Aqui está uma lista das Melhores ferramentas forenses digitais gratuitas para Windows. Neste artigo, você encontrará uma variedade de ferramentas de digital forense. Com a ajuda dessas ferramentas forenses, os inspetores forenses podem descobrir o que aconteceu em um computador.
Embora algumas ferramentas forenses permitam capturar a RAM do sistema, outras podem capturar o histórico do navegador. Todo o histórico dos navegadores, incluindo favoritos, arquivos em cache, cookies, downloads, histórico de formulários, logins salvos, pesquisas etc., serão capturados por esses softwares. Além disso, você também obterá capturas de tela das páginas da Web que visitar.
Você também encontrará alguns softwares que têm o poder de capturar os hashes (MD5, SHA1, SHA256, etc.) de vários arquivos. Também listei um software nesta lista que vem com o recurso de impressão digital do sistema operacional.
Um software neste resumo lista todas as atividades do usuário. Por exemplo, instalação de software, abertura de um arquivo/foancião, informações de login ou logout, etc.
Alguns softwares permitem salvar os dados analisados em diferentes formatos, como TXT, HTML, CSV, etc.
Se o usuário criptografar os dados de um computador, também existe um software para detectar esse tipo de atividade. Ele verifica os discos rígidos e detecta os dados criptografados (se houver). Explore o artigo para saber sobre os volumes de criptografia suportados.
FAW (Forensic Aquisition of Websites) é uma nova revolução no mundo da perícia digital. É o primeiro navegador da web forense, amplamente utilizado pelos especialistas forenses para minimizar os crimes cibernéticos. Leia o artigo para saber mais sobre isso.
Minhas ferramentas forenses digitais favoritas:
Autópsia é minha ferramenta forense digital favorita para Windows. Ele vem com muitos recursos importantes, como Análise de Artefato da Web, Análise de Linha do Tempo, Casos Multiusuário, Análise de Registro, etc.
Também gosto do Network Miner. Você pode extrair a transferência de dadosrred em uma rede usando esta ferramenta forense digital gratuita. É o único software nesta lista que vem com o recurso Impressão digital do sistema operacional.
Autópsia
Autópsia é uma ferramenta forense de código aberto para Windows. É um dos softwares forenses mais populares usados por especialistas forenses para investigar todos os acessos não autorizados. Além disso, oferece muitos recursos que o tornam uma ferramenta importante no campo da perícia digital.
Dê uma olhadaem suas características:
- A autópsia permite criar casos multiusuários. Assim, você pode visualizar os resultados dos membros de sua equipe em tempo real. Esse recurso ajuda os examinadores a resolver casos complexos/grandes rapidamente.
- Análise de linha do tempo ajuda os examinadores a analisar todas as atividades ocorridas em todo o sistema. O software gera um gráfico de barras em relação ao tempo que mostra a frequência com que uma atividade ocorreu no sistema.
- Análise de Artefato da Web: esse recurso realmente captura as informações dos usuários de alguns dos navegadores da Web mais populares (Firefox, Chrome, Internet Explorer, etc.). Essas informações incluem favoritos, histórico, cookies, downloads, etc.
- Análise de Registro: Um examinador forense digital pode extrair todos os dados do registro do Windows.
- Através da Análise de Arquivo de Link, os oficiais podem examinar atalhos e documentos acessados por um usuário.
- EXIF: Usando este recurso, os peritos forenses podem extrair a localização geográficatodas as informações de localização e câmera de arquivos JPEG.
- Se o usuário fez alguma alteração em um software, os especialistas forenses podem detectar isso comparando as assinaturas digitais.
- O Autopsy também possui um recurso para extrair os dados do usuário de um Smartphone Android, como SMS, Registro de chamadas, Contatos, etc.
- Se você estiver procurando por um arquivo específico, poderá encontrá-lo usando o recurso Pesquisa por palavra-chave. Para endereços de e-mail, números de telefone, endereços IP e URLs, o Autopsy segue o padrão de pesquisa de expressão regular por padrão.
