Tools - computer-forensik.org

Weblinks Auf dieser Seite finden Sie zusätzliche Informationen, über die meisten in meinem Buch oder diversen Artikeln vorgestellten Computer Forensik bzw. Incident Response Werkzeuge. Weitere Tools finden Sie auch hier. Änderungen an URL, Quelltextverfügbarkeit oder Lizenzbestimmungen durch die Hersteller vorbehalten. Link defekt?

„Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären.“, 6. aktualisierte und erweiterte Auflage, dpunkt.verlag, 2013

K=kommerziell F=“frei“ verfügbar D=Demo- bzw. Trialversion verfügbar, Q=Quellcode einsehbar

AccessData FTK	Erstellen und Auswerten von Datenträger-Images, Extraktion von Daten	Windows	K, D	www.accessdata.com
Adepto	Erstellen von Datenträgerimages	Linux	F	www.e-fense.com/helix/
Autopsy Forensic Browser	Auswerten von Datenträger-Images, Extraktion von Daten	Unix, cygwin	F, Q	www.sleuthkit.org/ autopsy/
Captain Nemo	Auslesen diverser Dateisysteme	Windows	K, D	www.runtime.org
Chkrootkit	Suche nach Spuren von gebräuchlichen Rootkits	Unix	F, Q	www.chkrootkit.org
Cryptcat	um Verschlüsselung ergänzte Version von Netcat	Unix, Windows	F, Q	sourceforge.net/projects/ cryptcat/
Cygwin	Arbeitsumgebung für die Übersetzung und Verwendung von Unix-like Tools	Windows	F, Q	www.cygwin.com
dcfldd	Erweitertes dd	Unix	F, Q	sourceforge.net/projects/ dcfldd/
dd	Erstellung von Daten träger-Images	Unix, Windows	F, Q	gmgsystemsinc.com/fau/
Disk Investigator	Analyse von Datenträgern	Windows	K, D	www.theabsolute.net/sware/ dskinv.html
EnCase	Erstellung und Auswerten von Datenträger-Images, Extraktion von Daten	Windows	K, D	www.guidancesoftware.com
Evidor	Suche nach Zeichenketten auf Datenträgern	Windows	K	www.x-ways.net/evidor/
Explore2fs	Schnelles Einsehen von ext2-Partitionen	Windows	D	uranus.it.swin.edu.au/ ~jn/linux/
Ext2fs	Treiber für den lesenden und schreibenden Zugriff auf ext2/3 Dateisysteme	Windows	F	www.fs-driver.org
F.I.R.E.	Sammlung von Security- und Forensik-Tools, vorkompilierte Binaries für Solaris, Linux und Windows	Boot-CD (Linux), Windows partition	F, Q	sourceforge.net/projects/ biatchux/
F.R.E.D.	Batchfile zum Sammeln von flüchtigen Informationen	Windows	F, Q	lokale Kopie: fred.bat
Fatback	Analyse von FAT-Dateisystemen	Unix	F, Q	prdownloads.sourceforge.net/ projects/fatback
FileDisk	Mounten von Datenträger-Images als Windows-Laufwerk	Windows	F, Q	www.acc.umu.se/~bosse/
Filemon, Regmon	Analyse von Registry- und Filesystemzugriffen von Applikationen	Windows	F	www.sysinternals.com
foremost	Wiederherstellung unterschiedlicher Dateiformate von Datenträger-Images	Unix	F, Q	foremost.sourceforge.net/
Forensic Acquisition Utilities	Leistungsfähige Sammlung zum Erstellen von Datenträger-Images	Windows	F, Q	gmgsystemsinc.com/fau/
Foundstone Forensic ToolKit	Sammlung von Werkzeugen für die Analyse von Dateien	Windows	F	www.foundstone.com
FPort	Anzeige, welche Applikationen Ports geöffnet haben	Windows	F	www.foundstone.com
Helix	Incident Response und Forensics CD; Hybrid-CD auf Knoppix basierend mit separater Windows-Umgebung	Boot-CD (Linux), Windows partition	F	www.e-fense.com/helix/
iehist	Internet History Viewer	Windows	F, Q	www.cqure.net/ tools.jsp?id=13
IRCR	Sammeln von flüchtigen Daten	Windows	F	ircr.tripod.com
Knoppix STD	Um Security- und Forensik-Tools erweiterte Knoppix- Distribution	Boot-CD (Linux)	F, Q	www.s-t-d.org
Md5deep	Rekursives Erstellen und Überprüfen von MD5-Prüfsummen	Unix, Windows	F, Q	md5deep.sourceforge.net/
Metadata Assistant	Analyse von Datenspuren in MS-Office- Dokumenten	Windows	K, D	www.payneconsulting.com
Netcat	Flexibles Werkzeug zum Übertragen von Daten in einem Netzwerk	Unix, Windows	F, Q	netcat.sourceforge.net
Ntreg	Mounten einer Windows-Registry als Filesystem	Unix	F, Q	www.bindview.com
Palmdecrypt	Analyse von Palm-PDA-Passwörtern	Windows	F	www.atstake.com/research/
