Elenco software forensi gratuiti
Qui di seguito trovi una lista di 13 software forensi gratuiti. Questo non è un elenco esaustivo, ma serve a illustrare quali sono gli strumenti forensi digitali e cosa si può fare con essi. In alcuni casi, troverai dei toolkit che raggruppano diversi strumenti per facilitare l’uso di tutte le funzionalità dei software correlati. Sebbene vi siano alcune differenze tra gli strumenti di digital forensic, il punto fondamentale è che offrono una miriade di opzioni per la raccolta di dati durante un’indagine. Vale anche la pena di notare che il campo della digital forensic si sta evolvendo rapidamente con il costante rilascio di nuovi strumenti e funzionalità che si adattano a dispositivi in continua evoluzione.
Con un’offerta così ampia, può essere difficile scegliere lo strumento perfetto per le proprie esigenze.
Quando si sceglie uno strumento di digital forensic, la competenza è una componente critica a cui pensare. Alcuni strumenti sono progettati per persone con competenze di base, mentre altri richiedono conoscenze più avanzate. È consigliabile confrontare le proprie competenze attuali con quelle richieste dallo strumento, in modo da poter scegliere lo strumento più efficace che si è in grado di utilizzare.
Ecco la lista dei 13 software forensi gratuiti:
Free Hex Editor Neo
Free Hex Editor Neo è il più veloce editor di file binari ottimizzato per la piattaforma Windows, sviluppato da HHD Software Ltd. Viene distribuito secondo il modello “Freemium” che fornisce gratuitamente tutte le funzioni di editing di base.
Le funzionalità di base sono le seguenti: Digitare, Tagliare, Copiare, Incollare, Riempire, Cancellare, Inserire, Importare ed Esportare, oltre ad avere anche delle funzionalità avanzate. Sono supportate le modalità di sovrascrittura e inserimento. È inoltre possibile scambiare dati esadecimali binari con altre applicazioni attraverso gli Appunti. Questa utility gratuita per l’editing di file binari offre anche le seguenti funzioni: Undo/Redo illimitato; GoTo Offset; salvataggio/caricamento della cronologia delle operazioni; creazione di patch a 32bit/64bit; ricerca/sostituzione di dati esadecimali/ottali/float/doppi e codici binari; raggruppamento per byte, parole, parole doppie, parole quadruple.
Freeware Hex Editor Neo è estremamente utile per visualizzare, modificare e analizzare i dati esadecimali in file e dischi di grandi dimensioni. Ad esempio, se vuoi cercare e sostituire un modello di testo/esadecimale/binario in un file da 1GB – 1TB, non troverai concorrenti per questo prodotto.
Scarica subito Free Hex Editor Neo e inizia a modificare i file binari in pochi secondi!
Sans Sift
Un Live CD basato su Ubuntu, chiamato SANS Investigative Forensic Toolkit (SIFT), ha tutti gli strumenti necessari per svolgere un’indagine forense o di risposta agli incidenti. Consente di analizzare i formati di prova RAW (dd), Advanced Forensic Format (AFF) e Expert Witness Format (E01). SIFT viene fornito con una serie di strumenti, tra cui log2timeline, Scalpel, Rifiuti e molti altri. Questi programmi possono essere utilizzati per creare una linea temporale dai registri di sistema, incidere i file di dati ed esaminare il cestino.
Più di 200 strumenti di forensics, incident response e pentesting sono già preinstallati su SIFT Workstation. Sono state rilasciate le versioni più recenti di molti strumenti preferiti dai fan, tra cui RegRipper, Plaso/log2timeline e Volatility. Il repository di progetti forensi vecchi, installato insieme agli strumenti più recenti, è da tempo uno degli aspetti positivi di SIFT. Quando si ha a che fare con unità o partizioni danneggiate, programmi come ddrescue e testdisk si sono dimostrati davvero utili. È possibile utilizzare l’interfaccia web di CyberChef e strumenti di analisi del malware come pdf-parser, UPX e radare2, per tutte le esigenze di decodifica. Lo Sleuth Kit e le sorprendenti librerie libyal, che sono preinstallate, sono strumenti forensi fondamentali che rendono facile l’accesso alle analisi forensi del file system e l’analisi di formati diversi come Windows Volume Shadow.