Além dos recursos listados acima, o Autopsy oferece alguns recursos mais úteis.
Em suma, o Autopsy é um software completo no campo da perícia digital que está disponível gratuitamente.
Página inicial Página de download
Wireshark
Wireshark é uma das ferramentas de captura e análise de rede mais amplamente usadas para Windows. Portanto, pode ser usado em uma investigação forense. Você pode ver todas as atividades acontecendo em uma rede.
Depois de iniciar o Wireshark, elecomeça a capturar as informações da rede na forma de pacotes. Esses pacotes exibem as seguintes informações: Tempo, Endereço IP de origem, Endereço IP de destino, Protocolo (TCP, ARP, etc.), Comprimento e Informações. A parte Informações fornece mais informações sobre a rede sendo capturada pelo Wireshark, como Dados de aplicativos, Alerta de criptografia, Consulta padrão, etc.
Esta ferramenta forense digital gratuita também oferece um recurso de pesquisa. Você pode usar esse recurso para pesquisar um pacote específico na lista de pacotes capturados pelo software. Além disso, você também pode aplicar filtros às suas pesquisas. Três tipos de filtros estão disponíveis no software: Valor Hex, String e Expressão Regular. Além disso, você também pode fazer pesquisas que diferenciam maiúsculas de minúsculas.
Ele possui um recurso de captura ao vivo, portanto, mantém você atualizado com os pacotes de rede. Você também pode ativar o recurso para rolar automaticamente para baixo durante a captura ao vivo para visualizarª atualizações. Além disso, também permite analisar os dados capturados offline.
Além dos recursos listados acima, ele também permite ler/gravar vários formatos de arquivo capturado, como tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer ( compactado e descompactado), Sniffer Pro e NetXray, Network Instruments Observer, NetScreen snoop, etc.
Página inicial Página de download
NetworkMiner
NetworkMiner é outro software forense digital gratuito. Na verdade, é uma ferramenta forense do analisador de rede, projetada para capturar endereço IP, endereço MAC, nome do host, pacotes enviados, pacotes recebidos, bytes enviados, bytes recebidos, número de portas TCP abertas, sistema operacional, etc. A parte boa do software é que ele captura todos os dados sem colocar nenhum tráfego na rede.
Ele também vem com um recurso para extrair arquivos, e-mails, certificados, etc. transferidos pela rede. Todas essas informações podem ser analisadas em arquivos PCAP, para que o forensec especialistas podem analisar os relatórios gerados offline. A velocidade de análise do PCAP na versão gratuita do software é de 2,31 MB/s. Você pode usar esse recurso para extrair e salvar os arquivos transmitidos pela rede pelo usuário. A seguir estão os formatos suportados para extrair os arquivos da Internet: FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 e IMAP.
Além dos recursos listados acima, a versão gratuita deste software possui um recurso muito importante, chamado Impressão digital do sistema operacional. A impressão digital do sistema operacional é uma técnica usada por especialistas forenses para detectar os sistemas operacionais usados por uma pessoa/host.
Esta ferramenta forense digital gratuita também captura as capturas de tela e as salva como miniaturas. Essas informações podem ser visualizadas na guia Imagens do software.
O NetworkMiner também é capaz de capturar as informações importantes do usuário, como seu nome de usuário e senhas. Mas esse recurso é limitado a alguns protocolos suportados. Tal informação é exibida ema guia Credencial do software. Você pode copiar o nome de usuário e a senha e colá-los em qualquer local do seu PC. O software copiou bem o nome de usuário, mas não conseguiu copiar a senha do usuário durante o teste. Além disso, também possui um recurso para calcular os hashes MD5, SHA1, e SHA256 dos arquivos capturados.
