다음은 Windows용 최고의 무료 디지털 포렌식 도구 목록입니다 . 이 기사에서는 다양한 디지털 포렌식 도구를 찾을 수 있습니다. 이러한 포렌식 도구의 도움으로 포렌식 조사관은 컴퓨터에서 무슨 일이 일어났는지 찾아낼 수 있습니다.
일부 포렌식 도구를 사용하면 시스템의 RAM을 캡처할 수 있지만 일부는 브라우저 기록을 캡처할 수 있습니다. 북마크, 캐시된 파일, 쿠키, 다운로드, 양식 기록, 저장된 로그인, 검색 등을 포함한 모든 브라우저 기록이 이 소프트웨어에 의해 캡처됩니다. 이 외에도 방문한 웹 페이지의 스크린샷도 얻을 수 있습니다.
또한 여러 파일의 해시(MD5, SHA1, SHA256 등)를 캡처할 수 있는 일부 소프트웨어도 찾을 수 있습니다. 또한 이 목록에는 OS 핑거프린팅 기능과 함께 제공되는 소프트웨어도 나열되어 있습니다.
이 요약의 소프트웨어는 사용자의 모든 활동을 나열합니다. 예를 들어 소프트웨어 설치, 파일/폴더 열기, 로그인 또는 로그아웃 정보 등이 있습니다.
일부 소프트웨어에서는 분석된 데이터를 TXT, HTML, CSV 등과 같은 다양한 형식으로 저장할 수 있습니다.
사용자가 컴퓨터의 데이터를 암호화하는 경우 이러한 유형의 활동을 탐지하는 소프트웨어도 있습니다. 하드 드라이브를 검사하고 암호화된 데이터(있는 경우)를 감지합니다. 지원되는 암호화 볼륨에 대해 알아보려면 기사를 살펴보세요.
FAW(Forensic Aquisition of Websites)는 디지털 포렌식 세계의 새로운 혁명입니다. 사이버 범죄를 최소화하기 위해 포렌식 전문가들이 널리 사용하는 최초의 포렌식 웹 브라우저입니다. 이에 대해 자세히 알아보려면 기사를 읽어보세요.
내가 가장 좋아하는 디지털 포렌식 도구:
Autopsy 는 제가 가장 좋아하는 Windows용 디지털 포렌식 도구입니다. 웹 아티팩트 분석, 타임라인 분석, 다중 사용자 사례, 레지스트리 분석 등과 같은 많은 중요한 기능이 제공됩니다.
나는 또한 Network Miner를 좋아한다 . 이 무료 디지털 포렌식 도구를 사용하면 네트워크를 통해 전송된 데이터를 추출할 수 있습니다. 이는 이 목록에서 OS 핑거프린팅 기능 과 함께 제공되는 유일한 소프트웨어입니다 .
검시
Autopsy 는 Windows용 오픈 소스 포렌식 도구입니다. 이는 법의학 전문가가 모든 무단 액세스를 조사하는 데 사용하는 가장 인기 있는 법의학 소프트웨어 중 하나입니다. 또한 디지털 포렌식 분야에서 중요한 도구가 되는 많은 기능을 제공합니다.
그 기능을 살펴보십시오:
- Autopsy를 사용하면 다중 사용자 사례를 만들 수 있습니다 . 따라서 팀원의 결과를 실시간으로 볼 수 있습니다. 이 기능은 조사관이 복잡하고 큰 사건을 신속하게 해결하는 데 도움이 됩니다.
- 타임라인 분석은 조사관이 전체 시스템에서 발생한 모든 활동을 분석하는 데 도움이 됩니다. 소프트웨어는 시스템에서 활동이 얼마나 자주 발생했는지 보여주는 시간 막대 그래프를 생성합니다.
- 웹 아티팩트 분석 : 이 기능은 실제로 널리 사용되는 일부 웹 브라우저(Firefox, Chrome, Internet Explorer 등)에서 사용자 정보를 캡처합니다. 이 정보에는 북마크, 기록, 쿠키, 다운로드 등이 포함됩니다.
