8 beste rettsmedisinske dekrypteringsverktøy for å hjelpe i etterforskning

by
Tweet
Share
Share
Pin
0 Shares

De siste årene har teknologien vokst med stormskritt, og rystet opp hele bransjer og felt. Et felt som har hatt stor nytte av fremskritt innen teknologi, er feltet rettsmedisin.

Forensics er et felt involvert i å bruke vitenskap til å etterforske forbrytelser for å finne ut hvorfor og hvordan noe skjedde. Feltet undersøker og kommer med bevis som kan bli presentert i en domstol for å hjelpe til med å løse en forbrytelse.

Anvendelsen av teknologi i rettsmedisin ga opphav til en gren av rettsmedisin kalt digital etterforskning. Digital etterforskning innebærer å undersøke og finne bevis lagret i digitale enheter som mobiltelefoner og personlige datamaskiner med sikte på å løse datarelaterte forbrytelser.

For å effektivt kunne utføre pliktene sine står personer i digital etterforskning overfor en stor hindring, kryptering. Kryptering er en måte å kryptere data til hemmelig kode for å hindre tilgang til dataene fra uautoriserte parter. Med krypteringsverktøy som AxCrypt og NordLocker og operativsystemer som Windows og macOS som lar brukere kryptere dataene sine, blir det vanskeligere for digital etterforskning å gjenopprette data fra digitale enheter.

Utbredelsen av krypteringsverktøy skaper behov for rettsmedisinske dekrypteringsverktøy. Dette er spesialisert programvare som transformerer krypterte data tilbake til sin opprinnelige menneskelesbare form. Slike verktøy er ment å hjelpe rettsmedisinere med å samle data fra krypterte filer i digitale enheter for å hjelpe til med å etterforske forbrytelser.

Fordeler med å bruke rettsmedisinske dekrypteringsverktøy

Følgende er noen av fordelene ved å bruke rettsmedisinske dekrypteringsverktøy:

  • Hastighet – Rettsmedisinske dekrypteringsverktøy lar rettsmedisinske eksperter dekryptere store mengder data, uavhengig av kompleksiteten, på mye kortere tid.
  • Enkel å bruke – For å dekryptere krypterte data trenger man en dyp forståelse av programmering, matematikk og kryptografi. Men med dekrypteringsverktøy trenger du ikke å være ekspert på noen av disse, siden dekrypteringsverktøy håndterer alle de tunge løftene for deg.
  • Flere verktøy til din disposisjon – Rettsmedisinske dekrypteringsverktøy gir deg et stort utvalg av verktøy for å utføre handlinger som å analysere en datamaskins register, gjenopprette passord og gjenopprette slettede filer i tillegg til å dekryptere filer.
  • Nøyaktighet – Rettsmedisinske bevis kan stilles spørsmål ved en domstol; derfor er nøyaktigheten svært viktig. Rettsmedisinske dekrypteringsverktøy gjennomgår enorme tester og kan fungere med forskjellige algoritmer i dekryptering, slik at du kan samle svært nøyaktige data.

Faktorer å vurdere når du velger et rettsmedisinsk dekrypteringsverktøy

Alle rettsmedisinske dekrypteringsverktøy er ikke likestilt. Følgende er vurderinger du bør ta når du velger et rettsmedisinsk dekrypteringsverktøy:

  • GPU-akselerasjon – Dette innebærer å bruke en datamaskins grafikkbehandlingsenhet (GPU) for å fremskynde utførelsen av intensive operasjoner. Dette har effekten av å redusere tiden som trengs for å utføre rettsmedisinsk dekryptering av store datamengder.
  • FDE-dekryptering – Full Disk Encryption (FDE) er en sikkerhetsmekanisme der alle data på en harddisk krypteres som standard ved bruk av kryptering på disknivå uten at brukerne trenger å utføre kryptering selv. Siden mange bedrifter bruker FDE, er det viktig å velge et verktøy som kan dekryptere fulldiskkrypterte harddisker.
  • Støttede filtyper – Mange filtyper, for eksempel arkivfiler, word-dokumenter, pdf, etc., kan krypteres. Som sådan støtter forskjellige rettsmedisinske dekrypteringsverktøy bare rettsmedisinsk dekryptering på visse filtyper. Som et resultat, mens du velger et rettsmedisinsk dekrypteringsverktøy, finn ut om det støtter typen filer du vil dekryptere.
  • Oppdagelse av krypterte filer – Mens du gjør rettsmedisinske beskrivelser på et stort system, kan det til tider være vanskelig å søke etter alle krypterte filer som kan ha den nødvendige informasjonen. Som et resultat vil det å velge et rettsmedisinsk dekrypteringsverktøy som kan oppdage og vise deg alle de krypterte filene i et system spare deg for tonnevis av tid.
  • Usporbarhet – Det ideelle rettsmedisinske dekrypteringsverktøyet bør ikke etterlate noen spor etter dekryptering. De målrettede filene skal alle forbli uendret, og ingen fotavtrykk fra en dekrypteringsøvelse skal etterlates. Dette fordi undersøkelser ofte tjener på å være usporbare for å unngå å reise mistanker og mottiltak til øvelsen. Som et resultat er usporbar rettsmedisinsk dekryptering ideell.
  Hvordan koble HomePod til WiFi

For tiden er det mange dekrypteringsverktøy tilgjengelig for rettsmedisinske eksperter som er interessert i digital etterforskning. Imidlertid har ikke alle de samme egenskapene.

