|
ComputerForensics.DK: gratis programmer
Formålet med denne side er, at give et lille overblik
over nogle af de mange gratis værktøjer der er tilgængelige på
Internettet. Listen er delt op i 1)
virksomheder/organisationer og 2) udvalgte programmer.
Programmerne er yderligere opdelt efter operativsystem for at gøre listen lidt mere overskuelig. For at undgå
rootkits vanskeliggør
undersøgelsen, bør man - helst på forhånd
- indsamle værktøjerne og enten gemme dem på en
skrivebeskyttet diskette/USB key eller brænde en CD/DVD. Dette gælder
selvfølgelig også
for "indbyggede" programmer (Microsoft: cmd.exe,
netstat.exe, nbtstat.exe, net.exe,
doskey.exe, findstr.exe, cacls.exe osv, osv. Unix: ls,
netstat, lsof, find, grep, less, ifconfig, diff, cat,
who osv.).
Windows programmer, opdelt efter virksomheder:
Microsoft:
Microsoft har en lang række nyttige værktøjer
indbygget, start f.eks. med at kikke på netstat, arp, route, nbtstat,
doskey, net kommandoer osv. Men også Resource Kits har en
lang række interessante programmer, herunder PUlist og Tlist.
Hvis man har ansvaret for flere forskellige systemer (XP,
Windows 2000, NT 4.0, Windows Server 2003 osv.) skal man være
opmærksom på, at der kan være forskel på cmd.exe og andre
system programmer i
forskellige versioner af operativ systemerne. Det betyder man bør have en kopi af alle
nødvendige eksekverbare filer fra alle forskellige systemer. Det
samme gælder
hvis der bruges forskellige service packs
på systemerne.
Microsoft har de seneste år fået meget stor fokus på
sikkerhed, og der kommer hele tiden nye interessante
programmer der også kan benyttes til undersøgelse af
systemerne, f.eks.
Log Parser og Sector Inspector, så hold øje med Microsofts hjemmesider.
Sysinternals:
Sysinternals (nu en del af Microsoft) har en lang, lang række meget interessante
programmer, der gratis kan downloades fra deres hjemmeside.
Specielt pslist, listdlls og handle bør være standard
programmer på enhver incident response CD, men Sysinternals har også en lang
række andre interessante og meget brugbare programmer. F.eks.
kan strings, regmon, filemon, diskmon, process explorer og
autoruns bruges til at undersøge en lang række problemer
og mistænkelig opførsel på et system, ligesom de fleste er standard programmer til at
"reverse engineere" fundne hacker programmer, dvs. undersøge
formålet med mistænkelige programmer. Når der skal foretages
indledende forensics undersøgelser er kommandolinie programmer
dog normalt altid at foretrække frem for GUI-programmer da de, alt andet lige, bruger færre system ressourcer. Ved at bruge kommandoline programmer sætter man således så få af sine egne "fodspor" på systemet som muligt under undersøgelsen.
Sysinternals kommando-linie programmer: Handle
Handle viser information om hvilke filer m.m. et
program har åbent.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Handle.mspx
ListDLLs
ListDLLs viser bl.a. den fulde sti til alle DLL'er en proces har
loadet.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ListDlls.mspx
PsTools
PsTools er en samling nyttige programmer. Specielt PsList
(giver detaljerede informationer om processer på et system),
PsExec (eksekverer processer på et andet system), PsLogList (dumper
eventloggen) og PsLoggedOn (hvem er logget på systemet) kan være nyttige til undersøgelser af
et system. Men flere andre kan også være interessante.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/PsTools.mspx
Sysinternals "ikke-kommandolinie" programmer (forsigtig ved forensics
undersøgelser): Regmon
Regmon overvåger registreringsdatabasen, så man kan se hvilke
applikationer der tilgår den.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Regmon.mspx
Filemon
Filemon viser aktivitet på filsystemet real-time. Programmet
gør det bl.a. muligt at overvåge hvordan applikationer bruger
andre filer og DLL'er.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Filemon.mspx
Process Explorer
Process Explorer viser detaljeret information om hvilke
filer m.m. et program åbner. Programmet viser således
real-time både hvilke DLL'er og hvilke handles et program har åben.