- 레지스트리 분석 : 디지털 포렌식 조사관은 Windows 레지스트리에서 모든 데이터를 추출할 수 있습니다.
- 링크 파일 분석을 통해 관리자는 사용자가 액세스한 바로가기 및 문서를 검사할 수 있습니다.
- EXIF : 포렌식 전문가는 이 기능을 사용하여 JPEG 파일에서 지리적 위치 및 카메라 정보를 추출할 수 있습니다.
- 사용자가 소프트웨어를 변경한 경우 법의학 전문가는 디지털 서명을 대조하여 이를 탐지할 수 있습니다 .
- Autopsy에는 Android 스마트폰 에서 SMS, 통화 기록, 연락처 등과 같은 사용자 데이터를 추출하는 기능도 있습니다.
- 특정 파일을 찾고 있다면 키워드 검색 기능을 사용하여 찾을 수 있습니다. 이메일 주소, 전화번호, IP 주소 및 URL의 경우 Autopsy는 기본적으로 정규식 검색 패턴을 따릅니다.
위에 나열된 기능 외에도 Autopsy는 더 유용한 기능을 제공합니다.
전체적으로 Autopsy는 무료로 제공되는 디지털 포렌식 분야의 완벽한 소프트웨어입니다.
와이어샤크
Wireshark 는 Windows에서 가장 널리 사용되는 네트워크 캡처 및 분석 도구 중 하나입니다. 따라서 법의학 조사에 사용될 수 있습니다. 네트워크에서 진행되는 모든 활동을 볼 수 있습니다.
Wireshark를 실행하면 패킷 형태로 네트워크 정보 캡처가 시작됩니다. 이러한 패킷은 시간, 소스 IP 주소, 대상 IP 주소, 프로토콜(TCP, ARP 등), 길이 및 정보 등의 정보를 표시합니다 . 정보 부분은 애플리케이션 데이터, 암호화 경고, 표준 쿼리 등과 같이 Wireshark에서 캡처하는 네트워크에 대한 추가 정보를 제공합니다.
이 무료 디지털 포렌식 도구는 검색 기능도 제공합니다. 이 기능을 사용하면 소프트웨어가 캡처하는 패킷 목록 내에서 특정 패킷을 검색할 수 있습니다. 또한 검색에 필터를 적용할 수도 있습니다. 소프트웨어에서는 16진수 값, 문자열 및 정규 표현식 의 세 가지 유형의 필터를 사용할 수 있습니다 . 이 외에도 대소문자를 구분하여 검색할 수도 있습니다.
실시간 캡처 기능이 있으므로 네트워크 패킷으로 계속 업데이트됩니다. 실시간 캡처 중에 자동으로 하단으로 스크롤하여 최신 업데이트를 확인하는 기능을 활성화할 수도 있습니다. 이 외에도 캡처된 데이터를 오프라인으로 분석할 수도 있습니다.
위에 나열된 기능 외에도 tcpdump(libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft 네트워크 모니터, 네트워크 일반 스니퍼(압축 및 비압축), 스니퍼와 같은 여러 캡처된 파일 형식을 읽고 쓸 수 있습니다. Pro 및 NetXray, Network Instruments Observer, NetScreen snoop 등
네트워크마이너
NetworkMiner 는 또 다른 무료 디지털 포렌식 소프트웨어입니다. 이는 실제로 IP 주소, MAC 주소, 호스트 이름, 전송된 패킷, 수신된 패킷, 전송된 바이트, 수신된 바이트, 열린 TCP 포트 수, 운영 체제 등 을 캡처하도록 설계된 네트워크 분석기 포렌식 도구입니다. 좋은 부분 소프트웨어의 특징은 네트워크에 트래픽을 넣지 않고 모든 데이터를 캡처한다는 것입니다.
또한 네트워크를 통해 전송된 파일, 이메일, 인증서 등을 추출하는 기능도 제공됩니다. 이 모든 정보는 PCAP 파일에서 구문 분석될 수 있으므로 법의학 전문가는 생성된 보고서를 오프라인으로 분석할 수 있습니다. 무료 버전 소프트웨어의 PCAP 구문 분석 속도는 2.31MB/s입니다. 이 기능을 사용하면 사용자가 네트워크를 통해 스트리밍하는 파일을 추출하고 저장할 수 있습니다. 인터넷에서 파일을 추출하는 데 지원되는 형식은 FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 및 IMAP 입니다 .