Paraben’s E-Mail Examiner	Analyse von Mailboxdateien verschiedenster Mail-Clients	Windows	K, D	www.paraben-forensics.com/ examiner.html
Paraben’s SIM Seizure Paraben’s Cell Seizure	Auslesen und Analyse von PDAs, Mobiltelefonen und SIM-Karten	Windows	K, D	www.paraben-forensics.com/
Pdd	Auslesen von Speicherinformationen von Palm PDA	Windows	F	www.atstake.com/research/ lokale Kopie
Psutils	Sammlung von Werkzeugen für die Analyse von laufen den Prozessen	Windows	F	www.sysinternals.com
rifiuti	Analyse von Dateien im Windows-Papierkorb	Windows	F, Q	http://www.foundstone.com/resources/ freetools.htm
SectorSpy	Analyse von Festplatteninhalten	Windows	F	home.carolina.rr.com/ lexunfreeware lokale Kopie
streak	Erstellung und Netzübertagung von Datenträger-Images	Boot-Floppy (OpenBSD)	F	www.fox-it.com/streak/ lokale Kopie
The Coroner’s Toolkit (TCT) & TCTUtils	Sammlung von Werkzeugen zum Analysieren von Datenträger-Images	Unix	F, Q	www.porcupine.org/ forensics/tct.html
The Sleuthkit	Mächtige Sammlung von Werkzeugen zum Analysieren von Datenträger-Images	Unix	F, Q	www.sleuthkit.org/ sleuthkit/
X-Ways Trace	Analyse von Gebrauchsspuren auf Windows-Systemen	Windows	K, D	http://www.x-ways.net/ trace/index-d.html
X-Ways Forensics	Hex-Editor, zusätzlich umfangreiche forensische Analyse von Datenträgern möglich	Windows	K, D	www.x-ways.net/ forensics/index-d.html
Live View	erzeugt aus DD-Images lauffähige VMware-Konfigurationen	Windows	F,Q	http://liveview.sourceforge.net/
LiveKd	Erzeugt Windows Crashdumps, die sich dann forensisch analysieren lassen http://technet.microsoft.com/	Windows	F	http://technet.microsoft.com/ de-de/sysinternals/bb897415(en-us).aspx
KnTTools	Damit kann der Hauptspeicher von XP64,Windows2003 SP1 und Vista ausgelesen werden	Windows	K	http://www.gmgsystemsinc.com/knttools/
Windows Forensic Toolchest (WFT)	Sammlung von Werkzeugen zur Sammlung und Analyse von flüchtigen Windows-Daten	Windows	K, D	www.foolmoon.net/security/wft/
PTfinderFE	Grafisches Frontend für ptfinder. benötigt graphviz-2.8.exe und ActivePerl-5.8.8.817-MSWin32-x86-257965.msi	Windows	F	www.forensiczone.com/ ram/ptfinderfe/PTFinderFE.htm
ptfinder	Identifikation von _EPROCESS und _ETHREAD Strukturen in Windows-Speicherabbildern.	Windows	F, Q	computer.forensikblog.de/files/ ptfinder/ptfinder-collection-current.zip
poolfinder	PoolFinder durchsucht ein Windows-Speicherabbild oder eine Auslagerungsdatei sequentiell und identifiziert dabei Pool Allocations.	Windows	F, Q	computer.forensikblog.de/files/ poolfinder/poolfinder-current.zip
pmodump	Rekonstruiert virtuellen Speicher durch die Analyse eines Windows-Speicherabbilds	Windows	F, Q	www.lurhq.com/truman/
pd (Process Dumper)	Erstellung von Speicherauszügen	Windows, Linux	F, Q	www.trapkit.de
NotMyFault	Erstellung von Speicherabbildern	Windows	F, Q	lokale Kopie
mp (Memory Parser)	Grafisches Frontend für die Analyse von mit pd erstellen Speicherauszügen.	Windows	F, Q	www.trapkit.de
kern.pl	Identifiziert das Betriebssystem eines Windows-Speicherabbilds, Bestandteil des OS Detection Package	Windows	F, Q	sourceforge.net/project/showfiles.php? group_id=164158&package_id=203967
Mount Image Pro	Mounten von DD- und EnCase-Images als Laufwerksbuchstabe	Windows	K, D	www.mountimagepro.com
PEiD	Identifikation von Packer- und Compilerinformationen von Windows Executables	Windows	F	peid.has.it
Wireshark	Erstellung und Analyse des Netzwerkverkehrs	Windows, Linux, Solaris, u.a.	F, Q	www.wireshark.org/
packetyzer	Erstellung und Analyse des Netzwerkverkehrs	Windows	F, Q	www.paglo.com/opensource/packetyzer
tcpflow	ermöglicht das Analysieren und Protokollieren von TCP-Verbindungen	Linux, Solaris, BSD, u.a.	F, Q	www.circlemud.org/~jelson/software/tcpflow/
TULP2G	Sicherung von Daten mobiler Geräte	Windows	F, Q	tulp2g.sourceforge.net/
Oxygen Forensics Suite	Sicherung und Analyse von Mobiltelefonen	Windows	K, D	www.oxygensoftware.com/de/ products/forensic/

