Ανάλυση ενός εργαλείου forensic

Wireshark (Ευστράτιος Χατζηαφράτης - Ενέο Κούρτι)[επεξεργασία]

Ένα από τα καλύτερα εργαλεία για forensic ανάλυση δικτύου, είναι το Wireshark. Αρχικά, είναι μια ελέυθερη εφαρμογή ανοιχτού κώδικα, του οποίου η λειτουργία αφορά την ανάλυση πακέτων δικτύου. Δημιουργήθηκε το 1998, από τον Gerald Combs, με την ονομασία του τότε να είναι Ethereal. Η ονομασία αυτή διατηρήθηκε μέχρι το 2006, όταν και μετανομάστηκε σε Wireshark, καθώς είχε προκύψει νομικό θέμα με αυτή και έπρεπε να αλλάξει. Tελευταία έκδοση αυτού βγήκε το Δεκέμβριο του 2015. Οι γλώσσες στο οποίο είναι γραμμένο είναι C++ και C. Κυκλοφορεί ελεύθερα, χρησιμοποιώντας την Γενική άδεια δημόσιας χρήσης (GNU, General Public License). Το λογισμικό αυτό τώρα χρησιμοποιείται για την ανάλυση και την παρακολούθηση δικτύου και επιπλέον για τον εντοπισμό και την αντιμετώπιση τυχόν προβλημάτων στα δίκτυα. Η εγκατάσταση του είναι απλή και μπορεί να πραγματοποιηθεί σε υπολογιστές που διαθέτουν ως λειτουργικό σύστημα τα Windows,Linux,Mac OS X και τέλος τα Solaris.Ουσιαστικά, το Wireshark δίνει την δυνατότητα σε όποιον το χρησιμοποιεί,να παρακολουθεί ολόκληρη την κίνηση των πληροφοριών μέσα στο δίκτυο. Αυτό που είναι απαραίτητο, προκειμένου να γίνει δυνατό αυτό, είναι η κάρτα δικτύου να χρησιμοποιεί την λειτουργία «promiscuous mode», μια λειτουργία που επιτρέπει στο Wireshark να αναλύει το σύνολο της κίνησης που περνάει από αυτήν. Έτσι, ο χρήστης έχει την δυνατότητα να βλέπει τα πακέτα που κυκλοφορούν στο δίκτυο, αφού το Wireshark τα «αιχμαλωτίζει». Έτσι, παρέχεται στο χρήστη, σε ζωντανό χρόνο ή μέσα σε κάποιο συγκεκριμένο χρονικό διάστημα, μια λίστα με όλα τα πακέτα που αιχμαλωτίζει, δίνοντας τη δυνατότητα σε εκείνον να φιλτράρει αυτά, για τα οποία ενδιαφέρεται. Μπορεί να χρησιμοποιηθεί σε πολλούς τύπους δικτύου, όπως Ethernet, 802.l1, PPP και loopback. Χαρακτηριστικό παράδειγμα του τι είναι ικανό να κάνει το Wireshark είναι η δυνατότητα του να αναγνωρίζει πακέτα που έχουν να κάνουν με κλήσεις μέσω VoIP, και στην περίπτωση που η κωδικοποίηση τους είναι αναγνωρίσιμη από το πρόγραμμα, τότε μπορεί να ακουστεί και η συνομιλία.

Πηγές: 1,2,3

Chkrootkit (ΜΑΛΑΘΟΥΝΗΣ ΑΛΕΞΑΝΔΡΟΣ-ΛΙΤΣΑΡΔΟΠΟΥΛΟΣ ΑΘΑΝΑΣΙΟΣ)[επεξεργασία]

Cuckoo Sandbox (Vasilis Sakkas - Perseas Tzimikas)[επεξεργασία]

Το cuckoo είναι ένα σύστημα ανάλυσης malware. Με άλλα λόγια μπορείς να επιλέξεις ένα ύποπτο αρχείο για ανάλυση μέσα σε ένα απομονωμένο περιβάλλον και το cuckoo θα σου δώσει αρκετά σημαντικές πληροφορίες για τι θα έκανε στον υπολογιστή ενός χρήστη αν αυτό εκτελούταν. Το malware είναι ένα πολυεργαλείο για έναν hacker ή cybercriminal, ένα malware μπορεί απο το να κλέψει σημαντικές πληροφορίες όπως πχ στοιχεία πρόσβασης, στοιχεία επαφών, να στέλνει ενοχλητικές διαφημίσεις μέχρι και να δημιουργήσει κρυφό server για να διαμοιράζει αρχεία (πχ πορνογραφίας) ή να δημιουργεί εισόδους για έναν hacker για να εισέλθει στο σύστημα ενός θύματος. Στη σήμερον ημέρα η αφαίρεση ενός malware από έναν μολυσμένο υπολογιστή ή δίκτυο δεν είναι αρκετή, είναι πολύ σημαντικό το θύμα να γνωρίζει το στόχο ή το κίνητρο που είχε ο hacker καθώς και τον τρόπο διείσδυσης μέσα στο σύστημα ώστε να κλείσει αυτή η "τρύπα", ώστε στο μέλλον το θύμα να μπορεί να προστατευτεί από αυτό το είδος της επίθεσης. Εδώ έρχεται το cuckoo. Το cuckoo μπορεί και κρατάει αντίγραφα ασφαλείας από τα αρχεία που διαγράφονται ή δημιουργούνται κατά τη διάρκεια της εκτέλεσης του malware, να κρατάει τα δεδομένα της μνήμης που είχε η διεργασία του malware ή ακόμα και ολόκληρου του συστήματος, μπορεί να κρατάει και δεδομένα που περνάνε από το δίκτυο αλλά και να κρατάει screenshots της επιφάνειας εργασίας. Το cuckoo μπορεί να επεξεργαστεί όλα αυτά τα δεδομένα που σύλλεξε και να δημιουργήσει διάφορους τύπους εγγράφων αναφοράς που είναι πιο φιλικά προς τούς χρήστες. Αυτοί οι τύποι εγγράφων αναφοράς είναι:

• JSON
• HTML
• MAEC
• MongoDB
• HPFeeds

Ο τρόπος που είναι κατασκευασμένο το cuckoo, επιτρέπει στο χρήστη να το προσαρμόσει πλήρως ώστε να καλύπτει όλες τις ανάγκες του. Ο χρήστης μπορεί να προσαρμόσει τόσο την επεξεργασία και τα στάδια υποβολής των εκθέσεων αναφοράς όσο και τους τύπους των εγγράφων αναφοράς. Το cuckoo γράφτηκε από μια ομάδα που αποτελείτε από διαλεγμένους hacker. Ένα documentation για την εγκατάσταση και χρήση του cuckoo μπορεί να βρεθεί εδώ.
Πηγές:

• Tools Kali
• Cuckoo
• Έγγραφο που δημοσιεύτηκε στο BlackHat 2013

HashKeeper (Τσάπο Αντονέλα-Νίκου Κωνσταντινος)[επεξεργασία]

Το Hashkeeper αποτελεί μια βάση δεδομένων και χρησιμοποιείται κυρίως από όσους διεξάγουν έρευνες στο περιεχόμενο ηλεκτρονικών υπολογιστών.

Αναπτύχθηκε από το Εθνικό Κέντρο Πληροφοριών Ναρκωτικών (NDIC) το 1996 και είναι διαθέσιμο χωρίς καμία οικονομική επιβάρυνση σε στρατιωτικές και κυβερνητικές οργανώσεις και στον απλό πολίτη δίνεται μετά από την υποβολή αίτησης του Νόμου περί Ελευθερίας της Πληροφορίας στο Εθνικό Κέντρο Πληροφοριών Ναρκωτικών.

Η λειτουργία του βασίζεται στον αλγόριθμο MD5. Αυτός ο αλγόριθμος είναι μια κρυπτογραφημένη συνάρτηση κατακερματισμού και χρησιμοποιείται για την επιβεβαίωση της ακεραιότητας των στοιχείων σε κρυπτογραφικές εφαρμογές. Κατακερματισμός (Hashing) στη εγκληματολογία των υπολογιστών είναι η μείωση των μεγάλων εισόδων (input) σε μια σταθερού και μικρότερου μεγέθους έξοδο (output). Με την βοήθεια του MD5 δημιουργούνται αναγνωριστικά μοναδικής αριθμητικής ακολουθίας για τα αρχεία και έτσι μπορούν να διαχωριστούν σε «γνωστά ως καλά» και «γνωστά ως κακά». Ο αναλυτής, κατά την διάρκεια της εξέτασης ενός ηλεκτρονικού υπολογιστή, εάν δει την σηματοδότηση «είναι γνωστό πως είναι καλό» μπορεί με βεβαιότητα να αποκλείσει το αρχείο που έχει μαρκαριστεί με αυτό το αναγνωριστικό καθώς είναι σχεδόν σίγουρο πως δεν αποτελεί σημαντική πληροφορία για την έρευνα. Εάν η σηματοδότηση δείχνει «είναι γνωστό πως είναι κακό» ο αναλυτής είναι υποχρεωμένος να εξετάσει περαιτέρω το αρχείο με αυτό το αναγνωριστικό, καθώς αποτελεί πιθανό στοιχείο στην έρευνα που διεξάγει. Έτσι μπορεί να γίνει μια πρώτη εκτίμηση των αρχείων ενός υπολογιστή που έχει κατασχεθεί για εγκληματολογική έρευνα.

Αυτή η εφαρμογή είναι ευρέως γνωστή και θεωρείτε αρκετά καλή αν και ο αλγόριθμος κατακερματισμού που χρησιμοποιείται (MD5), παρ’ ότι αποτελεί έναν από τους πιο ευρέως γνωστούς στην εγκληματολογία ηλεκτρονικών υπολογιστών, είχε αρκετά προβλήματα στην αρχή που ακόμη υπάρχουν σε μικρότερο βαθμό. Βέβαια μετά την περαιτέρω εξέταση ενός αρχείου του ηλεκτρονικού υπολογιστή από τον εξεταστή είναι κατά κύριο λόγο βέβαιο πως δεν θα υπάρξει κάποιο λάθος που θα οδηγήσει σε λάθος αναφορά της σοβαρότητας του περιεχομένου του αρχείου αυτού.