Programmet er således en meget udvidet GUI-version af både
Handle og ListDLLs.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx
Autoruns
Autoruns undersøger en lang række forskellige steder programmer
kan konfigureres til at starte fra automatisk (almindelig
teknik brugt af bl.a. trojanske heste og bagdøre), inklusive startup
folderen, Run, RunOnce og en række andre nøgler i
registreringsdatabasen.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Autoruns.mspx
RootkitRevealer
RootkitRevealer undersøger et system for tegn på, at et
Windows usermode eller kernel mode
rootkit er installeret på maskinen ved bl.a. at søge efter
skjulte filer og nøgler i registreringsdatabasen. Der er
også en kommandolinie version af programmet inkluderet i
.zip filen.
http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx
Andre Windows programmer:
Foundstone (nu en del af McAfee):
Hent programmet Fport, men også f.eks. BinText og flere
andre programmer på siden kan være interessante. Bemærk at Fport ikke er stabil
på XP og 2003.
Fport
Fport viser åbne TCP og UDP porte sammen med programmet der
åbnede porten. Fport kan derfor bruges til at
identificere ukendte åbne porte og tilhørende programmer.
Der er dog kendte problemer med fport under Windows XP og senere, og det
anbefales derfor at bruge Openports fra Diamondcs nedenfor i
stedet.
http://www.foundstone.com/resources/proddesc/fport.htm Diamondcs:
Australske Diamondcs har en række interessante programmer,
ikke mindst OpenPorts der kan det samme - og lidt til - som
Fport fra Foundstone ovenfor. Se eksemplet på en
undersøgelse af en Windows maskine
for eksempler på brug af programmet.
OpenPorts
OpenPorts er et kommandolinie program der gør det muligt at
se alle åbne TCP og UDP porte på systemet der undersøges.
OpenPorts har en række forskellige måder output kan vises
på, bl.a. som Foundstones 'Fport' program.
http://www.diamondcs.com.au/consoletools/openports.php
CmdLine
CmdLine viser alle processer på systemet sammen med den
kommandolinie der startede processen.
http://www.diamondcs.com.au/consoletools/cmdline.php
Nirsoft
Nirsoft har en lang. lang række meget interessante programmer på deres hjemmeside.
WinHex
WinHex er en hex-editor
og meget mere. Den
gratis download
har en lang række meget nyttige funktioner.
AXE hex-editor
Gratis hex editor.
Hex Workshop
Hex editor med en række interessante features.
Disk Investigator
Disk Investigator er et stærkt lille program der kan læse
data på harddisken udenom operativsystemet (forsigtig ved
forensic undersøgelser).
Netcat
NetCat er også kendt som "netværks schweizer kniven" fordi programmet kan bruges på mange forskellige
måder, og til en lang, lang række forskellige ting.
Til forensics kan Netcat bl.a. bruges til at sende data fra en
maskine til en anden over netværket.
http://www.vulnwatch.org/netcat/nc111nt.zip
NTsecurity.nu:
er en svensk hjemmeside med en række interessante
programmer, f.eks. MACMatch. MACMatch
MACMatch gør det muligt at søge efter filer baseret på
deres sidste "write", "access" og "creation" tid, uden tiderne
ændres.
http://www.ntsecurity.nu/toolbox/macmatch
ListModules
ListModules lister de .exe og .dll'er der loades ind i en
process. Kan f.eks. bruges sammen med Handles fra
Sysinternals for at sammenligne output.
http://www.ntsecurity.nu/toolbox/listmodules
PMDump
PMDump kan dumpe indholdet af en proces' hukommelse uden at
standse processen, data fra hukommelsen kan derefter undersøges med
andre programmer.
http://www.ntsecurity.nu/toolbox/pmdump
Heysoft.de:
Heysoft har flere gode programmer hvoraf det mest kendte
er LADS til at
søge efter NTFS alternate data streams.
