Компютърна съдебна медицина означава проверка на компютрите за следи от данни, които биха могли да разрешат проблем - било то за правна или свързана с работното място или за лична употреба. Макар че терминът компютърна съдебна медицина има предвид, изображение на специалисти, използващи инструменти от висок клас за възстановяване и изследване на данните, съществуват инструменти, които дори и обикновените хора могат да използват. Тази статия говори за някои от най-добрите безплатни инструменти за компютърна криминалистика и софтуера, който съм срещал в даден момент или в другия.
Безплатни инструменти за компютърна криминалистика
P2 eXplorer
Това е един от любимите ми инструменти. Не че имам реална полза за него, но открих, че е интересно, защото ви позволява да преглеждате дисково изображение, без да го записвате на DVD дискове. Просто монтирайте дисково изображение на една от наличните букви на компютъра си и след това го отворете в Windows Explorer. Тъй като е дисково изображение, то е само за четене. Това означава, че можете да проверите съдържанието, но не можете да правите промени в него. Въпреки това, това е важен инструмент, ако трябва да прегледате дисковете в детайли или когато имате прекалено много компютърни дискове, за да ги разгледате. Имате всички данни в един интерфейс и всичко, от което се нуждаете, е да монтирате файла с изображението и да го изучавате.
P2 eXplorer е достъпен както в безплатни, така и в платени версии. Безплатната версия работи само в 32-битови операционни системи. Той не монтира EnCase v7 изображения, нито пък монтира файлове с виртуални машини. Платената версия се откроява повече на уебсайта им, но връзката за изтегляне на безплатната версия е достъпна от дясната страна на уебсайта.
Дигитална криминалистична рамка
Това е софтуер с отворен код, който позволява:
- Напишете блокиране
- Четете различни видове файлови формати, независимо от операционната система; можете също така да възстановите необработени Linux файлове от операционна система Windows, използвайки този софтуер
- Отдалечен достъп до дискове и устройства
- Възстановяване и проверка на изтрити и скрити файлове
- Може лесно да чете заглавките на файловете, за да знаете кои файлове да се намерят за допълнителна информация
Преди всичко, хората с добри компютърни познания могат да изградят собствен код и да го използват с API на рамката за цифрова съдебна медицина.
HxD
Това е още един лесен за използване инструмент, който анализира файловата система и възстановява файлове, които са били изтрити по предназначение или по друг начин. Той може също да променя RAM (системна памет). Тя може да обработва файлове от всякакъв размер. Интерфейсът е лесен за използване и по този начин може да се използва от всеки, който има малко познания за това как работят компютрите. Можете да изтеглите HXD от уеб сайта на производителя.
PlainSlight
PlainSlight е още един безплатен инструмент за компютърна криминалистика, който е с отворен код и ви помага да прегледате цялата система по различни начини. Лесният за използване интерфейс и самообяснителните етикети позволява на хората (дори и с малко познания за вътрешната функция на компютъра) да го използват без особени затруднения. Той може да възстанови изтритите файлове, да възстанови скритите файлове и папки. Тя може да помогне с някои други неща, като получаване на информация за твърдия диск, преглед на потребителски групи и информация за групата, проверка на информация за USB съхранение и подобни неща. Макар че ми харесва за лекота на използване, тя не предлага много функции, освен основите на компютърната съдебна медицина. Вече видяхме P2 eXplorer, който може да възстанови фрагментите на файловете и да ги постави в четлива форма. В сравнение с това, наистина е много проста.
Bulk Extractor
Това е добър инструмент, тъй като пренебрегва файловата таблица и анализира директно диска. Това му позволява да записва скрити, системни и изтрити файлове. Информацията може да се агрегира в подобни записи и да се анализира с помощта на други инструменти. Можете да изтеглите Bulk Extractor от GitHub.
Всички те работят върху повечето от последните версии на Windows. Ако съм пропуснал някакъв инструмент за съдебна медицина от свободен или отворен код, моля, уведомете ни.
