Computação forense significa examinar os computadores em busca de vestígios de dados que possam resolver um problema - seja legal ou relacionado ao local de trabalho ou uso pessoal. Enquanto o termo computação forense traz à mente uma imagem de profissionais que usam ferramentas de ponta para recuperar e examinar dados, existem ferramentas que até os leigos podem usar. Este artigo fala sobre alguns dos melhores ferramentas forenses de computador livre e software que eu encontrei em algum momento ou outro.
Ferramentas Forenses Gratuitas de Computadores
P2 eXplorer
Esta é uma das minhas ferramentas favoritas. Não que eu tenha tido um uso real para isso, mas achei interessante porque permite que você navegue em uma imagem de disco sem precisar gravá-la em DVDs. Você simplesmente monta uma imagem de disco em uma das letras disponíveis no seu computador e depois a abre no Windows Explorer. Como é uma imagem de disco, é somente leitura. Isso significa que você pode verificar o conteúdo, mas não pode fazer alterações nele. No entanto, é uma ferramenta importante se você tiver que examinar os discos em detalhes ou quando tiver muitos discos de computador para examinar. Você tem todos os dados em uma interface e tudo que você precisa é montar o arquivo de imagem e estudá-lo.
O P2 eXplorer está disponível em versões gratuitas e pagas. A versão gratuita é executada apenas em sistemas operacionais de 32 bits. Ele não monta imagens do EnCase v7 nem monta arquivos de máquina virtual. A versão paga é destacada mais em seu site, mas o link para baixar a versão gratuita está disponível para o lado direito do site.
Estrutura Forense Digital
Este é um software de código aberto que permite:
- Escrever bloqueio
- Leia diferentes tipos de formatos de arquivo, independentemente do sistema operacional; você também pode recuperar arquivos Linux brutos de um sistema operacional Windows usando este software
- Acesso remoto a discos e drives
- Recupere e examine arquivos excluídos e ocultos
- Pode ler os cabeçalhos dos arquivos facilmente para que você saiba quais arquivos procurar mais informações
Acima de tudo, as pessoas com bom conhecimento em informática podem criar seu próprio código e usá-lo com a API da estrutura forense digital.
HxD
Esta é mais uma ferramenta fácil de usar que analisa o sistema de arquivos e recupera arquivos que foram excluídos de propósito ou de outra forma. Também pode modificar a RAM (memória do sistema). Ele pode manipular arquivos de qualquer tamanho. A interface é fácil de usar e, portanto, pode ser usada por qualquer pessoa com pouco conhecimento de como os computadores funcionam. Você pode fazer o download do HXD no site do fabricante.
PlainSlight
O PlainSlight é mais uma ferramenta gratuita de computação forense de código aberto e ajuda você a visualizar todo o sistema de maneiras diferentes. É fácil usar a interface e os rótulos auto-explicativos que permitem que as pessoas (mesmo com pouco conhecimento da função interna do computador) o usem sem muita dificuldade. Ele pode recuperar arquivos apagados, recuperar arquivos e pastas ocultos. Ele pode ajudar com certas outras coisas, como obter informações do disco rígido, visualizar grupos de usuários e informações do grupo, examinar informações de armazenamento USB e coisas do tipo. Embora eu goste por sua facilidade de uso, ele não oferece muitos recursos além dos fundamentos da computação forense. Nós já vimos o P2 eXplorer que pode recuperar fragmentos de arquivos e colocá-los de uma forma legível. Comparado com isso, é realmente muito simples.
Extratora a granel
Esta é uma boa ferramenta, pois ignora a tabela de arquivos e analisa o disco diretamente. Isso permite gravar arquivos ocultos, do sistema e excluídos. As informações podem ser agregadas em entradas semelhantes e analisadas usando outras ferramentas. Você pode baixar o Bulk Extractor do GitHub.
Todos eles funcionam na maioria das versões recentes do Windows. Se eu perdi qualquer ferramenta forense de computador livre ou de código aberto, por favor nos avise.