LADS
LADS er i øjeblikket det bedste program til at søge efter NTFS alternate
data streams, en kendt måde at skjule filer og
programmer på Windows systemer.
http://www.heysoft.de/Frames/f_sw_la_en.htm
Sleuth Kit og Autopsy
Brian Carriers Sleuth Kit kører fint under
Windows vha. Cygwin (se under "Linux" nedenfor for en
beskrivelse).
God
skridt-for-skridt beskrivelse af opsætningen under
Windows. Sleuth Kit v.1.72 løste make problemet der er
beskrevet i teksten og installationen under Cygwin er nu
endnu lettere.
http://www.sleuthkit.org/
Forensic Acquisition Utilities
Forensics Acquisition Utilities er en samling Windows
programmer, f.eks. dd, md5sum og Netcat, der er
specielt designet til at foretage forensics kopiering af filer og
harddiske. I modsætning til standard programmet kan dd.exe i
Forensics Acquisition Utilities kan også kopiere data i RAM.
http://users.erols.com/gmgarner/forensics
ActivePerl
ActivePerl gør det muligt at køre Perl programmer på Windows og andre systemer.
http://www.activestate.com/Products/ActivePerl
Perl2exe, PAR og AutoIt
Perl2exe konverterer Perl scripts til exe filer der kan køres på systemer uden perl.
PAR kan også bruges til at lave eksekverbare filer. Under Activestate for Windows åbnes "Perl Package Manager" og skrives "install PAR" for at installere.
AutoIt kan lette scripts og lave GUI frontends til brugere der ikke er vant til kommandolinen.
http://www.indigostar.com/perl2exe.htm
http://search.cpan.org/dist/PAR
http://www.autoitscript.com
md5summer.org
md5summer er et GUI-program der genererer og verificerer MD-5 checksums. In- og output filer er kompatible med
MD-5 filer lavet under Linux.
http://www.md5summer.org
ExifTool
ExifTool er et meget stærkt program til at udtrække metadata fra billeder, lyd og videofiler. Programmet kan også skrive til filen, derfor skal man naturligvis, som altid, undersøge en kopi af filen, aldrig originalen.
http://www.sno.phy.queensu.ca/~phil/exiftool
PhotoRec
PhotoRec (Windows og Linux) er et eksempel på et program
der kan genskabe slettede billeder fra hukommelsen på digitalkameraer
(CompactFlash, Memory Stick,
SecureDigital, SmartMedia, Microdrive, MMC, USB Memory
Drives, harddiske).
http://www.cgsecurity.org/photorec.html
TestDisk
TestDisk (Windows, Linux, BSD og Solaris) kan bl.a. finde og
genskabe en lang række forskellige typer partitioner.
http://www.cgsecurity.org/testdisk.html
Unixutils:
Unix utilities til Windows fra
http://unxutils.sourceforge.net
er en række
programmer fra Unix verden. Uundværlige hvis man er
vant til at bruge et *nix styresystem, men inkludere også
et par specialiserede programmer som pclip.exe, der kan indsamle indholdet fra
clipboard'et. Læg mærke til der er en opdateret
samling programmer på siden! Opdateringen indeholder bl.a.
en ny version af dd, der bruges til at
tage data-backup - der er en fejl i den første version der
kan have betydning når filer eller harddiske kopieres vha.
programmet!
Man kan naturligvis også vælge at bruge
Cygwin til at eksekverer
programmer fra Unix verden på Windows systemer.
WinDiff, RunWinDiff og ExamDiff
Eksempler på et par programmer til at sammenligne filer for
hurtigt at opdage eventuelle forskelle i filerne.
Silent Runners
Silent Runners er et VBS script der kan identificere evt.
indhold en lang række af de steder programmer automatisk
startes op i Windows.