Her er de beste rettsmedisinske dekrypteringsverktøyene for å hjelpe deg med undersøkelser.

Passware Kit Ultimate

Passware Kit Ultimate er det nyeste flaggskipet fra Passware, et selskap som lager passordgjenoppretting og dekrypteringsverktøy for forskjellige brukere. Ifølge nettsiden deres brukes Passware-produkter av verdens beste rettshåndhevelsesbyråer for å knekke saker som krever dekryptering.

Dette dekrypteringsverktøyet har en rekke funksjoner som gjør det øverst på denne listen.

  • Passordgjenoppretting for 340+ filtyper – Passware Kit Ultimate lar deg gjenopprette passord fra et bredt spekter av filer, inkludert arkiverte filer, bitcoin-lommebøker, word-dokumenter og QuickBooks, blant andre. Den lar deg til og med gjenopprette passord kryptert med krypteringsverktøy som AxCrypt og VeraCrypt.
  • Evne til å trekke ut data og gjenopprette passord fra over 250 mobile enheter, alt fra iPhones til populære Android-merker som Samsung, Nokia, Huawei og LG. Du kan til og med trekke ut data fra krypterte mobile enheter.
  • Full diskdekryptering – Passware Kit Ultimate kan dekryptere eller gjenopprette passord fra stasjoner med full diskkryptering.
  • Maskinvareakselerasjon – Passware Kit Ultimate lar deg utnytte NVIDIA og AMD GPUer for å akselerere prosessen med passordgjenoppretting og dekryptering, slik at du kan jobbe med et stort antall filer på mye kortere tid.
  • Dekryptering av Mac-er med Apple T2 Security Chip – Passware Kit Ultimate gir et tillegg som kan brukes til å dekryptere Mac-er med Apple T2 Security-brikken.
  11 gode læringsressurser for smidig sertifisering

Passware Kit Ultimate har ingen gratis prøveversjon, men tilbyr en 30-dagers pengene-tilbake-garanti på produktet.

Elcomsoft Forensic Disk Decryptor

Elcomsoft Forensic Disk Decryptor er et dekrypteringsverktøy som gir deg umiddelbar tilgang til data kryptert med BitLocker, FileVault 2, TrueCrypt, Veracrypt og PGP Disk.

Noen unike funksjoner i Elcomsoft Forensic Disk Decryptor inkluderer:

  • Zero-footprint-operasjon – Bruk av Elcomsoft Forensic Disk Decryptor etterlater ingen fotavtrykk fra dekrypteringsoperasjonen. Hele dekrypteringsoperasjonen er uoppdagelig.
  • Gir tilgang til krypteringsmetadata – denne funksjonen er nyttig hvis du trenger tilgang til det originale klartekstpassordet for å få tilgang til krypterte data.
  • Sanntidstilgang til kryptert informasjon – Elcomsoft Forensic Disk Decryptor utfører dekryptering på flukt, slik at en bruker kan montere et kryptert volum som en stasjonsbokstav og ha sanntidstilgang til de krypterte dataene.

I tillegg tilbyr den full diskdekryptering og søker, identifiserer og viser automatisk krypterte volumer og detaljer om volumets krypteringsinnstillinger. Elcomsoft tilbyr en gratis prøveversjon av rettsmedisinsk dekryptering.

Paladin

Paladin forensics suite er en oppstartbar rettsmedisinsk Linux-distribusjon basert på Ubuntu og er tilgjengelig for både 32-biters og 64-biters datamaskiner. Den er utviklet av SUMURI, som utvikler programvare og maskinvare relatert til digitale bevis, dataetterforskning og eDiscovery.

Når en bruker starter opp Paladins rettsmedisinske suite, har de tilgang til over 100 forhåndskompilerte rettsmedisinske verktøy med åpen kildekode for å utføre et bredt spekter av oppgaver, for eksempel dekryptering, maskinvareanalyse, messenger-etterforskning, passordoppdagelse og sosiale medier-analyse, blant annet andre.