Grep (ΑΓΓΕΛΑΚΟΠΟΥΛΟΥ ΕΙΡΗΝΗ ΔΗΜΗΤΡΑ)[επεξεργασία]

Το Grep (Global Regular Expression Print) (Καθολική Εκτύπωση Κανονικής Έκφρασης) συμπεριλήφθηκε στην έκδοση 4 του Unix και εμπνευστής του προγράμματος υπήρξε ο Ken Thompson[1] ο οποίος την χαρακτήρισε ως μια αυτόνομη εφαρμογή.Το Grep αποτελεί ένα πρόγραμμα βοήθημα της γραμμής εντολών το όνομα του οποίου προήλθε απο την εντολή που χρησιμοποιεί ο επεξεργαστής κειμένου του Unix -ed.Το παραπάνω πρόγραμμα σχηματίστηκε για το λειτουργικό σύστημα Unix.Αναλυτικότερα το Grep προβαίνει στην αναζήτηση γραμμών κειμένου που ταιριάζουν σε μία ή περισσότερες κανονικές εκφράσεις αφού πρώτα έχει δοθεί ένας κατάλογος αρχείων ή τυπικής εισόδου προς είσοδο και εν τέλη δίνει σαν έξοδο μόνο τις γραμμές που ταιριάζουν.Επιπλέον το Grep έχει τη δυνατότητα να πραγματοποιεί εκτεταμένες αναζητήσεις καθώς επίσης μπορεί και να χειρίζεται πολλαπλές κανονικές εκφράσεις σε μια αναζήτηση προκειμένου να συλλέξει τα ακριβή δεδομένα που επιθυμεί.Επιπρόσθετα το Grep δεν πραγματοποιεί αναζητήσεις μόνο σε αρχεία απλού κειμένου όπως το μεγαλύτερο μέρος των εργαλείων αναζήτησης αλλά σε μια μεγάλη γκάμα αρχείων όπως δυαδικά αρχεία[2],έγγραφα του Word,υπολογιστικά φύλλα του Excel,PDF και αρχεία ZIP[3].

Άξιο αναφοράς είναι και οι παραλλαγές του Grep όπως το agrep (approximate grep) (προσεγγιστικό grep) το οποίο διευκολύνει τη θολή αναζήτηση συμβολοσειρών,το fgrep για fixed (σταθερά) πρότυπα αναζήτησης,το egrep όταν οι αναζητήσεις έχουν πολύπλοκο συντακτικό και η pgrep η οποία εμφανίζει τις διαδικασίες των οποίων τα ονόματα αντιστοιχούν σε μια κανονική έκφραση.Ας σημειωθεί ακόμη ότι οι παραλλαγές egrep και fgrep έχουν συμπεριληφθεί στhν έκδοση 7 των Unix.Τέλος στην γλώσσα προγραμματισμού Perl[4] η ονομασία grep χρησιμοποιείται σαν μια ενσωματωμένη λειτουργία σκοπός της οποίας είναι να βρίσκει στοιχεία τα οποία ικανοποιούν μια συγκεκριμένη ιδιότητα μέσω μιας λίστας. Στις λειτουργικές γλώσσες προγραμματισμού αυτή η λειτουργία υψηλότερης τάξης συνήθως ονομάζεται φίλτρο.Μερικές εκδόσεις των Windows διαθέτουν την εντολή findstr ή qgrep.

Πηγές:

https://en.wikipedia.org/wiki/Grep

http://www.powergrep.com/portable.html

Registry Recon (Σταμάτης Γρηγόρης - Νίκος Μακρής)[επεξεργασία]

TCPDUMP (Δημήτρης Μακρής - Μανασής Βάιος)[επεξεργασία]

Το tcpdump είναι ένα εργαλείο παρακολούθησης πακέτων μέσω γραμμής εντολών. Δουλεύει με tcp/ip και άλλων ειδών πακέτα τα οποία αποστέλλονται ή λαμβάνονται στο δίκτυο το οποίο είναι συνδεδεμένος ο υπολογιστής ο οποίος χρησιμοποιεί το tcpdump. Είναι ελεύθερο λογισμικό με την άδεια χρήσης της BSD (3-Clause). Έχει σχεδιαστεί να τρέχει σε όλα από τα πιο γνωστά unix-like λειτουργικά συστήματα με την βιβλιοθήκη libpcap. Η αντίστοιχη μεταφρασμένη έκδοση για τα Windows της Microsoft λέγεται WinDump και χρησιμοποιεί την WinPcap βιβλιοθήκη. Για την εκκίνηση του προγράμματος είναι απαραίτητα τα δικαιώματα διαχειριστή. O χρήστης μπορεί να περιορίσει τα δεδομένα του με μια έκφραση σαν φίλτρο, βάση την διεύθυνση του αποστολέα, ή του παραλήπτη, ή τη θύρα που χρησιμοποιείτε και άλλα. Αν δεν δοθεί κανένας περιορισμός το tcpdump εμφανίζει όλα τα πακέτα που περνάνε από το δίκτυο. Όταν η παρακολούθηση ολοκληρωθεί ή διακόπτει από τον χρήστη, εμφανίζονται οι εξής πληροφορίες:

• packets captured(ο συνολικός αριθμός των πακέτων που το tcpdump έλαβε και επεξεργάσθηκε),
• packets received by filter(διαφέρει ανάλογα το λειτουργικό σύστημα. Σε μερικά είναι ο αριθμός που ταιριάζει με το φίλτρο και τα οποία επεξεργάσθηκαν από το πρόγραμμα)
• και packets dropped by kernel(είναι ο αριθμός τον πακέτων που δεν μπόρεσαν να καταγραφούν λόγο έλλειψης πόρων. δηλαδή όταν ο buffer του συστήματος έχει γεμίσει).
  

Ο χρήστης μπορεί να πειράξει το μέγεθος του buffer καθώς και να ορίσει έναν μετρητή, οπού το πρόγραμμα θα λάβει το πολύ μέχρι ένα συγκεκριμένο αριθμό πακέτων. Επίσης το tcpdump έχει τη δυνατότητα να αποθηκεύσει τα πακέτα που κατέγραψε σε αρχεία. Όπως μπορεί ακόμα να διαβάσει και να εμφανίσει το περιεχόμενο των πακέτων από τα αρχεία αυτά ή την ίδια ώρα που παρακολουθεί το δίκτυο σε μορφή ascii ή hex. Ένα άλλο παρόμοιο πρόγραμμα με το tcpdump είναι το wireshark με την κύρια όμως διαφορά ότι αυτό έρχεται με γραφικό περιβάλλον. Το οποίο έχει και αυτό τη δυνατότητα να διαβάσει τα αποθηκευμένα αρχεία καταγραφής του tcpdump.

Πηγές:http://www.tcpdump.org https://en.wikipedia.org/wiki/Tcpdump http://www.tecmint.com/12-tcpdump-commands-a-network-sniffer-tool

Oxygen Forensics 2015(Νίκος Καμπίτσας-Παυλίνα Λάρου)[επεξεργασία]

Η Oxygen Forensics, Inc είναι μια εταιρία η οποία ειδικεύεται σε λογισμικά τα οποία παρέχουν εργαλεία και λειτουργίες που έχουν ως στόχο να αναλύσουν πληροφορίες από φορητές συσκευές και να εξάγουν τα αποτελέσματα που έχουν ανακτήσει σε λίστες. Το λογισμικό είναι συμβατό σε κινητά τηλέφωνα, smartphones και tablet και υποστηρίζει το λειτουργικό σύστημα Symbian, Android και iOS. Η λειτουργία του Oxygen Forensics είναι ταχύτατη καθώς εφαρμόζει προηγμένους αλγορίθμους ανάκτησης δεδομένων και επιτρέπει στους ειδικούς να συγκεντρώσουν τις πληροφορίες σε σύντομο χρονικό διάστημα.

Η εφαρμογή μετά τη σύνδεση της συσκευής εμφανίζει το μοντέλο και τα χαρακτηριστικά της και με τα ενσωματωμένα εργαλεία που περιέχει, δίνει τη δυνατότητα να επιλεχθούν από το περιβάλλον της εφαρμογής, οι πληροφορίες που είναι επιθυμητές προς ανάκτηση. Έχει τη δυνατότητα ανάκτησης μηνυμάτων κειμένου, MMS και μηνυμάτων ηλεκτρονικού ταχυδρομείου. Επίσης δίνεται πρόσβαση στο ιστορικό κλήσεων, επαφές αλλά και στα αποθηκευμένα δεδομένα εφαρμογών της συσκευής.

Περιλαμβάνει εργαλείο προβολής αρχείων το οποίο επιτρέπει την εμφάνιση όλων τον διαθέσιμων φακέλων μαζί με τα περιεχόμενά τους τα οποία εμπεριέχουν εικόνες, βίντεο και άλλα πολυμέσα. Επιπλέον είναι δυνατή η ανάκτηση δεδομένων σελίδων HTML / XML και των βάσεων δεδομένων. Ακόμη λογαριασμοί cloud όπως της Google, Apple iCloud, Microsoft και άλλοι λογαριασμοί cloud μπορούν να εισαχθούν και να αναλυθούν.

Για τις συσκευές με λειτουργικό Android υποστηρίζει την εμφάνιση των τοποθεσιών που έχει επισκεφθεί ο χρήστης. Επιπλέον έχει την υποστήριξη πολλών συσκευών ακόμα και παλαιών μοντέλων συσκευών τα οποία δεν υποστηρίζονται από την σελίδα τους.

Στο τέλος δημιουργείται μια περιληπτική αναφορά μαζί με τις ημερομηνίες τις κάθε πληροφορίας καθώς και με στατιστικά και γίνεται μια οργανωμένη συγκεντρωτική τακτοποίηση των δεδομένων που έχουν εξαχθεί σε διάφορα τμήματα και σε πολλές μορφές όπως PDF, HTML, XML και σε άλλες, επιτρέποντας στον ειδικό να χρησιμοποιήσει φίλτρα και να μεταφερθεί στην ενότητα που του ενδιαφέρει να προβάλλει και να αναλύσει.

