt und Daten in eine MySQL- oder SQLite-Datenbank ausgeben kann.
Helix3 kostenlos
E-fense Elix-3 bietet attraktive Optionen, um Ihre Anforderungen an Computerforensik und Cybersicherheit zu erfüllen.
Wenn Sie Einblick in Ihr gesamtes Netzwerk benötigen, um sich vor bösartigem Verhalten, Richtlinienverstößen und Hacking zu schützen, ist Helix3 Enterprise genau das Richtige für Sie.
Wenn Sie jedoch den Internetverlauf, Passwörter und RAM-Daten abrufen müssen, ist Live Response die am besten geeignete Option.
Wenn Sie nach dem kostenlosen Original-Helix (2009R1) suchen, klicken Sie auf den Link unten
Laden Sie Helix3 kostenlos herunter
Paladin Forensische Suite
PALADIN ist eine modifizierte „Live“-Linux-Distribution auf Basis von Ubuntu, die verschiedene forensische Aufgaben mithilfe der PALADIN Toolbox erheblich vereinfacht. PALADIN ist in 64-Bit- und 32-Bit-Versionen verfügbar.
Virtualisierung ist jetzt in PALADIN PRO mit CARBON VFS enthalten.
Für Prüfer, die die Software testen möchten, ist in PALADIN PRO jetzt CARBON vorinstalliert.
Laden Sie Paladin Forensic Suite herunter
USB-Historiker
Analysieren Sie den USB-Verbindungsverlauf.
Microsoft Windows-Betriebssysteme zeichnen Artefakte auf, wenn USB-Wechselspeichergeräte (USB-Sticks, iPods, Digitalkameras, externe Festplatten usw.) angeschlossen sind. Diese Artefakte finden sich in Plug-and-Play-Protokolldateien (PnP) und in der Windows-Registrierung.
Für einen forensischen Ermittler, der sich mit Diebstahl, Bewegung oder Datenzugriff befasst, kann dieses Tool eine entscheidende Rolle bei der Untersuchung spielen.
Enthält eine zwischengespeicherte Kopie der USB-IDs von http://www.linux-usb.org/usb.ids. Sofern verfügbar, werden VID/PID-Werte durchsucht, um zusätzliche Informationen über das Gerät bereitzustellen.
Analysiert den Computernamen, um USB-Geräte zu finden, die auf mehreren Computern verwendet werden.
Sehen Sie sich über 20 Attribute an
Geführte Analyse
Analysieren Sie SetupAPI-Protokolle (und Sicherungsprotokolle).
Es ist in der Lage, mehrere NTUSER.DAT-Dateien gleichzeitig zu analysieren.
Anforderungen: Microsoft .NET Framework v4.0
Kostenlos für den persönlichen und kommerziellen Gebrauch
Laden Sie USB Historian herunter
MAGNET-Detektor für verschlüsselte Festplatten
MAGNET Encrypted Disk Detector ist ein Befehlszeilentool, mit dem Sie während der Reaktion auf Vorfälle schnell und unaufdringlich nach verschlüsselten Volumes auf einem Computersystem suchen können. Anschließend können Sie beschließen, weitere Nachforschungen anzustellen und festzustellen, ob eine Live-Erfassung erforderlich ist, um Beweise zu schützen und aufzubewahren, die andernfalls verloren gehen würden, wenn der Stecker gezogen würde.
Der Encrypted Disk Detector durchsucht die lokalen physischen Laufwerke eines Systems nach TrueCrypt-, PGP®-, VeraCrypt-, Check Point-bezogenen, SafeBoot- oder Bitlocker®-verschlüsselten Volumes.
Laden Sie Magnet Encrypted Disk Detector herunter
Wireshark
Wireshark ist der weltweit führende Netzwerkprotokollanalysator. Damit können Sie auf mikroskopischer Ebene sehen, was im Netzwerk passiert. Es ist der De-facto-Standard (und oft auch der De-jure-Standard) in vielen Branchen und Bildungseinrichtungen.
Die Entwicklung von Wireshark lebt von den Beiträgen von Netzwerkexperten aus der ganzen Welt. Es ist die Fortsetzung eines 1998 begonnenen Projekts.
Netzwerk-Miner
NetworkMiner ist eine Open-Source-Netzwerkforensiksoftware, die Dateien, Bilder, E-Mails und Passwörter aus dem in PCAP-Dateien erfassten Netzwerkverkehr extrahiert. NetworkMiner kann auch verwendet werden, um Netzwerkverkehr in Echtzeit zu erfassen, indem es eine Netzwerkschnittstelle ausspioniert. Detaillierte Informationen zu jeder IP-Adresse im analysierten Netzwerkverkehr werden in einem Netzwerk-Host-Inventar zusammengefasst, das zur passiven Ressourcenerkennung und zur Gewinnung eines Überblicks darüber, welche Geräte kommunizieren, verwendet werden kann. NetworkMiner wurde in erster Linie für die Ausführung unter Windows entwickelt, kann aber auch unter Linux und macOS verwendet werden.
Seit seiner ersten Veröffentlichung im Jahr 2007 hat sich NetworkMiner zu einem beliebten Tool bei Incident-Response-Teams und Strafverfolgungsbehörden entwickelt. Heute wird NetworkMiner von Unternehmen und Organisationen auf der ganzen Welt verwendet.
Laden Sie Network Miner herunter
npcap
Ältere Versionen (und manchmal auch neue Testversionen) sind im Nmap-Release-Archiv verfügbar (und die wirklich alten sind in dist-old). Für anspruchsvollere Benutzer sind GPG-getrennte Signaturen und SHA-1-Hashes für jede Version im Signs-Verzeichnis verfügbar (Verifizierungsanweisungen). Lesen Sie vor dem Herunterladen unbedingt die für Ihre Plattform relevanten Abschnitte im Nmap-Installationshandbuch. Die wichtigsten Änderungen (Funktionen, Fehlerbehebungen usw.) jeder Nmap-Version werden im Changelog beschrieben.
CAINE
CAINE oder Computer Aided Investigative Environment ist eine Open-Source-Plattform für den forensischen Bereich. Die von Linux/GNU vertriebene Software bietet Funktionalität im Prozess der forensischen Untersuchung, Sammlung, Untersuchung, Analyse und Aufbewahrung.
Caine bietet eine vollständige forensische Umgebung, die in bestehende Software integriert werden kann. Es funktioniert auch mit einer reibungslosen und benutzerfreundlichen Oberfläche.
CAINE wird für seine Genauigkeit hoch geschätzt und deshalb verwenden viele Experten diese Software.
Es kann auch geklont werden. Zu diesem Zweck werden Anwendungen wie Clonezilla verwendet. Dank dieser Klonfunktion können ohne Einschränkungen Backup-Software und Computer-Images erstellt werden.
Ein wichtiges Merkmal von Caine ist, dass es verschiedene Software für alle Arten von Analysen vereint.
MVT
MVT ist eine der besten forensischen Software für iOS und Android, mit der Sie verschlüsselte Backups lesen und Spuren von Malware entdecken können, die möglicherweise im System vorhanden sind. Unter den bereitgestellten Daten finden Sie auch die Liste der Apps, die auf dem Smartphone installiert sind.
Hier finden Sie weitere Kostenlose forensische Tools