De afgelopen jaren is de technologie met sprongen vooruitgegaan, waardoor hele industrieën en vakgebieden op hun kop zijn gezet. Eén vakgebied dat enorm heeft geprofiteerd van de technologische vooruitgang is het vakgebied forensisch onderzoek.
Forensisch onderzoek is een veld dat zich bezighoudt met het gebruik van wetenschap om misdaden te onderzoeken om erachter te komen waarom en hoe iets is gebeurd. Het veld onderzoekt en komt met bewijsmateriaal dat aan een rechtbank kan worden voorgelegd om een misdaad te helpen oplossen.
De toepassing van technologie in de forensische geneeskunde leidde tot een tak van de forensische geneeskunde die digitale forensische geneeskunde wordt genoemd. Digitaal forensisch onderzoek omvat het onderzoeken en vinden van bewijsmateriaal dat is opgeslagen in digitale apparaten zoals mobiele telefoons en laptop’s, met als doel computergerelateerde misdaden op te lossen.
Om hun taken effectief uit te voeren, worden mensen in de digitale forensische wetenschap geconfronteerd met één grote hindernis: encryptie. Encryptie is een manier om gegevens in geheime code te versleutelen om toegang tot de gegevens door ongeautoriseerde partijen te voorkomen. Met encryptietools zoals AxCrypt en NordLocker en besturingssystemen zoals Home windows en macOS waarmee gebruikers hun gegevens kunnen coderen, wordt het voor digitaal forensisch onderzoek moeilijker om gegevens van digitale apparaten te herstellen.
De alomtegenwoordigheid van encryptietools creëert de behoefte aan forensische decoderingstools. Dit zijn gespecialiseerde software program die gecodeerde gegevens terugzetten naar hun oorspronkelijke, voor mensen leesbare vorm. Dergelijke instruments zijn bedoeld om forensisch onderzoek te helpen gegevens te verzamelen uit gecodeerde bestanden op digitale apparaten om te helpen bij het onderzoeken van misdaden.
Voordelen van het gebruik van forensische decoderingstools
Hier volgen enkele voordelen van het gebruik van forensische decoderingstools:
- Snelheid – Met forensische decoderingstools kunnen forensische consultants grote hoeveelheden gegevens, ongeacht hun complexiteit, in veel kortere tijd ontsleutelen.
- Makkelijk te gebruiken – Om gecodeerde gegevens te ontsleutelen is een diepgaand begrip van programmeren, wiskunde en cryptografie nodig. Met decoderingstools hoeft u echter geen professional in deze instruments te zijn, aangezien decoderingstools al het zware werk voor u doen.
- Meer instruments tot uw beschikking – Forensische decoderingstools bieden u een groot aantal instruments waarmee u acties kunt uitvoeren, zoals het analyseren van het register van een pc, het herstellen van wachtwoorden en het herstellen van verwijderde bestanden, naast het decoderen van bestanden.
- Nauwkeurigheid – Forensisch bewijsmateriaal kan in twijfel worden getrokken bij de rechtbank; daarom is de nauwkeurigheid ervan erg belangrijk. Forensische decoderingstools ondergaan uitgebreide checks en kunnen bij de decodering met verschillende algoritmen werken, waardoor u zeer nauwkeurige gegevens kunt verzamelen.
Factoren waarmee u rekening moet houden bij het selecteren van een forensische decoderingstool
Niet alle forensische decoderingstools zijn gelijk. Hier volgen enkele overwegingen die u moet maken bij het selecteren van een forensische decoderingstool:
- GPU-versnelling – Dit houdt in dat gebruik wordt gemaakt van de grafische verwerkingseenheid (GPU) van een pc om de uitvoering van intensieve bewerkingen te versnellen. Dit heeft tot gevolg dat de tijd die nodig is om forensische decodering van grote hoeveelheden gegevens uit te voeren, aanzienlijk wordt verkort.