Πηγές: http://www.oxygen-forensic.com/en/ http://www.prnewswire.com/news-releases/oxygen-forensic-suite-2015-faster-data-extraction-and-real-time-analysis-504239691.html http://www.softpedia.com/get/Mobile-Phone-Tools/Nokia/Oxygen-Forensic-Suite.shtml http://www.forensicfocus.com/c/aid=139/reviews/2015/oxygen-forensics-detective-mobile-device-forensics-suite/ http://www.oxygen-forensic.com/en/events/news/516-oxygen-forensic-suite-2015-recovers-deleted-files-targets-windows-phone-and-cdr

HELIX 3 (Καραγιαννοπούλου Μαρία - Σπανός Ιωάννης)[επεξεργασία]

Xplico (ΘΑΚΑ - ΒΟΓΙΑΤΖΗΣ)[επεξεργασία]

XRY (Κάμπαξης Λεωνίδας, Περικλής Μπαγγέας)[επεξεργασία]

Σύμφωνα με μία πρόσφατη έρευνα της GSMA υπάρχουν περισσότερες κινητές συσκευές, όπως κινητά, ταμπλέτες, από το συνολικό πληθυσμό του πλανήτη και μάλιστα παραπάνω από τον μισό πληθυσμό δεν κατέχει κινητό τηλέφωνο . Έτσι σιγά σιγά μεγαλώνει και η ανάγκη για τρόπους αντιμετώπισης του ψηφιακού εγκλήματος. Ένα εργαλείο forensic που βοηθάει σε αυτό το σκοπό είναι το XRY της εταιρείας Micro Systemation (MSAB).

Το XRY είναι ένα λογισμικό του οποίου η χρησιμότητα είναι να δίνει τη δυνατότητα στους χρήστες του να αντλούν δεδομένα από πολλές συσκευές, όπως κινητά, ταμπλέτες, δρομολογητές, με ασφαλή τρόπο. Ωστόσο, το λειτουργικό σύστημα ορισμένων συσκευών είναι πολύ διαφορετικό από αυτό ενός ηλεκτρονικού υπολογιστή και πολλές φορές απαιτείται η εξαγωγή δεδομένων από αυτές τις συσκευές από κάποιον ειδικό. Οι πληροφορίες οι οποίες συλλέγονται, αποθηκεύονται στον υπολογιστή σε κωδικοποιημένο αρχείο σε μορφή τύπου .xry. Yπάρχουν τέσσερις παραλλαγές του συγκεκριμένου προγράμματος.

Αρχικά, υπάρχει το XRY Logical το οποίο μπορεί να επικοινωνήσει με το λειτουργικό σύστημα της συσκευής και να στείλει αίτημα για να εξάγει δεδομένα που η μορφή τους είναι εύκολη στην κατανόηση και στη μετέπειτα χρήση. Παράλληλα, υπάρχει το XRY Physical του οποίου η αναγκαιότητα είναι μεγάλη στην περίπτωση που δεν είναι εφικτή η άμεση επικοινωνία με το λειτουργικό σύστημα της συσκευής. Υπάρχουν δύο στάδια. Στο πρώτο, το πρόγραμμα συλλέγει ό,τι δεδομένα υπάρχουν στο αποθηκευτικό μέσο της συσκευής τα οποία όμως είναι ακατέργαστα και στο δεύτερο στάδιο προσπαθεί να εξάγει πληροφορίες από αυτά τα δεδομένα για να δημιουργηθεί κάτι χρήσιμο. Με αυτόν τον τρόπο είναι δυνατή η πρόσβαση και σε συσκευές που υπάρχει κάποιο μέτρο ασφαλείας και επίσης μπορούν να ανακτηθούν και κάποια διαγραμμένα αρχεία. Επιπλέον, το XRY PinPoint μπορεί να συλλέξει δεδομένα από απομιμήσεις κινητά στα οποία η υποδοχή τους δεν είναι κοινώς γνωστή βρίσκοντας ποια καρφιά στέλνουν και δέχονται δεδομένα για να γίνει διεξαχθεί η πληροφορία. Τέλος, υπάρχει και το XRY Viewer το οποίο είναι απαραίτητο για την προβολή των .xry αρχείων και την ταξινόμηση και κατηγοριοποίηση αυτών. Υπάρχει η δυνατότητα να περαστεί το πρόγραμμα σε οπτικό δίσκο ή εξωτερικό σκληρό δίσκο μαζί με τα .xry αρχεία για να δοθεί σε τρίτους και να βοηθήσουν στην διαδικασία της εξαγωγής της πληροφορίας.

Το XRY έρχεται με ειδικά εργαλεία που βοηθούν στη διαδικασία εξαγωγής δεδομένων και είναι διαθέσιμο για την αστυνομία, τον στρατό, τις υπηρεσίες πληροφοριών και τα forensic εργαστήρια. Και τέλος τρέχει σε Windows OS.

Πηγές:
https://www.msab.com/
https://en.wikipedia.org/wiki/XRY_(software)
http://www.forensicswiki.org/wiki/.XRY
http://www.independent.co.uk/life-style/gadgets-and-tech/news/there-are-officially-more-mobile-devices-than-people-in-the-world-9780518.html

CAINE (Μπράτση Μαρία)[επεξεργασία]

Το CAINE, όπου προέρχεται από τα αρχικά Computer Aided INvestigative Enviroment, αποτελεί μία live διανομή GNU/LINUX, η οποία βασίζεται στο Ubuntu, και έχει ως στόχο τις εγκληματολογικές έρευνες των υπολογιστών. Ο δημιουργός του ονομάζεται Giancarlo Guistini αλλά, πλέον, υπεύθυνος του CAINE είναι ο Nanni Bassetti.

Αναλυτικότερα, το CAINE αποτελεί ένα ολοκληρωμένο γραφικό περιβάλλον, φιλικό ως προς τον χρήστη, όπου εισάγει τα ήδη υπάρχοντα λογισμικά, ώστε να επιτευχθεί η χρήση τους ως εργαλεία κατά την διάρκεια μιας εγκληματολογικής έρευνας. Επιπρόσθετα, έχει ημιαυτόματες διεργασίες, ώστε να επιτευχθούν η τεκμηρίωση και η σύνταξη των αναφορών στο τέλος της έρευνας. Τέλος, το CAINE χρησιμοποιεί την τεχνολογία Write Block[5], και σε επίπεδο λογισμικού αλλά και σε επίπεδο υλικού, όπου εξασφαλίζεται ότι η συσκευή που βρίσκεται προς ανάλυση δεν έχει υποστεί καμία αλλαγή, με αποτέλεσμα τα δεδομένα που θα εξαχθούν να μην είναι δυνατόν να αμφισβητηθούν.

Κάποια πολύ χρήσιμα εργαλεία της διανομής CAINE είναι το XSteg ,το οποίο αποτελεί ένα εργαλείο για να βρίσκονται τα μηνύματα που είναι κρυμμένα σε εικόνες (στεγανογραφία), όπως επίσης, και το Ddresque, το οποίο αποτελεί ένα εργαλείο για να επαναφέρονται τα δεδομένα,ακόμη και στην περίπτωση σφάλματος ανάγνωσης. Περισσότερα εργαλεία που βρίσκονται στη διανομή CAINE και που σχετίζονται με την ψηφιακή εγκληματολογία είναι τα εξής:

• Abiword:Πρόγραμμα για την επεξεργασία κειμένου
• Autopsy:Αποτελεί ένα γραφικό περιβάλλον της γραμμής εντολών του εργαλείου που αναλύει την ψηφιακή έρευνα του Sleuth Kit. Μπορεί να αναλύσει δίσκους Windows και Unix , όπως και αρχεία συστήματος (NTFS, FAT, UFS1/2, Ext2/3).
• Afflib:(Advanced Forensics Format). Αποτελεί μία επεκτάσιμη ανοιχτή μορφή ώστε να γίνει η αποθήκευση εικόνων δίσκου και εγκληματολογικών μεταδεδομένων.
• Atomic Parsley:Αποτελεί μια εύχρηστη γραμμή εντολών δίνοντας τη δυνατότητα του διαβάσματος, της ανάλυσης και της ρύθμισης μεταδεδομένων σε MPEG-4 αρχεία.
• Bkhive: Είναι ένα εργαλείο που δίνει την δυνατότητα να εξαχθεί το κλειδί συστήματος των Windows που χρησιμοποιείται για να κρυπτογραφούνται οι συναρτήσεις κατακερματισμού από τους κωδικούς χρήστη.
• Dos2unix:Μετατρέπει τα αρχεία κειμένου από DOS/MAC σε UNIX.
• Dvdisaster:Χρησιμοποιείται για την αποθήκευση δεδομένων σε CD/DVD/BD, έτσι ώστε να επιτευχθεί η επαναφορά τους ακόμη και στην περίπτωση που υπάρχουν σφάλματα ανάγνωσης.
• Galleta: Αποτελεί ένα εργαλείο για την εγκληματολογική ανάλυση των cookie στον Internet Explorer.Χρησιμοποιείται για την ανάλυση των πληροφοριών που εμπεριέχονται σε ένα αρχείο cookie και στην συνέχεια γίνεται η εξαγωγή των αποτελεσμάτων με τέτοιο τρόπο ώστε να μπορούν να χρησιμοπιηθούν σε spreadsheet πρόγραμμα, όπως είναι για παράδειγμα το Microsoft Excel.
• HDSentinel: Με το συγκεκριμένο εργαλείο επιτυγχάνεται η παρακολούθηση της φυσικής κατάστασης και της θερμοκρασίας του σκληρού δίσκου και ευθύνεται για την δοκιμή, την επισκευή και την πρόβλεψη σφαλμάτων του. Ακόμη,δίνει την δυνατότητα αποτροπής όσον αφορά την απώλεια δεδομένων χρησιμοποιώντας αυτόματο και προγραμματισμένη δημιουργία αντιγράφων ασφαλείας.
• Rifiuti-Rifiuti2: Αποτελεί ένα εργαλείο για την εγκληματολογική ανάλυση του Κάδου Ανακύκλωσης. Δηλαδή,υπάρχει η δυνατότητα ανάλυσης των πληροφοριών που εμπεριέχονται σε ένα INFO2 αρχείο και η εξαγωγή των αποτελεσμάτων γίνεται με τέτοιο τρόπο ώστε να μπορούν να χρησιμοποιηθούν σε spreadsheet πρόγραμμα (πχ Microsoft Excel). Το rifiuti2 αποτελεί μια ανανεωμένη έκδοση που δίνει τη δυνατότητα για ανάγνωση και μη λατινικών χαρακτήρων και διαθέτει το “$Recycle.Bin” των Vista και των Windows 2008 και υπάρχει η δυνατότητα εξαγωγής των αποτελεσμάτων και σε XML.