Windows Registry Analyzer
Kan bruges til at læse og analysere
registreringsdatabasen under Windows. Har en række
interessante features.
Se Mitec's hjemmeside for flere interessante programmer.
Parse-Win32Registry
En række perl scripts til at dumpe, søge og diffe registreringsdatabasen.
Exetools
Exetools har en række forskellige pakke-programmer og meget
mere, der kan være
nødvendige for at analysere mistænkelige filer på et system.
Se i forummet på siden for de nyeste filer. Programmers Tools bliver jævnligt opdateret med de nyeste versioner af programmerne.
PEiD
PEiD kan detektere mere end 470 forskellige signaturer for
bl.a. pakke-, kompilerings- og krypteringsprogrammer. Kan
være meget nyttigt ved undersøgelser af ukendte filer.
Resource Hacker
Resource Hacker kan udtrække information, der kan være med
til at identificere et ukendt programs formål. Det kan
PE Resource Explorer,
eXeScope,
PECompact og
PEdump også.
LordPE kan bl.a. dumpe filer fra hukommelsen,
PE
Explorer indeholder også en disassembler og en dependency scanner. Dependency Walker lister hvilke dll filer et program benytter. Windows File Analyzer kan analysere filer til forensics brug.
OllyDbg
Windows debugger. ComputerForensics.DK udbygges senere med en detaljeret tekst om reverse engineering og analyse af mistænkelige filer.
Windows incident response kits:
Windows Forensics Toolchest (WFT)
WFT er et meget omfattende incident response kit, dvs.
automatiseret indsamling af potentielt relevant information
fra et system. Informationerne samles i en HTML-rapport til
efterfølgende analyse.
First Response
First Response er et meget ambitiøst projekt til indsamling af oplysninger ved computer sikkerhedshændelser.
The Forensics Server Project
Udover reklame for forfatterens
bog, er siden også hjemmeside for "the Forensic Server
Project", en samling meget interessante Perl scripts til
indsamling af data fra et system under mistanke.
SecReport
SecReport består kun af to programmer: Foundstones Fport og
Microsoft Baseline Security Analyzer og kan derfor være
nyttig til at skabe et hurtigt overblik over
sikkerhedsniveauet på et eller flere systemer. Kan
sammenligne to rapporter.
Nigilant32
Nigilant32 for First Responders er et meget lille program (1 MB), der bl.a kan kopiere systemer, indsamle data, undersøge filsystemer og dumpe hukommelse for efterfølgende undersøgelse.
RPIER - Regimented Potential Incident Examination Report
RPIER indsamler information fra et system og kan sende den indsamlede data til en webserver for efterfølgende analyse.
FIRST's online forensics af et WIN32 system
FIRST har et lidt ældre script med programmer til indsamling af information fra et Windows system.
Incident
Response Collection Report
IRCR var en af de første program samlinger specielt udviklet til indsamling af
flygtig og sårbart forensics data fra et Windows system. En tidlig, ikke så
avanceret, version af WFT og Forensics Server projekterne ovenfor. Seneste version bruges kun sammen med Helix boot CD'en
FRED
FRED (the First Responder's
Evidence Disk) er et meget enkelt response kit der kan ligge
på en enkel floppy diskette. Alle resultater gemmes som
udgangspunkt på den samme
diskette (eller USB key) programmerne ligger på. Det betyder man undgår at skrive
til maskinens harddisk og mindsker dermed risikoen for at ødelægge potentielt
bevismateriale på systemet.
Linux, Solaris, BSD:
The Coroner's Toolkit
Det store gamle værktøj hedder TCT - The Coroner's
Toolkit. Det er en gratis samling af forskellige programmer der
kan indsamle og analysere data på Unix systemer. Windows
filsystemer understøttes ikke af TCT.
Sleuthkit
Men det gør "Sleuth Kit" og "The Autopsy Forensic Browser".
