Er is een zee aan gratis forensische tools (forensic tools). Het is alleen soms lastig om de juiste tools op het juiste moment te vinden. Daarom hieronder een lijst met forensische tools:
Tip: ForensiCopy, de gratis forensische kopieertool.
| FASE: Veiligstellen | Doel: Live capture (werkgeheugen) |
| Naam | |
| [Moonsol] – Windows Memory Toolkit | |
| Beschrijving | |
| Maakt een dump van het werkgeheugen. | |
| Website | |
| http://www.moonsols.com/windows-memory-toolkit/ | |
| FASE: Veiligstellen | Doel: Live capture (werkgeheugen) |
| Naam | |
| [Belkasoft] – Live RAM Capturer | |
| Beschrijving | |
| Een speciale tool om een dump te maken van het werkgeheugen. Ook geschikt voor systemen voorzien van Anti-Debugging en Anti-Dumping bescherming. | |
| Website | |
| http://forensic.belkasoft.com/en/ram-capturer | |
| FASE: Veiligstellen | Doel: Live capture (werkgeheugen) |
| Naam | |
| [Mandiant] – Memoryze | |
| Beschrijving | |
| Maakt een image van het gehele systeemgeheugen en bevat de mogelijkheid deze te analyseren op diverse sporen van o.a. malware. | |
| Website | |
| http://www.mandiant.com/resources/download/memoryze/ | |
| FASE: Veiligstellen | Doel: Data Opslag (HDD/SSD/USB) |
| Naam | |
| [Guidance] – EnCase® Forensic Imager | |
| Beschrijving | |
| De forensische imager van Guidance (Makers van Encase) om op forensisch verantwoorde wijze images te maken van opslag apparatuur. | |
| Website | |
| http://www.guidancesoftware.com/Order-Forensic-Imager.aspx | |
| FASE: Veiligstellen | Doel: Data Opslag (HDD/SSD/USB) |
| Naam | |
| [AccessData] – FTK Imager | |
| Beschrijving | |
| De forensische imager van AccessData (Makers van FTK) om op forensisch verantwoorde wijze images te maken van opslag apparatuur | |
| Website | |
| http://www.accessdata.com/support/product-downloads | |
| FASE: Veiligstellen | Doel: Data Opslag (HDD/SSD/USB) |
| Naam | |
| Guymager | |
| Beschrijving | |
| Dit is een forensische imager voor Linux. Ondersteund dd, EWF en AFF images. | |
| Website | |
| http://guymager.sourceforge.net/ | |
| FASE: Veiligstellen | Doel: Dupliceren |
| Naam | |
| [nuix] – Evidence Mover | |
| Beschrijving | |
| Deze tool maakt het mogelijk om op een forensische wijze bestanden te kopiëren. Met deze tool houd je de chain of custody intact. | |
| Website | |
| http://www.nuix.com/Nuix-evidence-mover | |
| FASE: Veiligstellen | Doel: Hash |
| Naam | |
| [NirSoft] – HashMyFiles | |
| Beschrijving | |
| Tool om eenvoudig de hashwaarde van een of meerdere bestanden te berekenen. | |
| Website | |
| http://www.nirsoft.net/utils/hash_my_files.html | |
| FASE: Veiligstellen | Doel: Overige |
| Naam | |
| MouseJiggle | |
| Beschrijving | |
| Met deze tool blijft de muis kleine bewegingen maken waardoor het systeem niet “idle” wordt en de screensaver actief wordt of in slaapstand/stand-by gaat. | |
| Website | |
| http://mousejiggler.codeplex.com/ | |
| FASE: Onderzoek | Doel: Ecryptie |
| Naam | |
| [MAGNET] – Encrypted disk detector | |
| Beschrijving | |
| Deze command-line tool controleert de schijf op versleutelde data. Het detecteert TrueCrypt, PGP of Bitlocker schijven. | |
| Website | |
| http://info.magnetforensics.com/encrypted-disk-detector | |
| FASE: Onderzoek | Doel: Mounten |
| Naam | |
| [MAGNET] – Encrypted disk detector | |
| Beschrijving | |
| Handige tool om images als schijf te mounten. (read-only of read-write) | |
| Website | |
| http://www.osforensics.com/tools/mount-disk-images.html | |
| FASE: Onderzoek | Doel: Mounten |
| Naam | |
| [Paraben] – P2 eXplorer | |
| Beschrijving | |
| Handige en uitgebreide tool om images als schijf te mounten. | |
| Website | |
| http://www.paraben.com/p2-explorer.html | |
| FASE: Onderzoek | Doel: E-Mail |
| Naam | |
| [KERNEL] – Exchange EDB Viewer | |
| Beschrijving | |
| Met deze tool kunnen Outlook EDB bestanden uitgelezen worden zonder een Exchange server. | |
| Website | |
| http://www.nucleustechnologies.com/download-exchange-edb-viewer.php | |
| FASE: Onderzoek | Doel: E-Mail |
| Naam | |
| [MiTeC] – Mail Viewer | |
| Beschrijving | |
| Met deze tool kunnen e-mail berichten bekeken worden uit de mailclients “Outlook Express”, “Windows (live) mail”, “Mozilla thunderbird” en EML bestanden. | |