Página inicial Página de download
FAW (Aquisição forense de sites)
FAW (Forensic Acquisition of Websites) é um primeiro navegador da web forense no campo de forense digital. Ele fornece um recurso de aquisição de página da web para investigação forense. A interface desta ferramenta forense gratuita é semelhante a um navegador da web, que compreende uma barra de endereço, botão para frente, um botão para trás, um botão Ir para um endereço, um botão para recarregar e um botão para parar a pesquisa. Você pode pesquisar qualquer página da web digitando seu endereço na barra de endereços.
Você pode navegar em qualquer site com este navegador forense para uma aquisição parcial ou total de páginas da web. Ao adquirir uma página da web, ele também captura todos ose as imagens nessa página da Web e as salva em um local padrão. Além disso, também possui um recurso para registrar todas as atividades em andamento na tela durante o processo de aquisição.
Também possui um recurso avançado para adquirir as páginas da web que contêm vídeos em streaming, ou seja, vídeos executados em Javascript, Flash, etc.
Além disso, também adquire todo o código HTML das páginas da web que estão sendo lançadas no software. Durante a aquisição da página web, gera arquivos separados em formato TXT, que contêm frames e cabeçalhos da página web.
Esta ferramenta forense digital gratuita também oferece Aquisição de mídia social. Usando o FAW, você pode acessar qualquer rede de mídia social para adquiri-lo. Além disso, também calcula os hashes MD5 e SHA1 automaticamente.
Você pode salvar todos os dados analisados no servidor remoto do FAW. Ele também captura todo o tráfego de todas as redes ativas de uma página da web, portanto, ajuda os investigadores a analisaro tráfego de rede.
O FAW também possui opções avançadas de configuração. Ele exibe a mesma página da Web de maneira diferente para diferentes agentes de usuário. Para isso, um prefixo HTTP “User-agent” ou “User-Agent” é usado.
O bom desta ferramenta forense gratuita é que ela gera um relatório resumido para cada aquisição, que contém um registro detalhado de todas as operações realizadas por um perito forense e arquivos criados por ele junto com o tempo.
Em suma, FAW (Forensic Acquisition of Websites) é uma ótima ferramenta no campo da perícia digital, que vem com muitos recursos avançados para adquirir diferentes sites.
Página inicial Página de download
LastActivityView
LastActivityView é outra ferramenta forense digital gratuita para Windows. Ele permite que especialistas forenses visualizem todas as atividades do usuário em um computador. Por exemplo, as alterações feitas pelo usuário em um computador, arquivos visualizados por ele etc. Em Opções avançadas, você pode visualizar a atividade dos usuários nos últimos “X” dias, horas, minutos e segundos.
Vocêobterá informações detalhadas sobre todas as ações realizadas pelo usuário, que incluem hora e data da ação, descrição, nome do arquivo, caminho completo do arquivo, etc. A parte da descrição do software exibe o resumo de todas as ações realizadas pelo usuário para um determinado arquivo ou pasta, por exemplo, abrindo um arquivo ou pasta, arquivo selecionado na caixa de diálogo abrir/salvar, executando um arquivo EXE, executando uma instalação de software, desligamento do sistema ou informações de reinicialização, erro de tela azul, informações de travamento do sistema, informações de suspensão do sistema , informações de login e logoff do usuário e muito mais. Além disso, se o usuário visualizou algum arquivo no Windows Explorer, ele também exibe esta informação. Clique duas vezes em qualquer um dos itens exibidos para visualizar as mesmas informações em um formato tabular.
Tem uma opção de pesquisa, que você pode usar para pesquisar um determinado arquivo no banco de dados. Você pode modificar as pesquisas como Combinar maiúsculas de minúsculas e Corresponder apenas palavras inteiras. Você pode salvar todos ou itens selecionados em Formatos TXT, CSV, HTML, e XML.
Esta ferramenta forense digital gratuita lê todos os arquivos compactados por padrão. Você pode alterar essa configuração no menu Opções.
Para eliminar a complexidade na visualização dos itens, você pode habilitar o recurso Marcar ímpar/par, que destaca as linhas pares e ímpares com as cores branco e cinza, respectivamente.