위에 나열된 기능 외에도 이 소프트웨어의 무료 버전에는 OS Fingerprinting 이라는 매우 중요한 기능이 있습니다 . OS 핑거프린팅은 포렌식 전문가가 개인/호스트가 사용하는 운영 체제를 탐지하는 데 사용하는 기술입니다.
이 무료 디지털 포렌식 도구는 스크린샷을 캡처하여 썸네일로 저장합니다. 이러한 정보는 소프트웨어의 이미지 탭 에서 볼 수 있습니다.
NetworkMiner는 사용자 이름 및 비밀번호와 같은 사용자의 중요한 정보를 캡처할 수도 있습니다. 하지만 이 기능은 지원되는 일부 프로토콜로 제한됩니다. 이러한 정보는 소프트웨어의 자격 증명 탭 에 표시됩니다 . 사용자 이름과 비밀번호를 복사하여 PC의 어느 위치에나 붙여넣을 수 있습니다. 소프트웨어는 사용자 이름을 잘 복사했지만 테스트 중에 사용자 비밀번호를 복사하지 못했습니다. 또한 캡처된 파일의 MD5, SHA1 및 SHA256 해시를 계산하는 기능도 있습니다 .
FAW(웹사이트의 법의학 수집)
FAW(Forensic Acquisition of Websites) 는 디지털 포렌식 분야 최초의 포렌식 웹 브라우저 입니다 . 포렌식 조사를 위한 웹페이지 획득 기능을 제공합니다. 이 무료 포렌식 도구의 인터페이스는 주소 표시줄, 앞으로 버튼, 뒤로 버튼, 주소로 이동 버튼, 새로고침 버튼, 검색 중지 버튼으로 구성된 웹 브라우저와 유사합니다. 주소 표시줄에 해당 주소를 입력하여 웹페이지를 검색할 수 있습니다.
웹 페이지의 부분 또는 전체 획득을 위해 이 포렌식 웹 브라우저를 사용하여 모든 웹 사이트를 탐색할 수 있습니다. 웹페이지를 획득하는 동안 해당 웹페이지의 모든 이미지도 캡처하여 기본 위치에 저장합니다. 또한 획득 프로세스 중에 화면에 진행 중인 모든 활동을 기록하는 기능도 있습니다.
또한 스트리밍 비디오, 즉 Javascript, Flash 등에서 실행되는 비디오가 포함된 웹 페이지를 획득하는 고급 기능도 있습니다.
이 외에도 소프트웨어에서 실행되는 웹 페이지의 전체 HTML 코드도 획득합니다. 웹페이지를 획득하는 동안 웹페이지의 프레임 과 헤더를 포함하는 TXT 형식 의 별도 파일을 생성합니다 .
이 무료 디지털 포렌식 도구는 소셜 미디어 획득 도 제공합니다 . FAW를 사용하면 모든 소셜 미디어 네트워크에 액세스하여 이를 획득할 수 있습니다. 이 외에도 MD5 및 SHA1 해시도 자동으로 계산합니다.
분석된 모든 데이터를 FAW의 원격 서버에 저장할 수 있습니다. 또한 웹페이지의 모든 활성 네트워크에서 발생하는 모든 트래픽을 캡처하므로 조사관이 네트워크 트래픽을 분석하는 데 도움이 됩니다.
FAW에는 고급 구성 옵션도 있습니다. 동일한 웹 페이지를 다른 사용자 에이전트에 다르게 표시합니다. 이를 위해 HTTP 접두사 ” User-agent ” 또는 ” User-Agent “가 사용됩니다.
이 무료 포렌식 도구의 좋은 점은 포렌식 전문가가 수행한 모든 작업과 시간과 함께 그가 생성한 파일에 대한 자세한 로그가 포함된 각 인수에 대한 요약 보고서를 생성한다는 것입니다.
