Er is een zee aan gratis forensische tools (forensic tools). Het is alleen soms lastig om de juiste tools op het juiste moment te vinden. Daarom hieronder een lijst met forensische tools:
Tip: ForensiCopy, de gratis forensische kopieertool.
FASE: Veiligstellen | Doel: Live capture (werkgeheugen) |
Naam | |
[Moonsol] – Windows Memory Toolkit | |
Beschrijving | |
Maakt een dump van het werkgeheugen. | |
Website | |
http://www.moonsols.com/windows-memory-toolkit/ | |
FASE: Veiligstellen | Doel: Live capture (werkgeheugen) |
Naam | |
[Belkasoft] – Live RAM Capturer | |
Beschrijving | |
Een speciale tool om een dump te maken van het werkgeheugen. Ook geschikt voor systemen voorzien van Anti-Debugging en Anti-Dumping bescherming. | |
Website | |
http://forensic.belkasoft.com/en/ram-capturer | |
FASE: Veiligstellen | Doel: Live capture (werkgeheugen) |
Naam | |
[Mandiant] – Memoryze | |
Beschrijving | |
Maakt een image van het gehele systeemgeheugen en bevat de mogelijkheid deze te analyseren op diverse sporen van o.a. malware. | |
Website | |
http://www.mandiant.com/resources/download/memoryze/ | |
FASE: Veiligstellen | Doel: Data Opslag (HDD/SSD/USB) |
Naam | |
[Guidance] – EnCase® Forensic Imager | |
Beschrijving | |
De forensische imager van Guidance (Makers van Encase) om op forensisch verantwoorde wijze images te maken van opslag apparatuur. | |
Website | |
http://www.guidancesoftware.com/Order-Forensic-Imager.aspx | |
FASE: Veiligstellen | Doel: Data Opslag (HDD/SSD/USB) |
Naam | |
[AccessData] – FTK Imager | |
Beschrijving | |
De forensische imager van AccessData (Makers van FTK) om op forensisch verantwoorde wijze images te maken van opslag apparatuur | |
Website | |
http://www.accessdata.com/support/product-downloads | |
FASE: Veiligstellen | Doel: Data Opslag (HDD/SSD/USB) |
Naam | |
Guymager | |
Beschrijving | |
Dit is een forensische imager voor Linux. Ondersteund dd, EWF en AFF images. | |
Website | |
http://guymager.sourceforge.net/ | |
FASE: Veiligstellen | Doel: Dupliceren |
Naam | |
[nuix] – Evidence Mover | |
Beschrijving | |
Deze tool maakt het mogelijk om op een forensische wijze bestanden te kopiëren. Met deze tool houd je de chain of custody intact. | |
Website | |
http://www.nuix.com/Nuix-evidence-mover | |
FASE: Veiligstellen | Doel: Hash |
Naam | |
[NirSoft] – HashMyFiles | |
Beschrijving | |
Tool om eenvoudig de hashwaarde van een of meerdere bestanden te berekenen. | |
Website | |
http://www.nirsoft.net/utils/hash_my_files.html | |
FASE: Veiligstellen | Doel: Overige |
Naam | |
MouseJiggle | |
Beschrijving | |
Met deze tool blijft de muis kleine bewegingen maken waardoor het systeem niet “idle” wordt en de screensaver actief wordt of in slaapstand/stand-by gaat. | |
Website | |
http://mousejiggler.codeplex.com/ | |
FASE: Onderzoek | Doel: Ecryptie |
Naam | |
[MAGNET] – Encrypted disk detector | |
Beschrijving | |
Deze command-line tool controleert de schijf op versleutelde data. Het detecteert TrueCrypt, PGP of Bitlocker schijven. | |
Website | |
http://info.magnetforensics.com/encrypted-disk-detector | |
FASE: Onderzoek | Doel: Mounten |
Naam | |
[MAGNET] – Encrypted disk detector | |
Beschrijving | |
Handige tool om images als schijf te mounten. (read-only of read-write) | |
Website | |
http://www.osforensics.com/tools/mount-disk-images.html | |
FASE: Onderzoek | Doel: Mounten |
Naam | |
[Paraben] – P2 eXplorer | |
Beschrijving | |
Handige en uitgebreide tool om images als schijf te mounten. | |
Website | |
http://www.paraben.com/p2-explorer.html | |
FASE: Onderzoek | Doel: E-Mail |
Naam | |
[KERNEL] – Exchange EDB Viewer | |
Beschrijving | |
Met deze tool kunnen Outlook EDB bestanden uitgelezen worden zonder een Exchange server. | |
Website | |
http://www.nucleustechnologies.com/download-exchange-edb-viewer.php | |
FASE: Onderzoek | Doel: E-Mail |
Naam | |
[MiTeC] – Mail Viewer | |
Beschrijving | |
Met deze tool kunnen e-mail berichten bekeken worden uit de mailclients “Outlook Express”, “Windows (live) mail”, “Mozilla thunderbird” en EML bestanden. | |