Crowd Strike Crowd Response
CrowdResponse è un’applicazione console leggera che può essere utilizzata come parte di uno scenario di risposta agli incidenti per raccogliere informazioni contestuali come l’elenco dei processi, le attività pianificate o la Shim Cache. E’ inoltre possibile eseguire la scansione dell’host alla ricerca di malware e segnalare eventuali indicatori di compromissione.
Per eseguire CrowdsResponse, estrarre il file ZIP e lanciare un prompt dei comandi con privilegi amministrativi. Navigare nella cartella in cui risiede il processo CrowdResponse*.exe e inserire i parametri di comando. È necessario includere almeno il percorso di output e lo “strumento” che si desidera utilizzare per raccogliere i dati. Per un elenco completo degli “strumenti”, digita CrowdResponse64.exe nel prompt dei comandi e verrà visualizzato un elenco dei nomi degli strumenti supportati e dei parametri di esempio.
I dettagli sull’utilizzo e sui risultati riportati li puoi trovare nel file CrowdResponse User Guide.pdf incluso nel download.
Scarica Crowd Strike Crowd Response
Xplico
Xplico è ampiamente utilizzato e viene installato nelle principali distribuzioni di digital forensics e penetration testing.
Xplico è uno software open source per l’analisi forense della rete (NFAT). Ha la capacità di estrarre i dati delle applicazioni dal traffico Internet (ad esempio, Xplico può estrarre un messaggio e-mail dal traffico POP, IMAP o SMTP). Inoltre è un software altamente adattabile in quanto sopporta una moltitudine di protocolli (ad esempio HTTP, SIP, IMAP, TCP, UDP), il riassemblaggio TCP ed ha la capacità di produrre dati in un database MySQL o SQLite.
Helix3 Free
E-fense Elix-3 offre opzioni interessanti per soddisfare le tue esigenze di computer forensics e sicurezza informatica.
Se hai bisogno di visibilità dell’intera rete per proteggerti da comportamenti dannosi, violazioni di policy e hacking, Helix3 Enterprise è quello che fa per te.
Se invece hai bisogno di acquisire cronologia Internet, password e dati RAM, il più indicato è Live Response.
Se cerchi l’Helix originale e gratuito (2009R1), fai clic nel link qui di seguito
Paladin Forensic Suite
PALADIN è una distribuzione Linux “live” modificata basata su Ubuntu che semplifica varie attività forensi in modo corretto attraverso il PALADIN Toolbox. PALADIN è disponibile nelle versioni a 64 e 32 bit.
La virtualizzazione è ora inclusa in PALADIN PRO con CARBON VFS.
PALADIN PRO include ora CARBON preinstallato per gli esaminatori che desiderano testare il software.
Scarica Paladin Forensic Suite
USB Historian
Analizza la cronologia delle connessioni USB.
I sistemi operativi Microsoft Windows registrano gli artefatti quando vengono collegati i dispositivi di archiviazione rimovibili USB (thumb drive, iPod, fotocamere digitali, HDD esterni e così via). Questi artefatti si trovano nei file di log Plug and Play (PnP) e nel Registro di Windows.
Per un investigatore forense che si occupa di furto, del movimento o accesso ai dati, questo strumento può svolgere un ruolo fondamentale nell’indagine.
Contiene una copia cache degli ID USB da http://www.linux-usb.org/usb.ids. Se disponibili, i valori VID/PID vengono ricercati per fornire ulteriori informazioni sul dispositivo.
Analizza il nome del computer per facilitare la localizzazione dei dispositivi USB utilizzati su più computer.
Visualizza oltre 20 attributi
Analisi guidata
Analizza i registri SetupAPI (e i registri di backup).