Programmerne er en videreudvikling af
Coroners Tool Kit, der bl.a. gør det muligt at analysere både Microsoft og Unix
filsystemer. Alle undersøgelser laves fra gruppen af
programmer der samlet hedder Sleuth Kit. Sleuth Kit skal
installeres på et Unix system (eller under Windows vha.
Cygwin), men det er derefter muligt at
installerer "The Autopsy Forensic Browser" (et grafisk
HTML-interface til Sleuth Kit) på et Microsoft system hvis
man har lyst, og derefter foretage alle undersøgelser
derfra. Pakken indeholder bl.a. MAC-robber, der bruges
til at danne MAC-tidslinier.
LINReS
LINReS er tre forskellige scripts der er udviklet til at indsamle information fra Unix systemer til efterfølgende analyse.
Der er inkluderet statisk kompilerede filer og sender den indsamlede data til en lyttende (Windows) server.
FTimes
Ftimes er et lille avanceret program der kan indsamle potentielt bevismaterial fra en række forskellige operativ systemer. Kan ligge på en enkelt floppy diskette.
Indeholder også en række værktøjer til bl.a. at indsamle og undersøge hash værdier.
ngrep
Ngrep - grep efter netværksinformation. Gør det muligt at
søge i TCP, UDP og ICMP
protokoller over Ethernet, PPP, SLIP, FDDI, Token Ring m.v.
med de samme features som i grep. Pakke matching og display
gør det muligt at matche imod pakkernes data payloads.
ntop
Overvåger trafikken på netværket på samme måde som "top"
gør for processer. Kan vise netværksbrug, statistik, sortere
trafik efter protokol m.v.
iftop
Viser netværksbrug som "top" viser CPU brug, kan vise
båndbredde mellem hosts real time. Se netværks forensics siden for mange flere prorammer.
Glimpse
Glimpse er et meget stærkt indekserings- og søgeværktøj.
nc (netcat)
Netcat kaldes også "netværks
schweizer
kniven" fordi programmet kan bruges på så mange forskellige
måder, og til så mange forskellige ting. Til forensics
bruges Netcat f.eks. til at sende data fra en maskine til en
anden, f.eks. med dd.
cryptcat
Cryptcat er Netcat med indbygget kryptering af data når det
sendes over netværket. Kan f.eks. være vigtigt hvis der er risiko
for, at en angriber overvåger trafikken på netværket.
LSOF (LiSt Open Files)
LSOF er et program til diagnose og forensics der lister information
om alle filer der er åbnet af aktive processer på systemet.
lsof kan også liste åbne porte.
dcfl-dd
dcfl-dd er en modificeret version af dd ("data dumper") der
beregner MD-5 sum af data'en mens data bliver kopieret, for at
sikre data er identisk på begge systemer.
memdump
Memdump er skrevet af Wietse Venema og dumper, som navnet
siger, hukommelsen fra Unix systemer så den efterfølgende
kan undersøges.
foremost
Foremost kan genskabe filer baseret på søgninger efter
filernes headers og
footers. Det specificeres i en konfigurationsfil hvilke
typer filer foremost skal lede efter.
Scalpel
Scalpel er samme type program som Foremost ovenfor. Har dog lidt andre muligheder end Foremost, så man bør kikke på begge programer.
KHexEdit
Hex editor
md5deep
Md5deep beregner md5sum og kan sammenligne hash'er fra en
database for at søge efter ændringer, Sha1deep, Sha256deep
og Whirlpooldeep medfølger. Versioner til Windows kan downloades fra samme
side.
2hash
Thomas Akin's 2hash beregner samtidig MD-5 og SHA-1 checksum
på filer. En version af 2hash til Windows kan downloades fra samme side.
faust
Faust (File AUdit Security Toolkit) er et perl script der
kan indsamle mange forskellige typer information fra
mistænkelige filer. Faust indsamler information, men
foretager ikke selve analysen af filerne.
Bmap
Indsamling af data fra slackspace.