Também gera relatórios HTML para todos ou itens selecionados e inicia esse relatório em seu navegador padrão. Esse recurso do software parece bom, mas não funcionou durante o teste.
Você pode abrir diretamente o diretório principal de qualquer um dos itens selecionados. Para isso, clique em Arquivo > Abrir Pasta no Explorer ou simplesmente pressione a tecla F2.
Página inicial Página de download
Sistema de pesquisa forense de imagens
Sistema de pesquisa forense de imagens é uma ferramenta forense digital muito útil, que pode ser usada para pesquisar imagens específicas. É um software forense de código aberto, que especialistas forenses podem usar para pesquisar a imagem alvo de uma vítima ou culpado no diretório do computador ou em um conjunto de imagens.
Ele apresenta três tipos de opções de pesquisa de imagens:
- Pesquisar uma imagem alvo dentro de outra imagem: Usando este recurso, você pode pesquisar a imagem alvo escondida em um conjunto de imagens, como Panorama, Colagem, etc. Este recurso não funcionou para mim; não tenho certeza se perdi alguma coisa durante o teste.
- Pesquisar imagens semelhantes em um diretório selecionado: esse recurso permite que especialistas forenses pesquisem a imagem de destino em um diretório selecionado. O software irá então comparar todos osas imagens semelhantes à imagem de destino e exibe o resultado.
- Pesquisar imagem de origem em todas as imagens no diretório selecionado: Se você ativar esse recurso, o software pesquisará a imagem de origem entre todas as imagens armazenadas no diretório selecionado.
O
Modo Humano é um recurso interessante deste software, permitindo que o software também analise as áreas e cores da pele nas imagens enquanto compara os rostos humanos.
Você pode fazer mais de uma pesquisa de imagem por vez. Todas as suas pesquisas serão realizadas em diferentes guias.
Página inicial Página de download
Navegador HCapturador de história
Browser History Capturer é uma ferramenta forense digital gratuita. É um software portátil e foi projetado para capturar o histórico do navegador da Web de um computador. A seguir estão os navegadores da Web suportados por este software: Mozilla Firefox (versão 3 ou superior), Google Chrome (todas as versões), Internet Explorer (versão 10 ou superior) e Microsoft Edge (todas versões).
Basta iniciar o software e clicar no botão Capturar e ele começa a capturar o histórico dos navegadores listados acima, independentemente de os navegadores estarem sendo executados em segundo plano ou não. Ele salva todos os dados capturados em um local padrão no seu PC, que pode ser alterado pelo usuário. Os dados capturados incluem favoritos, arquivos em cache, cookies, downloads, histórico de formulários, logins salvos, pesquisas, histórico do site, etc. Ele também captura as capturas de tela das páginas da web visitadas pelo usuário. Você encontrará todas as capturas de tela na pasta de miniaturas.
Página inicial Página de download
Captura de RAM magnética
Magnet RAM Capture é outra ferramenta forense digital gratuita. É um software portátil e foi projetado para ajudar os investigadores a analisar os dados encontrados apenas na memória do sistema. As informações capturadas incluem programas em execução no momento, informações de conexão de rede, nomes de usuário e senhas, arquivos e chaves descriptografados, etc.
Os dados capturados são salvos no formato Raw. Certifique-se de ter espaço suficiente em disco, pois os dados requerem muito espaço para serem armazenados. O arquivo armazenado emmeu computador após a captura de RAM era de 5 GB.
Esta ferramenta forense digital gratuita também tem a opção de dividir o arquivo forense entre 500 MB, 1 GB, 2 GB e 4 GB.
Em suma, o Magnet RAM Capture é uma poderosa ferramenta forense digital, destinada a capturar todas as evidências que não estão armazenadas no disco rígido local.