- FDE-decodering – Full Disk Encryption (FDE) is een beveiligingsmechanisme waarbij alle gegevens op een harde schijf standaard worden gecodeerd met behulp van encryptie op schijfniveau, zonder dat gebruikers zelf de encryptie hoeven uit te voeren. Omdat veel bedrijven gebruik maken van FDE, is het belangrijk om een instrument te kiezen die gecodeerde harde schijven op de volledige schijf kan decoderen.
- Ondersteunde bestandstypen – Veel bestandstypen, zoals archiefbestanden, Phrase-documenten, pdf, and many others., kunnen worden gecodeerd. Als zodanig ondersteunen verschillende forensische decoderingstools alleen forensische decodering van bepaalde bestandstypen. Als u dus een forensische decoderingstool kiest, moet u er daarom achter komen of deze het kind bestanden ondersteunt dat u wilt decoderen.
- Detectie van gecodeerde bestanden – Bij het uitvoeren van forensische beschrijvingen op een groot systeem kan het soms moeilijk zijn om naar alle gecodeerde bestanden te zoeken die mogelijk de benodigde informatie bevatten. Als gevolg hiervan zal het kiezen van een forensische decoderingstool die alle gecodeerde bestanden in een systeem kan detecteren en tonen, u veel tijd besparen.
- Onvindbaarheid – De ideale forensische decoderingstool magazine na decodering geen sporen achterlaten. De beoogde bestanden moeten allemaal ongewijzigd blijven en er mogen geen voetafdrukken van een decoderingsoefening achterblijven. Dit komt omdat onderzoeken er vaak baat bij hebben dat ze niet te traceren zijn, om te voorkomen dat er verdenkingen ontstaan en dat er tegenmaatregelen tegen de exercitie worden genomen. Als gevolg hiervan is niet-traceerbare forensische decodering ideaal.
Momenteel zijn er veel decoderingstools beschikbaar voor forensische consultants die geïnteresseerd zijn in digitaal forensisch onderzoek. Ze hebben echter niet allemaal dezelfde mogelijkheden.
Hier zijn de beste forensische decoderingstools om u te helpen bij uw onderzoek.
Passware-kit Final
Passware Equipment Final is het nieuwste vlaggenschipproduct van Passware, een bedrijf dat instruments voor wachtwoordherstel en decodering voor verschillende gebruikers maakt. Volgens hun web site worden Passware-producten gebruikt door ‘s werelds beste wetshandhavingsinstanties om zaken op te lossen die decodering vereisen.
Deze decoderingstool heeft een aantal functies waardoor hij bovenaan deze lijst staat.
- Wachtwoordherstel voor meer dan 340 bestandstypen – Met Passware Equipment Final kunt u wachtwoorden herstellen van een breed scala aan bestanden, waaronder gearchiveerde bestanden, bitcoin-portefeuilles, Phrase-documenten en QuickBooks. U kunt er zelfs wachtwoorden mee herstellen die zijn versleuteld met encryptietools zoals AxCrypt en VeraCrypt.
- Mogelijkheid om gegevens te extraheren en wachtwoorden te herstellen van meer dan 250 mobiele apparaten, variërend van iPhones tot populaire Android-merken zoals Samsung, Nokia, Huawei en LG. U kunt zelfs gegevens extraheren van gecodeerde mobiele apparaten.
- Volledige schijfdecodering – Passware Equipment Final kan wachtwoorden van schijven ontsleutelen of herstellen met volledige schijfversleuteling.
- Hardwareversnelling – Met Passware Equipment Final kunt u NVIDIA- en AMD GPU’s gebruiken om het proces van wachtwoordherstel en decodering te versnellen, waardoor u in veel kortere tijd aan een groot aantal bestanden kunt werken.
- Decodering van Macs met Apple T2 Safety-chip – Passware Equipment Final biedt een add-on die kan worden gebruikt om Macs te decoderen met de Apple T2 Safety-chip.
Passware Equipment Final heeft geen free of charge proefperiode, maar biedt een geld-terug-garantie van 30 dagen op het product.