RegViewer
RegViewer kan læse Windows registreringsdatabasen fra Unix
systemer. Det kan RegLookup og kregedit også.
NTreg et en filsystem driver til Linux der gør det muligt at mounte filer fra registreringsdatabasen.
GrokEVT
GrokEVT er en samling scripts der gør det muligt at læse Windows event logfiler.
Grepmail
Søgninger efter email med regulære udtryk m.m.
lshw
HardWare LiSter giver detaljeret information om hardware på et system.
Chkrootkit
Chkrootkit (check
rootkit) kan bruges til at undersøge om der er
installeret kendte rootkits på en Unix maskine. Siden har
også en lang række links til information om Unix rootkits. Se siden om rootkits for mange flere anti-rootkit programmer.
Zeitline
Zeitline laver en grafisk fremstilling af hændelser for at
lette overblikket.
Gpart
Gpart forsøger at gætte og genskabe partitionstabellen. Kan bruges hvis partitionstabellen er ødelagt på en primær disk der indeholder operativsystemet.
Fatback
Fatback er designet til at genskabe filer fra et FAT filsystem.
Solaris:
Statisk kompilerede binære filer
Statisk kompilerede filer til Solaris_X86, filerne stammer
oprindeligt fra den nu afdøde incident-response.org
hjemmeside.
Mac OS X:
En række vigtige forensics programmer kører under Mac OS X,
f.eks. Sleuthkit og Autopsy, andre inkluderer md5deep, foremost,
sdd+, ddsplit og dcfldd.
DarwinPorts og
Fink
har en lang række nyttige programmer.
MD5
MD5 hash program til Mac OS X
ctool
ctool kan beregne både MD-5 og SHA-1 hash værdier og udelader data der kan
ændres ved opdatering til prebinding information i Mac Mach-o
programmer. ctool bruges til alle beregninger af Mac OS X
hash værdier på
knowngoods.org.
Ports
Ports af programmerne dd_rescue, foremost, md5deep og gpart
til MacOS X.
Flere Mac ports
Diverse:
CREED
CREED
(Cisco Router Evidence Extraction Disk) kan bruges til at
indsamle forensics information fra Cisco routere.
VMware
VMware Server og Player er meget nyttige, specielt hvis man ikke har købt Workstation versionen.
Converter er et beta program der kan konvertere mellem image formater, f.eks. Microoft Live PC og Ghost, så de kan bootes under VMware. LiveView kan lave VMware virtuelle maskiner af dd kloner så klonen kan bootes - uden der ændres på den originale "dd klon".
IsoBuster
IsoBuster kan mounte en lang række forskellige CD og DVD
formater og filsystemer, inklusive en række problem
CD/DVDer.
DVDisaster
DVDisaster kan redde CD og DVD'er med fejl og datatab.
Programmerne
H2cdimage og Dares kan også redde data med forskellige
teknikker.
Ad-aware
fra Lavasoft og
Spybot
er eksempler på programmer der kan søge efter en lang række spyware, hijackere m.v. Et
opdateret anti-virus program kan også bruges i nogle typer
undersøgelser.
FLAG (PyFlag)
FLAG - Forensics and Log Analysis GUI, er designet til log
analyse og andre forensics undersøgelser. FLAG kombinerer
Ethereal, Sleuthkit og flere andre programmer med en MySQL
database og en Apache webserver så en række forskellige
undersøgelser kan foretages fra en central server.
FLAG kan undersøge standard firewall- web- og andre typer
logs, indsamle information fra netværkstrafik og skabe en
grafisk fremstilling af netværket. Endelig kan FLAG
bruges ved analyser af harddiske m.v.
Det er muligt at downloade en fuld funktionel FLAG Linux
boot-cd, med et par ekstra features, fra hjemmesiden.
Open Source Digital Forensics er en glimrende link
samling til de bedste open source forensics programmer.
Se et
eksempel på en undersøgelse der bruger en række af de
ovennævnte programmer:
|