| Website | |
| http://www.mitec.cz/mailview.html | |
| FASE: Onderzoek | Doel: E-Mail |
| Naam | |
| [KERNEL] – OST Viewer | |
| Beschrijving | |
| Met deze tool kunnen Outlook OST bestanden uitgelezen worden. | |
| Website | |
| http://www.nucleustechnologies.com/ost-viewer.html | |
| FASE: Onderzoek | Doel: E-Mail |
| Naam | |
| [KERNEL] – PST Viewer | |
| Beschrijving | |
| Met deze tool kunnen Outlook PST bestanden uitgelezen worden. | |
| Website | |
| http://www.nucleustechnologies.com/pst-viewer.html | |
| FASE: Onderzoek | Doel: Zoeken |
| Naam | |
| [Mythicsoft] – Agent Ransack | |
| Beschrijving | |
| Deze tool doorzoekt de bestanden grondig en ondersteund het gebruik van Boolean expressions en regular expressions. Het doorzoekt ook Office 2010 en OpenOffice bestanden. | |
| Website | |
| http://www.mythicsoft.com/page.aspx?type=agentransack&page=home | |
| FASE: Onderzoek | Doel: Prefetch |
| Naam | |
| [ash368] – Advanced prefetch analyser (APFA) | |
| Beschrijving | |
| Deze tool onderzoekt de prefetch op een systeem voor sporen. | |
| Website | |
| http://www.ash368.com/# | |
| FASE: Onderzoek | Doel: Tijd/Datum |
| Naam | |
| [Digital Detective Group] – DCode | |
| Beschrijving | |
| Deze tool maakt het eenvoudig om snel tijd en datum om te rekenen tussen verschillende formaten. | |
| Website | |
| http://www.digital-detective.co.uk/downloads.asp | |
| FASE: Onderzoek | Doel: Writeblock |
| Naam | |
| [Dsicovery] – USB Write Blocker | |
| Beschrijving | |
| Met deze tool blokkeer je schrijfacties naar usb apparaten. Dit betreft een software-writeblocker. Let op! Dit programma vervangt geen echte hardware-writeblocker maar bied een alternatief indien deze niet aanwezig is. | |
| Website | |
| http://dsicovery.com/dsicovery-software/usb-write-blocker/ | |
| FASE: Onderzoek | Doel: Media |
| Naam | |
| [NFI] – Defraser | |
| Beschrijving | |
| Deze tool doorzoekt een datastream (bijv. een image) naar mediabestanden of stukken hier van. | |
| Website | |
| http://sourceforge.net/projects/defraser/ | |
| FASE: Onderzoek | Doel: Encryptie |
| Naam | |
| [Lostpassword] – Encryption analyzer | |
| Beschrijving | |
| Doorzoekt het systeem naar versleutelde bestanden. Geeft tevens de mogelijkheden aan om het bestand te decoderen. | |
| Website | |
| http://www.lostpassword.com/encryption-analyzer.htm | |
| FASE: Onderzoek | Doel: Media |
| Naam | |
| [Sanderson] – Forensic Image Viewer | |
| Beschrijving | |
| Handige robuuste viewer voor afbeeldingen. Geeft forensisch waardevolle informatie weer waaronder de EXIF data. Laat ook de thumbnail afbeelding zien als deze embed is. Geeft ook (gedeeltelijk) beschadigde afbeeldingen weer. | |
| Website | |
| http://sandersonforensics.com/forum/content.php?123-Forensic-Image-Viewer | |
| FASE: Onderzoek | Doel: Logbestanden |
| Naam | |
| [Mandiant] – Highlighter | |
| Beschrijving | |
| Bijna onmisbare tool bij het doorzoeken van grote logbestanden. Eenvoudig markeren van zoekwoorden binnen een bestand en maak het mogelijk om bestanden te visualiseren. | |
| Website | |
| http://www.mandiant.com/resources/download/highlighter/ | |
| FASE: Onderzoek | Doel: Afbeeldingen |
| Naam | |
| MFT Picturebox | |
| Beschrijving | |
| Snel een overzicht maken van alle afbeeldingen in een folder. Geeft meteen in het overzicht de EXIF gegevens weer om zo snel verbanden te kunnen leggen. | |
| Website | |
| http://www.mikesforensictools.co.uk/MFTPB.html | |
| FASE: Onderzoek | Doel: Shadow copy |
| Naam | |
| ShadowExplorer | |
| Beschrijving | |
| Doorzoek de shadow copy bestanden van windows. | |
| Website | |
| http://www.shadowexplorer.com/ | |
| FASE: Onderzoek | Doel: Decoderen |
| Naam | |
| MFT Shiwtch-a-roo | |
| Beschrijving | |
| Handige tool om snel tekst te vervangen / omzetten / decoderen. Maakt het lezen van bijv. een gecodeerde URL een stuk eenvoudiger. | |
| Website | |
| http://www.mikesforensictools.co.uk/MFTSAR.html | |
| FASE: Onderzoek | Doel: Systeem bestanden |
| Naam | |
| [mitec] Windows File Analyzer | |
| Beschrijving | |
| Analyseer een aantal belangrijke systeembestanden. | |
| Website | |
| http://www.mitec.cz/wfa.html | |
© 2014 Nick Raedts
Nederlands
English