È in grado di analizzare più file NTUSER.DAT alla volta.
Requisiti: Microsoft .NET Framework v4.0
Gratuito per uso personale e commerciale
MAGNET Encrypted Disk Detector
MAGNET Encrypted Disk Detector è uno strumento a riga di comando che consente di verificare in modo rapido e non intrusivo la presenza di volumi criptati su un sistema informatico durante la risposta a un incidente. È quindi possibile decidere di indagare ulteriormente e determinare se è necessario effettuare un’acquisizione live per proteggere e conservare le prove che altrimenti andrebbero perse se si staccasse la spina.
Encrypted Disk Detector controlla le unità fisiche locali di un sistema alla ricerca di volumi crittografati TrueCrypt, PGP®, VeraCrypt, processi correlati a Check Point, SafeBoot o Bitlocker®.
Scarica Magnet Encrypted Disk Detector
Wireshark
Wireshark è il principale analizzatore di protocolli di rete al mondo. Permette di vedere cosa succede sulla rete a livello microscopico. È lo standard di fatto (e spesso di diritto) in molti settori e istituzioni educative.
Lo sviluppo di Wireshark prospera grazie al contributo di esperti di reti di tutto il mondo. È la continuazione di un progetto iniziato nel 1998.
Network Miner
NetworkMiner è uno software forense di rete open source che estrae file, immagini, e-mail e password, dal traffico di rete catturato in file PCAP. NetworkMiner può anche essere utilizzato per catturare il traffico di rete in tempo reale mediante lo sniffing di un’interfaccia di rete. Le informazioni dettagliate su ciascun indirizzo IP nel traffico di rete analizzato vengono aggregate in un inventario di host di rete, che può essere utilizzato per il rilevamento passivo delle risorse e per ottenere una panoramica dei dispositivi che stanno comunicando. NetworkMiner è stato progettato principalmente per funzionare in Windows, ma può essere utilizzato anche in Linux e macOS.
Dalla prima versione del 2007, NetworkMiner è diventato uno strumento popolare tra i team di incident response e le forze dell’ordine. Oggi NetworkMiner è utilizzato da aziende e organizzazioni di tutto il mondo.
Npcap
Le versioni più vecchie (e talvolta le nuove release di prova) sono disponibili nell’archivio delle release di Nmap (e quelle veramente vecchie sono in dist-old). Per gli utenti più esigenti, le firme staccate GPG e gli hash SHA-1 per ogni release sono disponibili nella directory sigs (istruzioni per la verifica). Prima di scaricare, assicurati di leggere le sezioni pertinenti alla tua piattaforma dalla Guida all’installazione di Nmap. Le modifiche più importanti (funzioni, correzioni di bug, ecc.) di ogni versione di Nmap sono descritte nel Changelog.
CAINE
CAINE o Computer Aided Investigative Environment è una piattaforma open-source utilizzata in ambito forense. Il software, che viene distribuito da Linux/GNU, offre funzionalità nel processo di indagine forense, raccolta, esame, analisi e conservazione.
Caine offre un ambiente forense completo, in grado di integrarsi con i software esistenti. Funziona inoltre con un’interfaccia fluida e facile da usare.
CAINE è molto apprezzato per la sua accuratezza e per questo molti esperti utilizzano questo software.
Può fare anche clonazioni. A questo fine si utilizzano applicazioni come Clonezilla. Grazie a questa funzione di clonazione, è in grado di creare software di backup e immagini del computer senza restrizioni.
Una caratteristica importante di Caine è che riunisce diversi software per tutti i tipi di analisi.
MVT
MVT è uno dei migliori software forensi per iOS e Android che consente di leggere i backup crittografati e di scoprire tracce di malware eventualmente presenti nel sistema. Trai dati messsi a disposizione troverai anche la lista delle app che sono installate sullo smartphone.
Qui puoi trovare altri Strumenti Forensi gratuiti