La criminalistique informatique est la recherche de preuves dans des appareils technologiques tels que les ordinateurs, les tablettes, les téléphones portables, etc. À des fins juridiques ou d'enquête.
Grâce à la criminalistique informatique, les preuves peuvent être récupérées même après la suppression et même la géolocalisation physique d'un suspect ou d'une victime peut être retracée parmi plus de possibilités.
Cet article se concentre sur quelques-uns des outils les plus populaires qui sont répertoriés ci-dessous.
Note: Cet article a été initialement écrit en 2018 et mis à jour en 2022, y compris le nouveau logiciel.
Tsurugi linux
Tsurugi Linux est un Ubuntu 20.04 Distribution Linux basée sur TLS développée à des fins médico-légales. Cette distribution basée sur Ubuntu est conçue pour la criminalistique numérique et la réponse aux incidents ainsi que pour l'intelligence open source.
Il y a 3 versions Tsurugi disponibles. Tsurugi Lab est la version complète, y compris toutes les fonctionnalités. Tsurugi Acquire est une version légère optimisée pour démarrer les appareils et pour les appareils de stockage de masse. Contrairement au laboratoire Tsurugi, cette version est basée sur Debian 10. Tsurugi acquérir peut être stocké dans le RAM. La troisième version, Tsurugi Bento, comprend des centaines d'applications portables pour exécuter les tâches de réponse médico-légale et incidente.
Lien de téléchargement: https: // tsurugi-linux.org /
Outil de médecine légale en direct de Santoku
Santoku est une distribution Linux qui, en plus des fonctionnalités de sécurité, comprend des outils de médecine légale mobile tels que le clignotement du micrologiciel, la RAM, les cartes multimédias et les outils d'imagerie NAND, la force brute pour le cryptage Android, l'analyse des sauvegardes iPhone, et plus encore.
Il détecte automatiquement les appareils mobiles connectés. Vous pouvez exécuter le Santoku en direct également à partir d'une machine virtuelle avec VMware ou VirtualBox.
Santoku est parmi les meilleurs outils pour la criminalistique mobile.
Lien de téléchargement: https: // santoku-linux.com
Instructions pour les utilisateurs d'Ubuntu: https: // santoku-linux.com / wp-contenu / téléchargement / build.sh_.SMS
Kali Linux (mode de médecine légale)
La distribution de Kali Linux pentiste.
Dans le mode de médecine légale, le disque dur de l'appareil reste intact ainsi que la partition d'échange. La constante automobile pour les dispositifs externes est également désactivée pour les CD.
Lien de téléchargement: https: // www.kali.org / get-kali /
Outil de médecine légale de Caine Live
Caine est un autre ordinateur Forensics Linux LIVE Distro. Il est parmi les outils les plus populaires en médecine légale et comprend des services de médecine légale de haut niveau tels que l'autopsie, DCFLDD, DC3DD, DDRESCUE, DVDISASTER, EXIF, avant tout, FileInfo, Fiwalk, Fundl 2.0, FKLook, Fod, Fatback, GCalctool, Geany, GTarted, GTK-RecordMydesktop, Galleta, GTKHASH, Gumager, Hdsentinel, Éditeur hex.SH, Log2timeline, LiveUSB, Mork.PL, MC, MD5DEEP, MD5SUM, NAUTILUS SCRIPTS, NBTEMPO, NTFS-3G, OFFSET_BRUTE_FORCE, PASCO, Photorec, Read_Open_XM, RegLookup, Rifiuti, Rifiuti2, ReadPST, Scalpel, SqlJuicer, SfDumper 2.2, SSdeep, Stegbreak, SmartMontools, Shred et plus d'outils.
Lien de téléchargement: https: // www.Caine-Live.net / page5 / page5.html
HELIX E-FENSE RÉPONSE LIVE
Cet outil de médecine légale en direct développé pour les lecteurs flash USB a été conçu pour collecter des données volatiles avant qu'un ordinateur ne s'arrête. Toutes les données sont stockées dans le lecteur flash USB. C'est l'un des outils les plus recommandés pour la première approche de l'appareil à faire la recherche.
Lien de téléchargement: http: // www.e-rafraîchissement.com / live-réponse.php
Outil médico-légal de la volatilité
La volatilité est un outil intéressant pour analyser et diagnostiquer la santé de l'appareil après la détection d'une attaque. Il est largement utilisé contre les attaques de logiciels malveillants et la criminalistique de la mémoire.
Bien que ce ne soit pas un outil en direct lui-même, il est déjà inclus dans toutes les distributions Linux qui se concentre sur la criminalistique informatique répertoriée précédemment.
Lien de téléchargement: https: // www.fondation de la volatilité.org /
Chaux (extracteur de mémoire Linux)
Le citron. Il vous permet de capturer pleinement la mémoire tout en réduisant l'interaction entre l'utilisateur et le système.
Lien de téléchargement: https: // github.com / 504ensicslabs / chaux
SIFT Workstation
Ceci est une collection gratuite d'outils pour effectuer les tâches médico-légales et de réponse aux incidents à un niveau professionnel. Bien que cela ait été inclus dans cette liste, SIFT n'est pas un outil en direct, mais il peut être installé sur des machines virtuelles.
Lien de téléchargement: https: // www.sans.org / outils / sift-workstation /
Outil médico-légal d'autopsie
L'autopsie contient une interface graphique pour le kit Sleuth, vous permettant d'effectuer une analyse et de créer des rapports visuellement amicaux sur la recherche médico-légale.
Il est facile à utiliser et ses fonctionnalités incluent: Analyse de la chronologie avec interface d'événements graphiques, recherche de mots clés pour trouver des fichiers avec des termes pertinents, des artefacts Web pour extraire l'histoire, les signets, les cookies de Firefox, Chrome et Internet Explorer.
L'autopsie apporte également des outils pour la sculpture de données, permettant de récupérer les fichiers qui ont été supprimés de l'espace non alloué parmi plus.
Bien qu'il ne s'agisse pas d'un outil en direct lui-même, il est déjà inclus dans toutes les distributions Linux axées sur la criminalistique informatique répertoriée ci-dessus. L'autopsie est disponible pour Linux, Mac et Windows.
Lien de téléchargement: https: // www.autopsie.com / téléchargement /
Conclusion
La criminalistique informatique a évolué très rapidement. Ce qui était autrefois une tâche impossible est devenu une action accessible pour les utilisateurs réguliers de bureau aujourd'hui.
La plupart des outils répertoriés dans cet article ont une interface conviviale, ce qui permet à tout utilisateur de réaliser les tâches médico-légales de l'ordinateur avec la même crédibilité qu'un spécialiste ferait: la crédibilité soutenue par la caractéristique open source des outils décrits. Les outils open source ne peuvent pas être facilement rejetés par des spécialistes de homologues médico-légaux car ils sont transparents. Cela peut représenter un avantage avant les outils avec des sources cachées.
Comme son titre le dit, cet article est axé sur les outils en direct, mais certaines alternatives installables ont été incluses en raison de leurs fonctionnalités incroyables. Gardez à l'esprit que les outils compatibles Linux seront certainement utiles pour certains appareils mobiles contenant des systèmes basés sur Linux.
Merci d'avoir lu cet article qui décrit les outils de médecine légale en direct les plus populaires. Continuez à nous suivre pour plus de contenu lié à Linux plus professionnel.