Elcomsoft Forensische schijfdecryptor
Elcomsoft Forensic Disk Decryptor is een decoderingstool die u direct toegang geeft tot gegevens die zijn gecodeerd met BitLocker, FileVault 2, TrueCrypt, Veracrypt en PGP Disk.
Enkele unieke kenmerken van Elcomsoft Forensic Disk Decryptor zijn onder meer:
- Zero-footprint-operatie – Het gebruik van Elcomsoft Forensic Disk Decryptor laat geen sporen na van de decoderingsoperatie. De gehele decoderingsoperatie is niet detecteerbaar.
- Biedt toegang tot encryptie-metagegevens – deze functie is handig als u toegang nodig heeft tot het originele leesbare wachtwoord om toegang te krijgen tot gecodeerde gegevens.
- Realtime toegang tot gecodeerde informatie – Elcomsoft Forensic Disk Decryptor voert decodering direct uit, waardoor een gebruiker een gecodeerd quantity als stationsletter kan koppelen en realtime toegang heeft tot de gecodeerde gegevens.
Bovendien biedt het volledige schijfdecodering en zoekt, identificeert en geeft het automatisch gecodeerde volumes en particulars over de coderingsinstellingen van het quantity weer. Elcomsoft biedt een free of charge proefversie van de forensische decryptor.
Paladijn
Paladin forensics suite is een opstartbare forensische Linux-distributie gebaseerd op Ubuntu en is beschikbaar voor zowel 32-bits als 64-bits computer systems. Het is ontwikkeld door SUMURI, dat software program en {hardware} ontwikkelt met betrekking tot digitaal bewijsmateriaal, computerforensisch onderzoek en eDiscovery.
Zodra een gebruiker de Paladin forensische suite opstart, heeft hij toegang tot meer dan 100 vooraf samengestelde open-source forensische instruments om een breed scala aan taken uit te voeren, zoals decodering, hardware-analyse, messenger-forensisch onderzoek, wachtwoorddetectie en analyse van sociale media. anderen.
Enkele van de unieke kenmerken zijn:
- De mogelijkheid om apparaten te klonen. Dit is handig als u de opslagmedia van een apparaat niet kunt verwijderen
- Het heeft een schijfbeheerder die handig is als u aangesloten schijven en hun respectieve partities eenvoudig wilt visualiseren en identificeren.
- Het voert automatische logboekregistratie uit, die op elk apparaat kan worden opgeslagen
- Wordt geleverd met Post-mortem Digital Forensics Platform, een onderzoekstechnologie voor harde schijven die is gebouwd door Foundation-technologie.
Er zijn verschillende versies van de software program beschikbaar onder een ‘noem uw prijs’-aanbieding.
Toolkit voor mobiele verificatie (MVT)
Op hun GitHub-pagina is Cell Verification Toolkit (MVT) een verzameling hulpprogramma’s om het proces van het verzamelen van forensische sporen te vereenvoudigen en te automatiseren, wat nuttig is om een mogelijke inbreuk op Android- en iOS-apparaten te identificeren. MVT is in 2021 gebouwd en uitgebracht door Amnesty Worldwide Safety Lab.
Deze instrument is speciaal ontwikkeld voor Android- en iOS-apparaten, zodat ze adware kunnen detecteren, zoals Pegasus Spyware and adware, die is ontwikkeld en verkocht aan overheden, waardoor ze de telefoons van mensen kunnen bespioneren.
MVT is zeer effectief bij het identificeren of schadelijke software program zoals adware op een Android- of iOS-apparaat is geïnstalleerd zonder medeweten van de gebruiker.
Forensisch onderzoek van Home windows Media
De Home windows Media Forensics-tool bestaat uit drie delen: beeldanalyse, videoanalyse en gebruikersacties. Deze worden allemaal gebruikt om de foto’s en video’s te analyseren die zijn opgeslagen in de Home windows Photographs-applicatie. Omdat computer systems grote hoeveelheden foto’s en video’s kunnen opslaan, kan het moeilijk zijn om ze allemaal te doorlopen, en dit is waar Home windows Media Forensics van pas komt.