Να σημειωθεί ότι, στον τομέα της ψηφιακής εγκληματολογίας, τα live CDs (δηλαδή CD που τρέχουν τα δεδομένα σε πραγματικό χρόνο) χρησιμοποιούνται ευρέως κατά την διάρκεια των ερευνών επειδή καμία από τις πληροφορίες, οι οποίες βρίσκονται στα live CDs, δεν αποθηκεύεται στον υπολογιστή.

ΠΗΓΕΣ: https://www.secnews.gr/95913/%CF%88%CE%B7%CF%86%CE%B9%CE%B1%CE%BA%CE%AE-%CE%B5%CE%B3%CE%BA%CE%BB%CE%B7%CE%BC%CE%B1%CF%84%CE%BF%CE%BB%CE%BF%CE%B3%CE%AF%CE%B1-%CE%BC%CE%B5-caine/

http://osarena.net/distros-roms/specialist-distros/caine-dianomi-linux-gia-exichniasi-egklimaton.html

DEFT (Ζμπήτας Δημήτρης, Καλορογιάννης Πάνος)[επεξεργασία]

Ένα αρκετά χρήσιμο εργαλείο forensics είναι το DEFT. Είναι ένα εργαλείο το οποίο η δημιουργία του είναι καθαρά μόνο για εγκλήματα . Δημιουργήθηκε καθαρά μόνο στην Ιταλία. Η εταιρία που το δημιούργησε αυτό το εργαλείο ονομάζεται DEFTA. Ο επικεφαλής όλου αυτού ονομάζεται Stefano Fratepietro. To DEFT εντάσσεται στην κατηγορία των εργαλείων Computer Forensic live system που σημαίνει ότι η εφαρμογή αυτού του εργαλείου γίνεται την στιγμή που θα χρειαστεί DVDROM ή pendrive USB. Επίσης το εργαλείο αυτό το εγκαθιστάς και το τρέχεις ως Virtual συσκευή σε Vmware ή ως Virtualbox. Ακόμα είναι βασισμένο σε GNU linux αλλά από την άλλη ταυτόχρονα μπορεί να συνδυαστεί με το DART(εργαλείο forensic), ένα εργαλείο το οποίο υποστηρίζεται από τα Windows και περιέχει αρκετά μεγάλου επιπέδου εργαλεία για αντιμετώπιση περιστατικών.Το DEFT χρησιμοποιείται από πανεπιστήμια, ερευνητές, επιθεωρητές μέχρι και αξιωματικούς και στρατιωτικούς . Χρονολογικά η δημιουργία του πρώτου version έγινε το 2005 και μπορεί κανεις να το εχει ελευθερα στη διαθεση του. Γενικά είναι ένα χρήσιμο εργαλείο με μεγάλες δυνατότητες αλλά και αποτελεσματικό έναντι σε περιστάσεις διαδυκτιακων εγκληματων και οχι μονο. Τέλος το DEFT σε σχέση με την πληρωμή του είναι εύκολη γρήγορη αλλά και ασφαλείς ενώ το εμπιστεύονται αν όχι όλοι τουλάχιστον οι περισσότεροι γιατί είναι αρκετά αποτελεσματικό και αρκετά αλάνθαστο.

PRO DISCOVER BASIC (Κατράνας Κωνσταντίνος - Μυτιληνού Θάλεια)[επεξεργασία]

Η ραγδαία εξέλιξη της τεχνολογίας σε συνδιασμό με την αύξηση της εγκληματικότητας έχουν ως αποτέλεσμα την ανάπτυξη μιας νέας σχετικά μορφης εγληματικότητας τη λεγόμενη διαδυκτυακή εγκληματικότητα. Στην σημερινή εποχή την οποία διανύουμε, κα8ημερινά οι αρχές έρχονται αντιμέτωπες με κρούσματα παιδικής πορνογραφίας, κλοπή και διαρροή ευαίσθητων και προσωπικών δεδομένων καθώς επίσης και διακίνησης ναρκωτικών και όλα αυτά με την βοήθεια ενός υπολογιστή. Στην προσπά8εια καταπολέμισης της διαδικτυακής εγκληματικότητας και συγκεκριμένα στον κυβερνοχώρο έρχεται να ενισχήσει ο όμιλος APR με το νέο του τεχνολογικό επίτευγμα το Pro Discover Basic. Ο όμιλος υποστηρίζει ότι το νέο αυτό εργαλείο υπερβαίνει τα συνηθή εργαλεία καταπολέμισης του εγκλήματος στον κυβερνοχώρο. Το Pro Discover είναι ένα ισχυρό εργαλείο- ιατροδικαστής το οποίο επιτρέπει σε ειδικούς στην πληροφορική να εντοπίζουν όλα τα δεδομένα, αρχεία,στοιχεία σε ένα υπολογιστή ακόμα και αν αυτά έχουν διαγραφεί ή αλλοιω8εί. Επίσης είναι ικανό να προστατεύει αυτά τα στοιχεία και να δημιουργεί ποιοτηκές εκ8έσεις οι οποίες γίνονται αποδεκτές για χρήση σε δικαστικές υποθέσεις. Το Pro Discover επιτρέπει την αναζήτηση σε όλο τον υπολογιστή με λέξεις-κλειδία ή και φράσεις και δημιουργεί αυτόματες αναφορές .Αποδεικνύει το ενδιαφέρον, τη δραστηριότητα στο διαδίκτυο, ποιές σελίδες επισκέφ8ηκε πρόσφατα καθώς και γενικά στο διαδίκτυο ο χρήστης . Είναι ευέλικτο, γρήγορο, εύκολο στη χρήση και μπορεί να κάνει αναζήτηση ακόμα και στο χαλαρό χώρο του υπολογιστή. Σύμφωνα με τη βιομηχανία που το εφηύρε το συγκεκριμένο εργαλείο θα βοηθήσει σε μεγάλο βαθμό στην καταπολέμηση της διαδικτυακής εγκληματικότητας με αποτελέσμα την ασφαλή χρήση του διαδικτύου.

Πηγές http://www.arcgroupny.com/products/prodiscover-forensic-edition/

SANS Investigative Forensics Toolkit - SIFT (Μπαλάνος Κωνσταντίνος-Κολιός Χρυσοβαλάντης)[επεξεργασία]

To SANS Investigative Forensic Toolkit ("SIFT") είναι μια εγκληματολογικού τύπου εφαρμογή VMware για τους υπολογιστές, που είναι προ-ρυθμισμένα όλα τα απαραίτητα εργαλεία για να εκτελέσει μια λεπτομερή ψηφιακή ιατροδικαστική εξέταση. Είναι συμβατό με τη μορφή πραγματογνωμοσύνης (Ε01), την προηγμένη μορφή της ιατροδικαστικής(AFF). Πλεον η νέα έκδοση είναι γραμμένη σε Ubuntu, δίνοντας έτσι την ευχέρεια το πρόγραμμα να είναι συμβατό με πολλά σύγχρονα ιατροδικαστικά εργαλεία. Μια διεθνή ομάδα εγκληματολογίας πήρε την απόφαση , η οποία συνεργάστηκε με τον Rob Lee, που ήταν επίσης συνεργάτης με τη σχολή SANS και ήταν και επικεφαλής της ομάδας. Η ομάδα δημιούργησε το SANS Investigative Forensic Toolkit ("SIFT") Workstation για χρήση ψηφιακής εγκληματολογίας και την διέθεσε στο ευρύ κοινό ως μια δημόσια υπηρεσία. Το SIFT επίσης εμφανίζεται και στο μάθημα Advanced Incident Response του ινστιτούτου SANS. Οι ενημερώσεις του προγράμματος γίνονται από την ίδια επιστημονική ομάδα που το προγραμμάτισε. Το SIFT αποτελείται από μια ομάδα εγκληματολογικών εργαλείων ανοιχτού κώδικα και αντιμετώπισης προβλημάτων με σκοπό την αναλυτική ψηφιακή εξέταση στοιχείων με ένα πλήθος ρυθμίσεων κατάλληλο για τον καθένα.Το SIFT είναι ένα χρήσιμο εργαλείο το οποίο έφτασε τις 100.000 λήψεις μέχρι τώρα και συνεχίζει να είναι το πιο γνωστό προϊόν αυτού του τύπου των εφαρμογών. Το SIFT είναι συμβατό σε Windows (MS-DOS, FAT, VFAT, NTFS), Mac (HFS), Solaris (UFS) και Linux (ext2/3). Τα εργαλεία του SIFT είναι :

• MantaRay (Automated Forensic Processing)
• The Sleuth Kit (File system analysis tools)
• log2timeline (timeline generation tool)
• Ssdeep & md5deep (hashing tools)
• Foremost/Scalpel (File Carving)
• Wireshark (Network Forensics)
• Vinetto (thumbs.db examination)
• Pasco (IE Web History examination)
• Rifiuti (Recycle Bin examination)
• Volatility Framework (memory analysis)
• DFLabs PTK (GUI front-end for Sleuth kit)
• Autopsy (GUI front-end for Sleuth kit)
• PyFLAG (GUI Log/Disk examination)

Πηγές: 1

Computer Online Forensic Evidence Extractor:COFEE (ΑΛΕΞΙΟΥ ΜΑΡΙΑ-ΚΩΝΣΤΑΝΤΟΠΟΥΛΟΥ ΚΥΡΙΑΚΗ)[επεξεργασία]