전체적으로 FAW(Forensic Acquisition of Websites)는 디지털 포렌식 분야의 훌륭한 도구로, 다양한 웹사이트를 확보하기 위한 많은 고급 기능이 함께 제공됩니다.
마지막활동보기
LastActivityView 는 Windows용 또 다른 무료 디지털 포렌식 도구입니다. 이를 통해 법의학 전문가는 컴퓨터의 모든 사용자 활동을 볼 수 있습니다. 예를 들어, 사용자가 컴퓨터에서 변경한 내용, 사용자가 본 파일 등이 있습니다. 고급 옵션에서는 지난 “ X ” 일, 시간, 분, 초 동안 의 사용자 활동을 볼 수 있습니다 .
작업 시간 및 날짜, 설명, 파일 이름, 전체 파일 경로 등을 포함하여 사용자가 수행한 모든 작업에 대한 자세한 정보를 얻을 수 있습니다. 소프트웨어의 설명 부분에는 사용자가 수행한 모든 작업에 대한 요약이 표시됩니다. 특정 파일 또는 폴더(예: 파일 또는 폴더 열기, 열기/저장 대화 상자에서 선택한 파일, EXE 파일 실행, 소프트웨어 설치 실행, 시스템 종료 또는 재부팅 정보, 블루 스크린 오류, 시스템 충돌 정보, 시스템 절전 모드) 정보, 사용자 로그인 및 로그오프 정보 등. 이 외에도 사용자가 Windows 탐색기에서 파일을 본 경우 이 정보도 표시됩니다. 표시된 항목을 두 번 클릭하면 동일한 정보를 표 형식으로 볼 수 있습니다.
데이터베이스의 특정 파일을 검색하는 데 사용할 수 있는 검색 옵션이 있습니다. 대소 문자 일치 및 전체 단어만 일치 로 검색을 수정할 수 있습니다 . 모든 항목 또는 선택한 항목을 TXT, CSV, HTML 및 XML 형식 으로 저장할 수 있습니다 .
이 무료 디지털 포렌식 도구는 기본적으로 모든 아카이브 파일을 읽습니다. 옵션 메뉴에서 이 설정을 변경할 수 있습니다.
항목 보기의 복잡성을 없애기 위해 홀수 행과 짝수 행을 각각 흰색과 회색으로 강조 표시하는 홀수/짝수 표시 기능을 활성화할 수 있습니다.
또한 전체 또는 선택한 항목에 대한 HTML 보고서를 생성하고 기본 웹 브라우저에서 이 보고서를 시작합니다. 소프트웨어의 이 기능은 좋아 보이지만 테스트 중에는 작동하지 않았습니다.
선택한 항목의 기본 디렉터리를 직접 열 수 있습니다. 이를 위해서는 탐색기에서 파일 > 폴더 열기를 클릭하거나 F2 키를 누르기만 하면 됩니다.
영상 포렌식 검색 시스템
이미지 포렌식 검색 시스템은 특정 이미지를 검색하는 데 사용할 수 있는 매우 유용한 디지털 포렌식 도구입니다. 이는 법의학 전문가가 컴퓨터의 디렉터리나 이미지 세트에서 피해자나 범죄자의 대상 이미지를 검색하는 데 사용할 수 있는 오픈 소스 법의학 소프트웨어입니다.
세 가지 유형의 이미지 검색 옵션이 있습니다.
- 다른 이미지 내에서 대상 이미지 검색 : 이 기능을 사용하면 파노라마, 콜라주 등 이미지 세트에 숨겨진 대상 이미지를 검색할 수 있습니다. 이 기능은 제게는 작동하지 않았습니다. 테스트 중에 뭔가를 놓쳤는지 확실하지 않습니다.
- 선택한 디렉터리 내에서 유사한 이미지 검색 : 이 기능을 사용하면 포렌식 전문가가 선택한 디렉터리 내에서 대상 이미지를 검색할 수 있습니다. 그러면 소프트웨어는 대상 이미지와 유사한 모든 이미지를 비교하고 결과를 표시합니다.