De instrument kan afbeeldingen en video’s analyseren en gezichten, mensen, tags, karakters en locaties in de opgeslagen afbeeldingen en video’s identificeren. Het kan ook identificeren wanneer ze zijn vastgelegd, het gebruikte cameramodel en de fabrikant van de digicam.
Bovendien kan de onderzoeker erachter komen wanneer de gebruiker toegang heeft gekregen tot de opgeslagen foto’s en video’s en welke wijzigingen daarin zijn aangebracht. Al deze informatie wordt verstrekt in een voor mensen leesbaar formaat en er kan een back-up van de vastgelegde gegevens worden gemaakt voor toekomstige analyse.
ReferentiesFileView
CredentialsFileView is een hulpmiddel voor het Home windows-besturingssysteem dat de gegevens die zijn opgeslagen in de referentiebestanden van het besturingssysteem decodeert en weergeeft.
De inloggegevensbestanden van het Home windows-besturingssysteem slaan bestanden op zoals aanmeldingswachtwoorden voor een pc en externe computer systems op het LAN van de pc. Het slaat ook wachtwoorden op van Home windows Messenger-accounts, e-mailaccounts en wachtwoorden van met een wachtwoord beveiligde web sites die toegankelijk zijn through Web Explorer.
Deze instrument werkt op Home windows-versies tot Home windows 10 en ondersteunt zowel 32-bits als 64-bits systemen.
hasjkat
Hashcat is een populaire instrument voor het kraken van wachtwoorden die veel wordt gebruikt door penetratietesters, systeembeheerders, criminelen en spionnen.
Om wachtwoorden veilig op te slaan, worden wachtwoorden omgezet in een onverstaanbare reeks cijfers en letters door ze door een hash-algoritme te laten gaan. Hashcat raadt wachtwoorden, hasht ze en vergelijkt ze met de opgeslagen hash, en herhaalt het proces totdat het juiste wachtwoord is gevonden. Hashcat ondersteunt alle bestaande hashformaten en kan de GPU van een systeem gebruiken om het kraken van wachtwoorden te versnellen.
Hashcat kan verschillende aanvallen uitvoeren om wachtwoorden te kraken. Deze aanvallen omvatten woordenboekaanvallen, combinatoraanvallen, maskeraanvallen en de meest efficiënte aanval, de op regels gebaseerde aanval.
Als u wachtwoorden moet kraken. Dit is uw go-to-tool.
John the Ripper wachtwoordkraker
John the Ripper-wachtwoordkraker is een free of charge en open-source instrument voor het controleren en herstellen van wachtwoordbeveiliging. Het kan worden gebruikt om zwakke wachtwoorden in een systeem te vinden en te kraken.
Deze instrument ondersteunt honderden hashes en cijfers, waaronder hashed die wordt gebruikt in wachtwoorden die zijn opgeslagen in onder meer UNIX-gebaseerde systemen, Home windows-besturingssystemen, macOS, webapps zoals WordPress, databaseservers zoals SQL en gecodeerde privésleutels op cryptocurrency-wallets.
In tegenstelling tot Hashcat kan John de ripper echter GPU-versnelling gebruiken om het kraken van wachtwoorden te versnellen.
Conclusie
Forensische decodering gebeurt met behulp van een breed scala aan instruments, elk met een unieke toepassing. Bepaalde instruments zijn het meest geschikt voor bepaalde taken, zoals het kraken van wachtwoorden voor penetratietests, in het geval van Hashcat.
Om te bepalen welk hulpmiddel u bij uw onderzoek kan helpen, is het belangrijk dat u eerst de aard van uw onderzoek bepaalt en wat u wilt bereiken. Van daaruit kunt u vervolgens een beslissing nemen over welke instrument u wilt gebruiken, uit de instruments die in dit artikel zijn besproken.