Website | |
http://www.mitec.cz/mailview.html | |
FASE: Onderzoek | Doel: E-Mail |
Naam | |
[KERNEL] – OST Viewer | |
Beschrijving | |
Met deze tool kunnen Outlook OST bestanden uitgelezen worden. | |
Website | |
http://www.nucleustechnologies.com/ost-viewer.html | |
FASE: Onderzoek | Doel: E-Mail |
Naam | |
[KERNEL] – PST Viewer | |
Beschrijving | |
Met deze tool kunnen Outlook PST bestanden uitgelezen worden. | |
Website | |
http://www.nucleustechnologies.com/pst-viewer.html | |
FASE: Onderzoek | Doel: Zoeken |
Naam | |
[Mythicsoft] – Agent Ransack | |
Beschrijving | |
Deze tool doorzoekt de bestanden grondig en ondersteund het gebruik van Boolean expressions en regular expressions. Het doorzoekt ook Office 2010 en OpenOffice bestanden. | |
Website | |
http://www.mythicsoft.com/page.aspx?type=agentransack&page=home | |
FASE: Onderzoek | Doel: Prefetch |
Naam | |
[ash368] – Advanced prefetch analyser (APFA) | |
Beschrijving | |
Deze tool onderzoekt de prefetch op een systeem voor sporen. | |
Website | |
http://www.ash368.com/# | |
FASE: Onderzoek | Doel: Tijd/Datum |
Naam | |
[Digital Detective Group] – DCode | |
Beschrijving | |
Deze tool maakt het eenvoudig om snel tijd en datum om te rekenen tussen verschillende formaten. | |
Website | |
http://www.digital-detective.co.uk/downloads.asp | |
FASE: Onderzoek | Doel: Writeblock |
Naam | |
[Dsicovery] – USB Write Blocker | |
Beschrijving | |
Met deze tool blokkeer je schrijfacties naar usb apparaten. Dit betreft een software-writeblocker. Let op! Dit programma vervangt geen echte hardware-writeblocker maar bied een alternatief indien deze niet aanwezig is. | |
Website | |
http://dsicovery.com/dsicovery-software/usb-write-blocker/ | |
FASE: Onderzoek | Doel: Media |
Naam | |
[NFI] – Defraser | |
Beschrijving | |
Deze tool doorzoekt een datastream (bijv. een image) naar mediabestanden of stukken hier van. | |
Website | |
http://sourceforge.net/projects/defraser/ | |
FASE: Onderzoek | Doel: Encryptie |
Naam | |
[Lostpassword] – Encryption analyzer | |
Beschrijving | |
Doorzoekt het systeem naar versleutelde bestanden. Geeft tevens de mogelijkheden aan om het bestand te decoderen. | |
Website | |
http://www.lostpassword.com/encryption-analyzer.htm | |
FASE: Onderzoek | Doel: Media |
Naam | |
[Sanderson] – Forensic Image Viewer | |
Beschrijving | |
Handige robuuste viewer voor afbeeldingen. Geeft forensisch waardevolle informatie weer waaronder de EXIF data. Laat ook de thumbnail afbeelding zien als deze embed is. Geeft ook (gedeeltelijk) beschadigde afbeeldingen weer. | |
Website | |
http://sandersonforensics.com/forum/content.php?123-Forensic-Image-Viewer | |
FASE: Onderzoek | Doel: Logbestanden |
Naam | |
[Mandiant] – Highlighter | |
Beschrijving | |
Bijna onmisbare tool bij het doorzoeken van grote logbestanden. Eenvoudig markeren van zoekwoorden binnen een bestand en maak het mogelijk om bestanden te visualiseren. | |
Website | |
http://www.mandiant.com/resources/download/highlighter/ | |
FASE: Onderzoek | Doel: Afbeeldingen |
Naam | |
MFT Picturebox | |
Beschrijving | |
Snel een overzicht maken van alle afbeeldingen in een folder. Geeft meteen in het overzicht de EXIF gegevens weer om zo snel verbanden te kunnen leggen. | |
Website | |
http://www.mikesforensictools.co.uk/MFTPB.html | |
FASE: Onderzoek | Doel: Shadow copy |
Naam | |
ShadowExplorer | |
Beschrijving | |
Doorzoek de shadow copy bestanden van windows. | |
Website | |
http://www.shadowexplorer.com/ | |
FASE: Onderzoek | Doel: Decoderen |
Naam | |
MFT Shiwtch-a-roo | |
Beschrijving | |
Handige tool om snel tekst te vervangen / omzetten / decoderen. Maakt het lezen van bijv. een gecodeerde URL een stuk eenvoudiger. | |
Website | |
http://www.mikesforensictools.co.uk/MFTSAR.html | |
FASE: Onderzoek | Doel: Systeem bestanden |
Naam | |
[mitec] Windows File Analyzer | |
Beschrijving | |
Analyseer een aantal belangrijke systeembestanden. | |
Website | |
http://www.mitec.cz/wfa.html |