Werkzeuge in der c’t 05/2007 im Softlink 0705180 in meinem Artikel über Live Analyse vorgestellt wurden

Windows Forensic Toolchest (WFT)	Sammlung von Werkzeugen zur Sammlung und Analyse von flüchtigen Windows-Daten	www.foolmoon.net/security/wft/
poolfinder	PoolFinder durchsucht ein Windows-Speicherabbild oder eine Auslagerungsdatei sequentiell und identifiziert dabei Pool Allocations.	computer.forensikblog.de/ 2006/10/poolfinder_1_0_0.html
pmodump	Rekonstruiert virtuellen Speicher durch die Analyse eines Windows-Speicherabbilds	www.lurhq.com/truman/
pd (Process Dumper)	Erstellung von Speicherauszügen	www.trapkit.de
NotMyFault	Erstellung von Speicherabbildern	lokale Kopie
mp (Memory Parser)	Grafisches Frontend für die Analyse von mit pd erstellen Speicherauszügen.	www.trapkit.de
kern.pl	Identifiziert das Betriebssystem eines Windows-Speicherabbilds, Bestandteil des OS Detection Package	sourceforge.net/project/showfiles.php? group_id=164158&package_id=203967
Helix	Incident Response und Forensics CD; Hybrid-CD auf Linux basierend mit separater Windows-Umgebung	www.e-fense.com/helix/
FSP/FRU	Client/Server Architektur zur Übermittlung forensischer Liver Response Daten	http://sourceforge.net/project/ showfiles.php?group_id=164158
F.R.E.D.	Batchfile zum Sammeln von flüchtigen Informationen	lokale Kopie
dd.exe	Windows-Version von dd, viele andere nützliche Werkzeuge enthalten. Bestandteil der Forensic Acquisition Utilities	gmgsystemsinc.com/fau/
ptfinder	Identifikation von _EPROCESS und _ETHREAD Strukturen in Windows-Speicherabbildern.	computer.forensikblog.de/2006/09/ptfinder_0_3_00.html
PTfinderFE	Grafisches Frontend für ptfinder	www.forensiczone.com/ ram/ptfinderfe/PTFinderFE.htm

Forensik CD aus iX 07/2007

Linux Incident Response Toolkit	sammelt flüchtige Daten unter Linux (2.4 er und 2.6er Kernel) und gibt den Hauptspeicher strukturiert aus	http://computer-forensik.org /tools/ix/forensix/
ForensiX-CD	Hilfe bei Systemeinbrüchen	http://computer-forensik.org /tools/ix/forensix/

iX special „Sicher im Netz“ 10/2008

Linux Incident Response Toolkit		http://computer-forensik.org /tools/ix/ix-special/
ForensiX-DVD	Hilfe bei Systemeinbrüchen	http://computer-forensik.org /tools/ix/ix-special/

Schreiben Sie einen Kommentar Antworten abbrechen