- 선택한 디렉터리의 모든 이미지 내에서 원본 이미지 검색 : 이 기능을 활성화하면 소프트웨어는 선택한 디렉터리에 저장된 모든 이미지 중에서 원본 이미지를 검색합니다.
휴먼 모드 는 이 소프트웨어의 흥미로운 기능으로, 소프트웨어가 사람의 얼굴을 비교하면서 이미지의 피부 영역과 색상도 볼 수 있게 해줍니다.
한 번에 두 개 이상의 이미지 검색을 수행할 수 있습니다. 모든 검색은 다른 탭에서 수행됩니다.
브라우저 기록 캡처 프로그램
Browser History Capturer 는 무료 디지털 포렌식 도구입니다. 휴대용 소프트웨어이며 컴퓨터에서 웹 브라우저 기록을 캡처하도록 설계되었습니다. 이 소프트웨어가 지원하는 웹 브라우저는 Mozilla Firefox(버전 3 이상), Google Chrome(모든 버전), Internet Explorer(버전 10 이상) 및 Microsoft Edge(모든 버전) 입니다 .
소프트웨어를 실행하고 캡처 버튼을 클릭하면 웹 브라우저가 백그라운드에서 실행 중인지 여부에 관계없이 위에 나열된 웹 브라우저의 기록 캡처가 시작됩니다. 캡처된 모든 데이터는 사용자가 변경할 수 있는 PC의 기본 위치에 저장됩니다. 캡처된 데이터에는 북마크, 캐시된 파일, 쿠키, 다운로드, 양식 기록, 저장된 로그인, 검색, 웹 사이트 기록 등이 포함됩니다. 또한 사용자가 방문한 웹 페이지의 스크린샷도 캡처합니다. 썸네일 폴더에서 모든 스크린샷을 찾을 수 있습니다.
자석 RAM 캡처
Magnet RAM Capture는 또 다른 무료 디지털 포렌식 도구입니다. 이는 휴대용 소프트웨어이며 조사관이 시스템 메모리에서만 발견된 데이터를 분석하는 데 도움을 주도록 설계되었습니다. 캡처된 정보에는 현재 실행 중인 프로그램, 네트워크 연결 정보, 사용자 이름 및 비밀번호, 해독된 파일 및 키 등이 포함됩니다.
캡처된 데이터는 Raw 형식으로 저장됩니다. 데이터를 저장하려면 큰 공간이 필요하므로 디스크에 충분한 공간이 있는지 확인하세요. RAM 캡처 후 내 컴퓨터에 저장된 파일은 5GB였습니다.
이 무료 디지털 포렌식 도구에는 포렌식 파일을 500MB, 1GB, 2GB, 4GB로 분할하는 옵션도 있습니다.
전체적으로 Magnet RAM Capture는 로컬 하드 드라이브에 저장되지 않은 모든 증거를 캡처하기 위한 강력한 디지털 포렌식 도구입니다.
Belkasoft 라이브 RAM 캡처러
Belkasoft Live RAM Capturer 는 강력한 무료 디지털 포렌식 도구입니다. 데이터 보호 여부에 관계없이 컴퓨터 RAM의 모든 데이터를 캡처할 수 있는 기능이 있습니다. 컴퓨터의 휘발성 메모리에 있는 모든 보호된 데이터와 보호되지 않은 데이터를 캡처할 수 있기 때문에 포렌식 전문가를 위한 메모리 캡처용 최고의 무료 포렌식 도구 중 하나입니다.
RAM에 법의학 증거를 캡처하려면 소프트웨어를 실행하고 > 캡처된 데이터를 저장할 출력 경로를 선택한 다음 > 캡처 버튼을 클릭하면 됩니다. 저것과 같이 쉬운.
참고 : 캡처된 파일은 디스크에 큰 공간이 필요합니다.