Όλες οι υπηρεσίες σε ολόκληρο τον κόσμο που σχετίζονται με την ασφάλεια και την επιβολή του νόμου στην σύγχρονη εποχή, με την ραγδαία εξέλιξη της τεχνολογίας και των κοινωνικών δικτύων βρίσκονται αντιμέτωπες με το κοινό σημαντικό πρόβλημα της καταπολέμησης της εγκληματικότητας στον κυβερνοχώρο.Η παιδική πορνογραφία, η κλοπή προσωπικών δεδομένων και ευαίσθητων πληροφοριών στο διαδίκτυο είναι κάποια από τα εγκλήματα που σημειώνουν ιδιαίτερη έξαρση στη σημερινή κοινωνία.Για τον λόγο αυτό η αμερικανική εταιρεία Microsoft αποφάσισε να δημιουργήσει ένα εργαλείο,το Computer Online Forensic Evidence Extractor (COFEE) το οπoίο θα διευκόλυνε όλες τις δημόσιες αρχές και υπηρεσίες να καταπολεμήσουν το κυβερνοέγκλημα.To COFEE είναι ένα εργαλείο που αναπτύχθηκε από τον Athony Fung,ένα πρώην αστυνομικό από το Χονγκ Κονγκ ο οποίος τώρα εργάζεται στην Microsoft.Πρόκειται για ένα εργαλείο το οποίο έχει στόχο την εξαγωγή και ανάκτηση δεδομένων από υπολογιστές.Είναι σχετικά απλό στη χρήση του αφού ενεργοποιείται από τη στιγμή που ένα USB flash,μέσα στο οποίο είναι εγκατεστημένο το COFEE συνδεθεί στον ύποπτο υπολογιστή. Περιέχει 150 εντολές οι οποίες τρέχουν και μέσα από ένα γραφικό περιβάλλον διευκολύνει τη συλλογή και την εξαγωγή διαφόρων στοιχείων που μπορούν να αποδείξουν ένα ηλεκτρονικό έγκλημα.Όπως αναφέρει και η Microsoft σε μια έρευνα στην Νέα Ζηλανδία το 2008 για παράνομη παιδική πορνογραφία με τη χρήση του COFEE κατάφεραν να προσκομιστούν στοιχεία που οδήγησαν και στη σύλληψη.Το λογισμικό αποτελείται από 3 τμήματα.Αρχικά είναι ρυθμισμένο έτσι ώστε να δίνει την δυνατότητα σε έναν ερευνητή να επιλέξει εκ των προτέρων τα δεδομένα που επιθυμούν να εξάγουν από έναν υπολογιστή.Στη συνέχεια τα δεδομένα αυτά αποθηκεύονται μέσα σε ένα USB το οποίο συνδέεται στον στοχευμμένο υπολογιστή από τον οποίο θέλουμε να ανακτήσουμε τα δεδομένα.Στο τέλος μέσα από ένα γραφικό περιβάλλον παράγονται κάποιες αναφορές από τα δεδομένα τα οποία έχουν ανακτηθεί και ερευνώνται από τους ειδικούς. Επιπλέον το COFΕΕ εκτός από την ανάκτηση και την εξαγωγή δεδομένων διαθέτει και εργαλεία για την αποκρυπτογράφηση κωδικών πρόσβασης,την ανάκτηση του ιστορικού,την αναζήτηση δραστηριότητας του υπολογιστή στο διαδίκτυο και τη δυνατότητα να ανακτώνται δεδομένα τα οποία είναι αποθηκευμένα σε στατική μνήμη και μπορούν να χαθούν όταν απενεργοποιειθεί ο υπολογιστής.Το λογισμικό είναι συμβατό για τα Windows,διατίθεται δωρεάν από την Microsoft σε όλες τις υπηρεσίες επιβολής του νόμου σε όλο τον κόσμο και χρησιμοποείται σε τουλάχιστον 15 χώρες.Τέλος το Νοέμβριο του 2009 κάποια αντίγραφα των Microsoft COFEE διέρρευσαν στο διαδίκτυο με την Microsoft να επιβεβαιώνει τις πληροφορίες αυτές.

ΠΗΓΕΣ: [2] [2]

FOROBOTO (Τσιβόλα Ροδάνθη - Καραδήμα Μάγδα)[επεξεργασία]

Ότι σβήνεται δεν χάνεται, ο λόγος για το foroboto το οποίο είναι ένα forensic tool ανοιχτού κώδικα που το χρησιμοποιούν αρκετές υπηρεσίες λόγω του ότι έχει πολύ μεγάλη δυνατότητα στην ανάκτηση δεδομένων. Είναι ένα εργαλείο που μπορεί να βοηθήσει στον έλεγχο συσκευών τύπου Android σε αρκετά επίπεδα και μπορεί να επαναφέρει δεδομένα που θεωρητικά ήταν χαμένα. Μπορεί να χρησιμοποιηθεί με βάση έναν υπολογιστή Linux ή Unix-dased ή Windows και σίγουρα σε συσκευές android, που να είναι συνδεδεμένο με usb στον υπολογιστή. Η ανάλυση του περιλαμβάνει πέντε επίπεδα, ξεκινώντας από το ένα που είναι το χαμηλότερο, φτάνει στο ανώτερο που είναι το πέντε, το κάθε επόμενο επίπεδο θα κάνει όλες τις διεργασίες των προηγούμενων επιπέδων. Πιο αναλυτικά: το Dumpstate (χωρίς δικαιώματα root) το ένα επίπεδο παρέχει όσο πιο μεγάλες πληροφορίες γίνεται και εντοπίζει τα σφάλματα σε πολύ λίγο διάστημα σε εφαρμογές προς πληροφόρηση του εξεταστή. Το δεύτερο επίπεδο Mount Points δημιουργεί συνδέσεις δικτύου, δίνει πληροφορίες για την ημερομηνία και την ώρα, χρησιμοποιεί τον αποθηκευτικό χώρο της συσκευής, το χρονικό διάστημα λειτουργίας της συσκευής, σε αυτό το σημείο ο εξεταστής παίρνει αναλυτικές πληροφορίες σχετικά με το πώς δικτυώνονται και αποθηκεύονται οι πληροφορίες. Το τρίτο επίπεδο, κάνει όλες τις διεργασίες των δύο προηγουμένων, καθώς και αντιγραφή των δεδομένων της κάρτας SD από τη συσκευή, το τέταρτο επίπεδο αντιγράφει δεδομένα που καταχωρούνται (μόνο με πρόσβαση root) και δίνει πολλά στοιχεία για τη διαμόρφωση των εφαρμογών. Το πέμπτο και τελευταίο επίπεδο μαζεύει πληροφορίες από τους καταλόγους της συσκευής π.χ. /cache, /charger, /confing, /root κ.α. (με πρόσβαση root). Όταν τρέχει το πρόγραμμα εμφανίζεται ένα παράθυρο τερματικού με τις πέντε επιλογές επιπέδων που αναφέρονται πιο πάνω με δυνατότητα επιλογής επιπέδου, ανάλογα με το τι πληροφορίες χρειάζεται να συγκεντρώσει ο χρήστης με την προϋπόθεση η συσκευή Android να είναι συνδεδεμένη στον υπολογιστή και μέσω ρυθμίσεων να έχει ενεργοποιηθεί το ADB USB Debugging (για τον εντοπισμό σφαλμάτων). Η χρήση του συνίσταται για προχωρημένους. Πηγή [6]

AccessData Forensic Toolkit ( Λινάρδος Απόστολος - Ευάγγελος Μουτκανάς)[επεξεργασία]

EnCase(Βρουτσης Αλεξανδρος,Μπουλλαρι Μαριο)[επεξεργασία]

Windows To Go (Απόστολος Ορέστης Χουλιάρας - Γρηγόριος Σιανόπουλος)[επεξεργασία]

Last Activity View(Τάγκας Στέλιος - Μάριος Αθανάσιος Τσόγκας)[επεξεργασία]

Το Last Activity View είναι ένα εργαλείο για λογισμικά Windows,το οποίο έχει δημιουργήσει η εταιρία NirSoft. H εταιρία αποτελείτε από έναν προγραμματιστή τον Nir Sofer και ασχολείται κυρίως με τον προγραμματισμό μικρών εφαρμογών για ανάλυση δεδομένων σε δίκτυα,συντήρηση Η/Υ και Forensics. Όλα τα προγράμματα διανέμονται ελεύθερα στην προσωπική ιστοσελίδα του προγραμματιστή http://www.nirsoft.net.

Σκοπός της εφαρμογής είναι να αναζητήσει για διεργασίες που έχουν εκτελεστεί στο σύστημα , τις κινήσεις του χρήστη και διάφορα γεγονότα που έχουν συμβεί κατά τη λειτουργία του υπολογιστή.Η εφαρμογή όταν εκτελεστεί ξεκινάει τη σάρωση του υπολογιστή για πληροφορίες όπως το όνομα, η ημερομηνία εκτέλεσης, η τοποθεσία του αρχείου που εκτελεί τη διεργασία καθώς και τον τύπο επέκτασης(file extension) που χρησιμοποιεί. Αφού ολοκληρωθεί η διαδικασία, παρουσιάζει στο χρήστη μία λίστα των διεργασιών που έχουν εκτελεστεί από το σύστημα. Ο χρήστης μπορεί να αναζητήσει συγκεκριμένες πληροφορίες και υπάρχει δυνατότητα εξαγωγής της λίστας σε αρχεία τύπου HTML, CSV και SML.