Noen av dens unike funksjoner inkluderer:

  • Evnen til å klone enheter. Dette er nyttig hvis du ikke kan fjerne en enhets lagringsmedier
  • Den har en diskbehandler som kommer godt med når du enkelt vil visualisere og identifisere tilkoblede stasjoner og deres respektive partisjoner.
  • Den gjør automatisk logging, som kan lagres på hvilken som helst enhet
  • Leveres med Autopsy Digital Forensics Platform, som er en harddiskundersøkelsesteknologi bygget av Basis-teknologi.

Forskjellige versjoner av programvaren er tilgjengelige under et «navn din pris»-tilbud.

Fra GitHub-siden deres er Mobile Verification Toolkit (MVT) en samling verktøy for å forenkle og automatisere prosessen med å samle rettsmedisinske spor som er nyttige for å identifisere et potensielt kompromittering av Android- og iOS-enheter. MVT ble bygget og utgitt av Amnesty International Security Lab i 2021.

Dette verktøyet ble utviklet spesielt for android- og ios-enheter for å tillate dem å oppdage spionprogrammer som Pegasus Spyware som ble utviklet og solgt til myndigheter slik at de kan spionere på folks telefoner.

MVT er svært effektivt for å identifisere om skadelig programvare som spionprogramvare har blitt installert på en Android- eller ios-enhet uten brukerens viten.

  Hvordan installere MongoDB Compass på Ubuntu

Windows media etterforskningsverktøy består av tre deler: bildeanalyse, videoanalyse og brukerhandlinger. Alle disse brukes til å analysere bildene og videoene som er lagret i Windows Photos-applikasjonen. Siden datamaskiner kan lagre store mengder bilder og videoer, kan det være vanskelig å gå gjennom dem alle, og det er her windows media forensics kommer godt med.

Verktøyet kan analysere bilder og videoer og identifisere ansikter, personer, tagger, karakterer og steder i bildene og videoene som er lagret. Den kan også identifisere når de ble tatt, kameramodellen som ble brukt og produsenten av kameraet.

I tillegg lar det etterforskeren finne ut når brukeren fikk tilgang til bildene og videoene som er lagret, og hvilke endringer som ble gjort på dem. All denne informasjonen er gitt i et menneskelig lesbart format, og dataene som fanges kan sikkerhetskopieres for fremtidig analyse.

CredentialsFileView

CredentialsFileView er et verktøy for Windows-operativsystemet som dekrypterer og viser dataene som er lagret i operativsystemets legitimasjonsfiler.

Windows-operativsystemets legitimasjonsfiler lagrer filer som påloggingspassord for en datamaskin og eksterne datamaskiner på datamaskinens LAN. Den lagrer også passord for Windows Messenger-kontoer, e-postkontoer og passord for passordbeskyttede nettsteder som du får tilgang til via Internet Explorer.

Dette verktøyet fungerer på Windows-versjoner opp til Windows 10 og støtter både 32-biters og 64-biters systemer.

Hashcat

Hashcat er et populært passord-cracking-verktøy som er mye brukt av penetrasjonstestere, systemadministratorer, kriminelle og spioner.

For å lagre passord på en sikker måte, konverteres passord til en uforståelig streng med tall og bokstaver ved å sende dem gjennom en hashing-algoritme. Hashcat gjetter passord, hasheser dem og sammenligner dem med den lagrede hashen, og gjentar prosessen til det riktige passordet er funnet. Hashcat støtter alle eksisterende hash-formater og er i stand til å bruke systemets GPU for å akselerere passord-cracking.

Hashcat kan utføre forskjellige angrep for å knekke passord. Disse angrepene inkluderer ordbokangrep, kombinatorangrep, maskeangrep og dets mest effektive angrep, det regelbaserte angrepet.

Hvis du trenger å knekke passord. Dette er ditt gå-til-verktøy.

John the Ripper passord cracker

John the Ripper password cracker er et gratis og åpen kildekodeverktøy for passordsikkerhetsrevisjon og passordgjenoppretting. Den kan brukes til å finne og knekke svake passord i et system.

Dette verktøyet støtter hundrevis av hasher og cyphers, inkludert hash brukt i passord som er lagret i UNIX-baserte systemer, Windows-operativsystemer, macOS, nettapper som WordPress, databaseservere som SQL, og krypterte private nøkler på kryptovaluta-lommebøker, blant andre.

Imidlertid, i motsetning til Hashcat, kan John the ripper bruke GPU Acceleration for å fremskynde passordknekking.

Konklusjon

Rettsmedisinsk dekryptering gjøres ved hjelp av et bredt spekter av verktøy, hver med en unik applikasjon. Enkelte verktøy er best egnet for spesielle oppgaver, for eksempel passordknekking for penetrasjonstesting, når det gjelder Hashcat.

For å finne det riktige verktøyet for å hjelpe i etterforskningen din, er det viktig at du først bestemmer arten av etterforskningen og hva du ønsker skal oppnås. Derfra kan du ta en beslutning om hvilket verktøy du skal bruke fra de som har blitt diskutert i denne artikkelen.