해시내파일
HashMyFiles 는 간단하면서도 효과적인 Windows용 디지털 포렌식 도구입니다. 컴퓨터에 있는 여러 파일의 MD5, SHA1, CRC32, SHA256, SHA512 및 SHA384 해시를 계산하기 위해 개발되었습니다 . 파일을 열면 해시가 자동으로 계산됩니다. MD5, SHA1, CRC32 및 SHA256 해시는 마우스 오른쪽 버튼을 클릭하거나 정의된 기능 키를 사용하여 쉽게 복사할 수 있습니다. 해시와 함께 파일 경로, 파일 확장자, 파일 속성, 수정 시간, 파일 크기 등과 같은 열려 있는 모든 파일에 대한 기타 정보도 표시합니다 . 또한 Windows 컨텍스트 메뉴 에서 직접 실행할 수 있는 옵션도 있습니다. .
데이터를 텍스트 파일, 탭으로 구분된 텍스트 파일, 테이블 형식 텍스트 파일, HTML 파일, XML 파일 및 CSV 파일 로 저장할 수 있습니다 .
이 소프트웨어의 VirusTotal 웹사이트에서 열기 기능을 사용하면 VirusTotal 포털에서 모든 파일을 직접 검사할 수 있습니다. 한 번 클릭하면 검사를 위해 VirusTotal 포털에서 선택한 파일이 열립니다.
암호 암호화 분석기
Passware Encryption Analyser 는 Windows용 또 다른 무료 디지털 포렌식 도구입니다. 전체 시스템이나 선택한 하드 드라이브를 검사하고 보호되고 암호화된 데이터를 감지합니다.
빠른 스캔 속도를 제공합니다. 50GB 데이터가 포함된 디스크를 스캔했는데 스캔하는 데 약 10분 정도 걸렸습니다. 시스템을 스캔하는 동안 두 가지 형식으로 스캔 속도도 표시됩니다. 50GB 데이터를 스캔하는 동안 표시되는 스캔 속도는 분당 5000개 파일 이상, 분당 약 400MB였습니다. 스캔 속도는 일정하게 유지되지 않습니다.
검사가 완료되면 보호 방법 및 암호화 유형과 함께 발견된 모든 보호 항목이 표시됩니다. 소프트웨어에서 암호화된 파일이 감지되면 해당 파일에 대한 비밀번호 복구 옵션과 암호 해독 복잡성도 표시됩니다.
참고 : 이 소프트웨어의 무료 버전에서는 법의학 연구용 파일만 분석할 수 있습니다. 이 무료 버전에서는 결과를 저장할 수 없습니다.
레드 라인
RedLine은 이 목록에 포함된 또 다른 강력한 디지털 포렌식 도구입니다. 데이터 수집 및 데이터 분석의 두 가지 기능을 제공합니다 . 법의학 담당자는 데이터 분석 기능을 사용하여 컴퓨터의 파일과 메모리를 분석할 수 있습니다. 파일 및 메모리 분석 기술은 포렌식 조사관이 컴퓨터에서 포렌식 증거를 찾는 데 도움이 됩니다.
데이터 수집은 메모리에서 실행 중인 프로세스 및 드라이버, 파일 시스템 메타데이터, 레지스트리 데이터, 이벤트 로그, 네트워크 정보, 서비스, 작업 등과 같은 모든 정보를 컴퓨터에서 수집합니다.
참고 : 데이터 분석을 시도하기 전에 컴퓨터에 메모리 덤프 파일이 있는지 확인하십시오. 메모리 덤프 파일이 없으면 먼저 데이터 수집 프로세스를 수행해야 합니다.
암호화 디스크 탐지기
Encrypt Disk Detector는 Windows용 또 다른 무료 디지털 포렌식 도구입니다. 이는 컴퓨터의 모든 디스크를 검사하고 암호화된 데이터(있는 경우)를 탐지하는 명령 프롬프트 기반 응용 프로그램입니다. 이는 법의학 조사관이 시스템에 실제로 무슨 일이 일어났는지 확인하는 데 도움이 됩니다. 그래서 그들은 적절한 조치를 취할 수 있었습니다.
암호화 디스크 탐지기는 컴퓨터의 하드 드라이브에서 TrueCrypt, BitLocker, SafeBoot, 시맨틱 암호화 볼륨 등의 볼륨을 검색합니다.