Πηγές: http://www.nirsoft.net/utils/computer_activity_view.html

Bulk Extractor (ΤΖΟΑΝΟΣ ΠΑΥΛΟΣ,ΤΖΕΦΡΩΝΗΣ ΠΑΝΑΓΙΩΤΗΣ)[επεξεργασία]

Το Bulk Extractor είναι ένα εργαλείο για τον υπολογιστή το οποίο έχει την δυνατότητα να "σκανάρει" τα αρχεία ενός σκληρού δίσκου ενώ επίσης μπορεί να εξάγει διάφορες σημαντικές πληροφορίες εύκολα χωρίς να χρειάζεται ανάλυση των αρχείων του συστήματος.Τα αποτελέσματα μπορούν εύκολα να επιθεωρηθούν και να επεξεργαστούν.Το Bulk Extractor χρησιμοποιείτε κυρίως από την εγκληματολογική για να ερευνήσουν αλλά και για να σπάσουν κωδικούς,συγκεκριμένα με το εργαλείο αυτό μπορούν να βρουν διάφορες ηλεκτρονικές διευθύνσεις αλλά και τις διευθύνσεις του παγκόσμιου ιστού που έχει επισκεφτεί ο χρήστης ακόμη και νούμερα πιστωτικών καρτών σε αντίθεση με άλλα παρόμοια εργαλεία που δεν έχουν αυτή την δυνατότητα γιατί δεν μπορούν να επεξεργαστούν συμπιεσμένα αρχεία όπως(ZIP,PDF)σε αντίθεση με το Bulk Extractor.Παράλληλα δημιουργεί διαγράμματα ιστορικού δείχνοντας τις πιο συχνές ηλεκτρονικές διευθύνσεις ,"τα domain",τους πιο συχνούς όρους αναζήτησης και διάφορα άλλα είδη πληροφοριών στον δίσκο.Ακόμη ένα θετικό είναι ότι όσο πιο πολλούς πυρήνες έχει ένας υπολογιστής τόσο πιο γρήγορα γίνεται η επεξεργασία του δίσκου.Συγκεκριμένα υπάρχουν τέσσερα προγράμματα με τα οποία μπορούν να επεξεργαστούν τα αποτελέσματα που δίνει το Bulk Extractor όπως είναι το bulk_diff.py το οποίο έχει την δυνατότητα να βρίσκει την διαφορά μεταξύ δύο διαφορετικών σκαναρισμάτων που κάνει το Bulk Extractor με την λογική ότι έχουμε ήδη δύο φορές το εργαλείο,επίσης το cda_tool.py το οποίο είναι προς το παρών κάτω από επεξεργασία το οποίο θα έχει την δυνατότητα να διαβάζει πολλαπλές αναφορές από διάφορους δίσκους και θα μπορεί να αναγνωρίζει διάφορα υπάρχοντα δίκτυα.Επιπρόσθετα το identify_filenames.py το οποίο στην ουσία τοποθετεί τα αρχεία που βρίσκει το Bulk Extractor και τα βάζει σε μια σειρά και παρέχει ένα φάκελο μέσα στον οποίο κανείς μπορεί να βρει από πιο κομμάτι του δίσκου προέρχονται τα αρχεία και τέλος το make_context_stop_list.py το οποίο παίρνει πολλαπλά αποτελέσματα και φτιάχνει μια λίστα που στην συνέχεια μπορεί να χρησιμοποιηθεί για να καταστείλει τα χαρακτηριστικά των αρχείων όταν αυτά βρίσκονται σε ένα συγκεκριμένο πλαίσιο. πηγες:http://www.forensicswiki.org/wiki/Bulk_extractor

The Sleuth Kit (Χαραλαμπάκης Στέλιος - Σιωμάδης Κωνσταντίνος)[επεξεργασία]

Το The Sleuth Kit είναι μία ανοιχτού λογισμικού εφαρμογή η οποία είναι δωρεάν και παρέχει έναν μεγάλο αριθμό χρήσιμων εντολών το οποίο είναι είναι βασισμένο στο παλιότερο The Coroner's Toolkit και λέγεται πως είναι ο επίσημος διάδοχος του.Το The Sleuth Kit είναι μία βιβλιοθήκη - συλλογή από εργαλεία για Unix και Windows τα οποία σου επιτρέπουν να κάνεις ανάλυση forensic σε ένα σύστημα ηλεκτρονικού υπολογιστή.Το πρόγραμμα αυτό δημιουργήθηκε από τον Brian Carrier και η χρήση του είναι να εκτελεί έρευνες και να αποσπά δεδομένα από δίσκους υπολογιστών με λειτουργικά Windows,Linux και Unix.Το The Sleuth Kit συνήθως χρησιμοποιείται σε συνδυασμό με μία custom εφαρμογή που η οποία έχει το όνομα Autopsy το οποίο είναι ένα πρόγραμμα που είναι εύκολο στην χρήση και επιτρέπει να κάνει κάποιος αποτελεσματική ανάλυση σε σκληρούς δίσκους.Επίσης το πρόγραμμα αυτό με την χρήση ενός plug-in επιτρέπει στον χρήστη να βρίσκει κάποια add-ons ή να αναπτύξει τα δικά του Modules σε Java ή Python.Έτσι ώστε να παρέχει ένα φιλικό περιβάλλον για αυτόν.Ακόμα πολλά άλλα εργαλεία χρησιμοποιούν το Sleuth Kit για την απόσπαση αρχείων.Το The Sleuth Kit αποτελείται από κάποια εργαλεία τα οποία βοηθούν στην εύκολη αναζήτηση και απόσπαση πακέτων σε έναν ηλεκτρονικό υπολογιστή.Κάποια από αυτά είναι: Το ILS είναι μία λίστα καταχωρημένων μεταδεδομένων όπως το inode,το blkls εμφανίζει μπλοκ δεδομένων μέσα σε ένα σύστημα αρχείων,το ffind το οποίο αναζητά ονόματα φακέλων που έχουν σχέση με κάποια καταχώρηση δεδομένων,Το MACTIME δημιουργεί ένα χρονοδιάγραμμα σε ASCII που δείχνει το πόσο ενεργά είναι κάποια αρχεία σε σχέση με τα αποτελέσματα που έχουν παρθεί από το εργαλείο FLS.Κυρίως χρησιμοποιείται για την ανακάλυψη περίεργων συμπεριφορών, το FLS καταχωρεί αρχεία και ονόματα προορισμών σε ένα σύστημα αρχείων.Επεξεργάζεται το περιεχόμενο του προορισμού που του έχει δοθεί και μπορεί να εμφανίσει πληροφορίες από διαγραμμένα αρχεία,το fsstat εμφανίζει πληροφορίες σχετικές με ένα σύστημα αρχείων και το disk_stat το οποίο ήταν ένα εργαλείο μόνο για Linux που χρησιμοποιούσε ATA εντολές αλλά το αφαίρεσαν αργότερα από το The Sleuth Kit.

ΠΗΓΕΣ:http://www.sleuthkit.org/ , https://en.wikipedia.org/wiki/The_Sleuth_Kit , https://en.wikipedia.org/wiki/Autopsy_(software)

Nmap (Network Mapper) (Γεωργία Ραπτοτάσιου, Λαμπρινή Καλαπανίδα)[επεξεργασία]

Το Nmap (Network Mapper) είναι ένα εργαλείο ανοιχτού κώδικα για την εξερεύνηση του δικτύου και τον έλεγχο της ασφάλειας.Το Nmap τρέχει σε όλα τα λειτουργικά συστήματα καθώς τα δυαδικά πακέτα είναι διαθέσιμα σε Windows,Mac OS και Linux.Επιπλέον το προνομιούχο Nmap περιλαμβάνει ένα αναβαθμισμένο γραφικό περιβάλον (Gui),ένα εργαλείο εντοπισμού σφαλμάτων (Ncat),ένα πρόγραμμα για τη σύγκριση αποτελεσμάτων σάρωσης(Ndiff),ένα εργαλείο δημιουργίας πακέτων(Nping),και τα αποτελέσματα των θεατών(Zenmap). Το Nmap χρησιμοποιείται πολύ συχνά από διαχειριστές για προγράμματα αναβάθμισης σε υπηρεσίες,για απογραφή του δικτύου καθώς και το χρόνο λειτουργίας της υπηρεσίας. Μέσω πακέτων ip το Nmap καθορίζει τα hosts που είναι διαθέσιμα στο δίκτυο και ποιες υπηρεσίες προσφέρουν αυτά τα hosts και άλλα χαρακτηριστικά.Το Nmap έχει δημιουργηθεί για να σαρώνει σε σύντομο χρονικό διάστημα μέγαλου μεγέθους δίκτυα και ανιχνεύει εκαντοντάδες χιλιάδες μηχανήματα. Υποστηρίζει όλο και περισσότερα λειτουργικά συστήματα όπως FreeBSD,Solaris,NetBSD,amiga και είναι μεταξύ των κορυφαίων δέκα από 30.000 άλλα προγράμματα. Επίσης το Nmap είναι κατασκευσμένο ώστε να μπορούν να το διαχειρίζονται όλοι οι χρήστες δηλαδή είναι διαθέσιμο σε κάθε έκδοση για κάθε διαφορετικό χρήστη. Κύριοι στόχοι του Nmap είναι να παρέχει στους διαχειριστές στους ελεγκτές ή ακόμα και στους χάκερ τον πιο ασφαλέστερο τρόπο για την εξερεύνηση των δικτύων τους. Οσο αφορά την φήμη του Nmap έχει κερδίσει πολλά βραβεία και έχει χαρακτηριστεί ‘‘ως Προιόν ασφαλείας της χρονιάς’’ από το Linux Journal και το Info world.Επιπλέον έχει αναφερθεί σε άρθρα,βιβλία,σε μία σειρά κομικς και σε αρκετές ταινίες όπως το The Matrix Reloaded,το Die Hard 4,το Κορίτσι με το τατουαζ και το τελεσίγραφο του Μπορν.

Πηγές:https://nmap.org/

Digital Forensics Framework - DFF (ΧΑΤΖΗΙΟΡΔΑΝΟΥ ΓΙΩΡΓΟΣ - ΓΡΙΒΟΣ ΝΙΚΟΛΑΟΣ)[επεξεργασία]

To Digital Forensics Framework (DFF) ειναι ενα εργαλείο ανάλυσης forensic ανοιχτού κώδικα το οποίο είναι ανεπτυγμενο σε Python και C++ με άδεια χρήσης GPL. Αναπτύχθηκε τον Φεβρουάριο του 2013 απο την ArxSys. Το Digital Forensics Framework μπορεί να εγκατασταθεί σε Windows είτε σε Linux.

Ο γενικός σκοπος του εργαλείου είναι να κάνει ευκολότερη την δημιουργεία ενος βασικού προγράμματος-πυρήνα στο οποίο να μπορούν μετέπειτα να προστίθενται διαφορετικές λειτουργείες forensic, οδηγόντας σε ενα ολοκληρωμένο περιβάλλον.

Τα κυριότερα χαρακτηριστικά του Digital Forensics Framework ειναι

• η ιχνηλασιμότητα του - traceability
• πρόσβαση σε απομακρυσμένες ή τοπικές συσκευές
• εγκληματολογικά σε βαθμό Λειτουργικού Συστήματος (Windows και Linux)
• ανάκτηση κρυφών ή διαγραμμένων αρχείων
• ταχεία αναζήτηση για meta-data δεδομένων
• ανασυγκρότηση αρχείων συστήματος (υποστηρίζοντας της μορφές VMDK, FAT 12/16/32, NTFS, HFS, HFS+, HFSx και Ext2/3/4)
• ανάλυση δραστηριότητας του χρήστη (ιστορικό browser, ανάλυση Skype, δραστηριότητα συσκευών USB, κλπ)
• αναφορές δεδομένων - data reports.

Προσφέρονται επίσης βασικές λειτουργείες shell οπως διαχείρηση εργασιών, συντομεύσεις και globbing.

Εν τέλει το Digital Forensics Framework καθίσταται ελαστικό στη χρηση του καθώς μπορεί να χρησημοποιηθεί απο επαγγελματίες και απλούς χρήστες. Παρ' όλα αυτα, οι προχωρημένοι χρήστες και προγραμματιστές, μπορούν να χρησημοποιήσουν το εργαλείο απευθείας απο διερμηνέα Python - interpreter.

Πηγές: http://www.arxsys.fr/features/ http://www.shortinfosec.net/2009/11/digital-forensics-framework-perspective.html

LiME (Σ.Σκούταρης - Α.Σολωμός)[επεξεργασία]

Το LiME (Linux Memory Extractor) είναι ένα πρόσθετο για τον πυρήνα του Linux που δημιούργησε ο Joe Sylve το 2012 με στόχο την απόκτηση πλήρη αντιγράφων της φυσικής μνήμης για εγκληματολογική ανάλυση ή την έρευνα για λόγους ασφάλειας για συσκευές των οποίων το λειτουργικό σύστημα είναι βασισμένο στον πυρήνα του Linux όπως κινητά και android tablets.

Η βασική δυνατότητα του LiME είναι η δημιουργία αντίγραφου των περιεχομένων της μνήμης RAM ενώ ο υπολογιστής ή η συσκευή είναι ακόμα σε λειτουργία χωρίς να έχει προηγηθεί επανεκκίνηση ή τερματισμός ενώ ταυτόχρονα φροντίζει να μην επηρεάζει την σταθερότητα του συστήματος. Για να λειτουργήσει το LiME χρειάζεται η φυσική πρόσβαση στην συσκευή που πρόκειται να γίνει η ανάλυση καθώς επίσης είναι απαραίτητο να γινεί compilation για την εκάστοτε έκδοση πυρήνα που μπορεί να τρέχει στην συσκευή μιας και το LiME είναι διαθέσιμο υπό την μορφή πηγαίου κώδικα. Το LiMΕ μπορεί να δημιουργήσει το αντίγραφο της μνήμης τοπικά στον χώρο αποθήκευσης της συσκευής καθώς επίσης έχει τη δυνατότητα να μεταφέρει το αντίγραφο απευθείας μέσω δικτύου κάνοντας χρήση του πρωτοκόλλου TCP σε συγκεκριμένο port που έχει προκαθοριστεί από την χρήστη, κάνοντας δρομολόγηση της κίνησης προς τον υπολογιστή του. Η μέθοδος μεταφοράς μέσω δικτύου συνίσταται διότι στην περίπτωση τοπικής αποθήκευσης υπάρχει σοβαρό ενδεχόμενο απαλοιφής δεδομένων του αποθηκευτικού χώρου της συσκευής, με αποτέλεσμα να μην είναι δυνατή η εξόρυξη τους σε μεταγενέστερο στάδιο της έρευνας.

Το LiME υπερέχει έναντι άλλων εφαρμογών που υπήρχαν μέχρι πρότινος καθώς μπορεί να αντιγράψει το σύνολο των δεδομένων που είναι φορτωμένα στη μνήμη της συσκευής σε αντίθεση με το viewmem που διαβάσει ένα συγκεκριμένο εύρος διευθύνσεων. Τα δεδομένα που εξορίσει το LiME από την συσκευή δεν είναι άμεσα επεξεργάσιμα από τον χρήστη και κρίνεται απαραίτητη η χρήση περισσότερων εφαρμογών όπως το volatility. Τέλος, το LiME είναι δωρεάν και διατίθεται υπό την άδεια χρήσης GNU General Puplic License.

Πηγές: http://www.xda-developers.com/lime-forensics-kernel-module-for-raw-memory-snapshots/ https://www.linux.com/learn/tutorials/565969-physical-memory-analysis-with-the-lime-linux-memory-extractor http://digitalforensicssolutions.com/Android_Mind_Reading.pdf https://lime-forensics.googlecode.com/files/LiME_Documentation_1.1.pdf

Volatility [Θεοδοσιου Παντελεημων & Λιατσος Αλεξανδρος][επεξεργασία]

Το Volatility είναι ένα εργαλείο μνήμης για την ανάλυση των malware που επιτρέπει στον χρήστη να εξάγει ψηφιακά, τεγνουργήματα της RAM.Επίσης αναλύει τις ‘χωματερές’ της RAM από 32- και 64-bit Windows, Linux, Mac και Android συστήματα . Χρησιμοποιώντας το εργαλείο αυτό, ο χρήστης μπορεί να δει πληροφορίες σχετικά με τις διεργασίες που εκτελούνται εκείνη την στιγμή στον υπολογιστή, να εμφανίσει τις ανοικτές συνδέσεις δικτύου, τα DLL που φορτώνονται για κάθε διαδικασία, το μητρώο της κρυφής μνήμης(cached) και τις διαδικασίες των χρηστών. Παράλληλα το Volatility μπορει να λειτουργήσει σε όποια αρχιτεκτονηκή ή όποιο λειτουργικό σύστημα του τεθεί χάρη την σχεδίαση που διαθέτει. Επιπρόσθετα το Volatility είναι πρόγραμμα με άδεια χρήσης GPL v2(General Public License, v2), το οποίο σημαίνει πως ο χρήστης μπορεί να το διαβάσει, να το επεκτείνει και να μάθει από αυτό. Αυτό έχει ως αποτέλεσμα ο χρήστης να μπορέι να καταλάβει πως λειτουργεί το όλο πρόγραμμα και να γίνει ένας καλυτερος αναλυτής. Ωστόσο θα μπορεί να διορθώσει τυχόν προβλήμα που θα βρει στην έκδοση που χρησιμοποεί, και να τα διορθώσει.

Το Volatility είναι γραμμένο σε Python, μια γλώσσα προγραμματισμού των οποίων οι βιβλιοθληκες μπορούν εύκολα να ενσωματωθούν στο Volatility. Παράλληλα το εργαλείο έχει επεκτάσιμο και ‘εύκολο στην επεξεργασια’ API το οποίο δίνει στον χρήστη την δυνατότητα να καινοτομήσει καθώς μπορεί με το Volatility να ‘χτίσει’ web interface ή γραφικό περιβάλλον διεπαφής χρήστη (GUI). Επίσης το πρόγραμμα παρέχει πλήρη κάλυψη των αρχείων. Τελος το Volatility έχει γρήγορους αλγόριθμους για την ανάλυση αυτή, χωρίς όμως να επιβαρυνει το σύστημα.

Μερικές επεκτάσεις είναι οι παρακάτω:

• Command Shell
• Ανίχνευση Μalware (Μalware Detection)
• Ανάκτηση δεδομένων (Data Recovery)
• Καταμέτρηση διαδικασιών (Process Enumeration)
• Output Formatting

Πηγές: http://www.gfi.com/blog/top-20-free-digital-forensic-investigation-tools-for-sysadmins/ http://www.forensicswiki.org/wiki/List_of_Volatility_Plugins#Command_Shell https://code.google.com/p/volatility/wiki/VolatilityIntroduction http://www.forensicswiki.org/wiki/Volatility_Framework#See_Also

VHD ( Virtual Hard Disk ) (Βαγγέλης Πιτσέλης)[επεξεργασία]

Ένας εικονικός σκληρός δίσκός περιέχει αυτά που μπορεί να έχει κι ένας κανονικός σκληρός δίσκος,partitions με άλλα λειτουργικά,φακέλους αποθήκευσης αρχείων σε περίπτωση που ο χρήστης θέλει να προβεί σε back up,μπορεί επίσης να φιλοξενήσει πολλά εικονικά συστήματα σε ένα υπολογιστή και να είναι και ο βασικός δίσκος του εκάστοτε λειτουργικού.Αυτή η μέθοδος δίνει τη δυνατότητα σε προγραμματιστές να πειραματίζονται σε λογισμικά και προγράμματα χώρις το πρόβλημα και το κόστος της αρχιτεκτονικής επέκτασης.Το εικονικό αυτό αρχείο του σκληρού δίσκου δίνει την δυνατότητα της άμεσης τροποποίησης μιας εικονικής μηχανής και φέρει την υποστήριξη της μεταφοράς αρχείων ανάμεσα σε κανονικό σκληρό δίσκο και εικονικό(VHD).Επιπλέον χρησιμοποιείται για την δημιουργία αντίγραφου ασφαλείας και ανάκτησης αρχείων και δεδομένων και δίνει την δυνατότητα συρρίκνωσης ή επέκτασης του εικονικού δίσκου.Ένα από τα πιο σημαντικά πλεονεκτήματα της χρήσης εικονικού σκληρού δίσκου είναι η εκκίνηση ενός υπολογιστή από έναν εικονικό δίσκο.Η εύκολη εγκατάσταση επιτρέπει σε οργανισμούς(ΙΤ) να έχουν τυποποιημένες διαμορφώσεις για έναν εικονικό δίσκο.Επίσης τα συστήματα με πολλούς χρήστες έχουν διαφορετικούς βαθμούς προστασίας μεταξύ τους.Έτσι ο χρήστης έχοντας τη δική του εκδοχή για κάθε λειτουργικό σύστημα δημιουργεί για κάθε vhd ένα VHD differencing όπου είναι ένας εικονικός δίσκος ο οποίος αποθηκεύει τις αλλαγές που γίνονται στους άλλους εικονικού δίσκους και έχει σα στόχο τη συνεχή ενημέρωση για τις αλλαγές ώστε αν χρειαστεί να γίνει κάποια αλλαγή η αντίδραση να είναι άμεση. Επειδή κάποιες φορές οι απαιτήσεις είναι περισσότερες δίνεται η δυνατότητα τροποιήσεων ενός εικονικού δίσκου χωρίς τη βοήθεια κάποιου λειτουργικού συστήματος και παρέχειτην πρόσβαση σε vhd εκτελώντας καθήκοντα διαχείρισης offline.Σε περιπτώσεις που η υπάχρξη ένος εικονικού σκληρού δίσκου δεν είναι επιθυμητή δίνεται η δυνατότητα,οι προγραμματιστές να μπορούν να δουν και να τροποποιήσουν τα αρχεία του vhd μέσω της βοήθειας προγραμμάτων όπως DiscUtils .NET, WinImage και R1Soft Hyper-V VHD Explorer.

Πηγή: https://en.wikipedia.org/wiki/VHD_(file_format)

Slack Space ( Σακοράφα Ολύμπια-Πατούνα Σταυρούλα)[επεξεργασία]

To slack space είναι όταν ένα λειτουργικό σύστημα γραφεί ένα αρχείο στο δίσκο. Στην συνέχεια όταν τα αρχεία διαγραφούν φαίνεται πως δεν μπορούν να χρησιμοποιηθούν πια, αλλά στην ουσία παραμένουν στον δίσκο. Η χρήση αυτής της τεχνικής είναι αρκετά διαδεδομένη και είναι γνωστή ως χαλαρό αρχείο. Σε σκληρούς δίσκους που πουλιούνται σε καταστήματα ηλεκτρονικών όπου έχουν ένα ορισμένο μέγεθος αρχείου, μερικές φορές αναφέρονται ως μνήμη RAM που συνήθως είναι παραγεμισμένη με δεδομένα όπως καθορίζεται από το λειτουργικό σύστημα. Οι κινήσεις που εμφανίζονται στην υπόλοιπη περιοχή είναι το λειτουργικό σύστημα, έτσι στις περιπτώσεις που το λειτουργικό σύστημα είναι άθικτο η δεν καθαριστεί θα υπάρξουν στοιχειά από τα προηγούμενα αρχεία. Ο αριθμός των τομέων που χορηγείται εξαρτάται από τους περιορισμούς του λειτουργικού συστήματος και την διαμόρφωση που γίνεται από τον διαχειριστή του συστήματος. Δηλαδή το σύστημα αρχείων στο σκληρό δίσκο μπορεί να αποθηκεύσει δεδομένα σε συστάδες τεσσάρων kilobytes. Αν ο υπολογιστής αποθηκεύσει ένα αρχείο που είναι μόνο δυο kilobytes σε ένα σύμπλεγμα τεσσάρων kilobytes θα υπάρξουν δυο kilobytes στο ΄΄ χαλαρό χώρο΄΄. Για αυτό μπορεί να βοηθήσει ως σημαντικό αποδεικτικό στοιχειό σε εγκληματολογική ερευνά. Για παράδειγμα μπορεί να περιέχει σημαντικά στοιχειά για ένα ύποπτο όπου η δικαιοσύνη μπορεί να χρησιμοποιήσει ως αποδεικτικό στοιχειό εναντίον του. Δηλαδή μπορεί να έχει διαγράψει τα αρχεία αλλά αυτά το τελευταίο μισό χρόνο να έχουν παραμείνει στον ΄΄χαλαρό χώρο΄΄. Η ανάκτηση των αρχείων μπορεί να γίνει με πολλά βοηθητικά προγράμματα.

Πηγές: http://www.computerhope.com/jargon/s/slack-space.htm

http://blog.priveonlabs.com/sec_blog.php?title=forensic-basics-slack-space&more=1&c=1&tb=1&pb=1

http://resources.infosecinstitute.com/anti-forensics-part-1/

Evidence Eliminator (Παμπορακης Φώτης- Σετσίδης Χαράλαμπος )[επεξεργασία]

Το Evidence Eliminator είναι ένα πρόγραμμα για τον υπολογιστή και έχει σχεδιαστεί για το λειτουργικό σύστημα Microsoft Windows. Η εταιρία που το δημιούργησε ονομάζεται Robin Hood Software. Το πρόγραμμα αυτό υλοποιήθηκε ώστε να καταφέρνει να διαγράφει αρχεία από τον σκληρό δίσκο που ίσως ο χρήστης έχει αποτύχει να διαγράψει. Το διαφορετικό που κάνει αυτό το λογισμικό είναι ότι διαγράφει κατευθείαν τα αρχεία που ο χρήστης θέλει να διαγράψει σε αντίθεση με άλλα παρόμοια προγράμματα που κρατάνε εφεδρικά αρχεία σε ένα μέρος του σκληρού δίσκου. Το πρόγραμμα αυτό όταν βγήκε στην αγορά από τους δημιουργούς του είχε αξία 149,99 $ και έφτασε μέχρι λαό την έκδοση 6.04, όμως ένα παρόμοιο εργαλείο διατίθεται δωρεάν μέσω του Διαδικτύου. Το Evidence Eliminator κέρδισε την 3η θέση στο TopTenREVIEWS για τα καλύτερα προγράμματα για τα λογισμικά προστασίας της ιδιωτικής ζωής. Ωστόσο υπήρχαν προβλήματα στην αγορά του προγράμματος καθώς η εταιρία χρησιμοποίησε διαφημίσεις που εμφανίζονταν ξαφνικά κατά την χρήση του προγράμματος. Αυτό γινόταν ακόμα και με τις διαφημίσεις που ο υπολογιστής έκανε συμβιβασμούς. Όμως η εταιρία για να καθησυχάσει τους αγοραστές του λογισμικού δημιούργησε μια ιστοσελίδα με πληροφορίες περί αυτού του προβλήματος. Αυτή η κίνηση κατακρίθηκε από πολλούς ανταγωνιστές της εταιρίας όπως η Radsoft. Ωστόσο μεγαλύτερο πρόβλημα είχαν όσοι κατέβασαν πειρατικά το πρόγραμμα καθώς η ΙΡ διεύθυνση τους διέρρευσε και ακόμα το πρόγραμμα είχε αφήσει ίχνη στον υπολογιστή. Ιστορικά, αυτό το πρόγραμμα το χρησιμοποίησε ο Peter Beale ώστε να διαγράψει όλα τα αρχεία από τον υπολογιστή του μια μέρα πριν έρθουν στο γραφείο του οι επιθεωρητές για την πτώχευση τις MG Rover.

https://en.wikipedia.org/wiki/Evidence_Eliminator

http://articles.latimes.com/2005/aug/07/entertainment/ca-evidence7

FTK imager (Ανδρεάδης Ιωάννης-Νικολάου Γεώργιος)[επεξεργασία]

FTK Imager είναι ένα εργαλείο επισκόπησης δεδομένων και απεικόνισης που η δυνατότητα του είναι να εξετάζει αρχεία και φακέλους σε τοπικούς σκληρούς δίσκους, μονάδες δικτύου, CD / DVD.Χρησιμοποιώντας FTK Imager μπορούμε επίσης να δημιουργήσουμε SHA1 ή MD5 hashes των αρχείων, εξαγωγή αρχείων και φακέλων στο δίσκο και να ανακτήσουμε τα αρχεία που έχουν διαγραφεί από το Recycle Bin (υπό την προϋπόθεση ότι οι ομάδες δεδομένων τους δεν έχουν αντικατασταθεί).Είναι ένα πολύ ισχυρό εργαλείο που μπορεί να προκαλέσει καταστροφικές συνέπειες εάν δεν χρησιμοποιείται με προσοχή.Παρέχει πλήρη επεξεργασία έτσι ώστε το φιλτράρισμα και η αναζήτηση να είναι ταχύτερη από οποιοδήποτε άλλο προϊόν. Αυτό σημαίνει ότι μπορούμε να αυξήσουμε δραματικά την ταχύτητα ανάλυσής μας. Επιπλέον, λόγω της αρχιτεκτονικής του,το FTK μπορεί να ρυθμιστεί για κατανεμημένη επεξεργασία και να ενσωματώσει web-based διαχείρισης των υποθέσεων. Το FTK της βάσης δεδομένων με γνώμονα, enterprise-class αρχιτεκτονική,μας επιτρέπει να χειριζόμαστε τεράστια σύνολα δεδομένων, καθώς παρέχει ταχύτητες που δεν είναι δυνατόν να υπάρξουν με άλλα εργαλεία.Παρέχει ενσωματωμένη απεικόνιση δεδομένων και τεχνολογία ανίχνευσης εικόνας για να διακρίνει γρήγορα και να αναφέρει το πιο σχετικό υλικό στην έρευνά μας.Η λειτουργικότητα του FTK με όλες τις λύσεις AccessData του, μας επιτρέπει να συγκρίνουμε τεράστια σύνολα δεδομένων από διαφορετικές πηγές,όπως σκληρούς δίσκους, κινητά τηλέφωνα,δεδομένα δικτύου και πολλά άλλα. Η δυνατότητα αυτή καθιστά το FTK ως τη μόνη λύση ψηφιακής έρευνας ικανή να επανεξεταστούν τα δεδομένα και να εντοπίσει τα σχετικά αποδεικτικά στοιχεία, όλα σε μία κεντρική τοποθεσία.