Página inicial Página de download
Belkasoft Live RAM Capturer
Belkasoft Live RAM Capturer é uma ferramenta forense digital poderosa e gratuita. Ele tem o poder de capturar todos os dados da RAM do computador, não importa ondese os dados estão protegidos ou não. Como pode capturar todos os dados protegidos e desprotegidos na memória volátil do computador, é uma das melhores ferramentas forenses gratuitas para especialistas forenses para captura de memória.
Para capturar a evidência forense na RAM, basta iniciar o software > selecionar o caminho de saída para armazenar os dados capturados > clicar no botão Capturar. Simples assim.
NOTA: O arquivo capturado requer muito espaço em disco.
Página inicial Página de download
HashMyFiles
HashMyFiles é uma ferramenta forense digital simples, porém eficaz, para Windows. é desenvolvered para calcular hashes MD5, SHA1, CRC32, SHA256, SHA512, e SHA384 de vários arquivos em seu computador. Basta abrir os arquivos e ele calculará os hashes automaticamente. Você pode copiar facilmente os hashes MD5, SHA1, CRC32 e SHA256 clicando com o botão direito do mouse ou usando as teclas de função definidas para eles. Junto com os hashes, ele também exibe algumas outras informações de todos os arquivos abertos, como Caminho do arquivo, Extensão do arquivo, Atributo do arquivo, Hora modificada, Tamanho do arquivo, etc. ser iniciado diretamente do menu de contexto do Windows.
Você pode salvar os dados como Arquivo de texto, Arquivo de texto delimitado por tabulações, Arquivo de texto tabular, Arquivo HTML, Arquivo XML e Arquivo CSV.
O recurso
Abrir no site VirusTotal deste software permite verificar qualquer arquivo diretamente no portal VirusTotal. Um único clique abrirá o arquivo selecionado no portal VirusTotal para verificação.
Página inicial Página de download
Analisador de Criptografia de Passware
O
Passware Encryption Analyzer é outra ferramenta forense digital gratuita para Windows. Ele verifica todo o sistema ou discos rígidos selecionados e detecta os dados protegidos e criptografados.
Ele vem com uma velocidade de digitalização rápida. Examinei o disco contendo dados de 50 GB e demorou cerca de 10 minutos para digitalizá-lo. Ao escanear o sistema, ele também exibe a velocidade de escaneamento em dois formatos diferentes. A velocidade de digitalização exibida durante a digitalização de dados de 50 GB foi superior a 5.000 arquivos/minuto e aproximadamente 400 MB/minuto. Observe que a velocidade de digitalização não permanece constante.
Depois da conclusãoApós a verificação, ele exibe todos os itens protegidos encontrados junto com métodos de proteção e tipos de criptografia. Se algum arquivo criptografado for detectado pelo software, ele também exibirá as opções de recuperação de senha e a complexidade de descriptografia para isso.
NOTA: A versão gratuita deste software permite apenas analisar os arquivos para pesquisa forense. Você não pode salvar o resultado nesta versão gratuita.
Página inicial Página de download
RedLine
RedLine é outra poderosa ferramenta forense digital nesta lista. Ele oferece dois recursos: Coletar dados e Umanalisar dados. Os oficiais forenses podem usar o recurso Analisar dados para analisar arquivos e memória em um computador. As técnicas de análise de arquivo e memória ajudam os examinadores forenses a encontrar as evidências forenses em um computador.
Coletar dados coleta todas as informações do computador, como processos em execução e drivers da memória, metadados do sistema de arquivos, dados do registro, logs de eventos, informações de rede, serviços, tarefas, etc.
NOTA: Certifique-se de ter um arquivo de despejo de memória em seu computador antes de fazer qualquer tentativa de analisar dados. Se você não tiver um arquivo de despejo de memória, primeiro deverá executar o processo de coleta de dados.
Página inicial Página de download
Detetor de disco criptografado
Encrypt Disk Detector é outra ferramenta forense digital gratuita para Windows. É um aplicativo baseado em prompt de comando que verifica todos os discos do seu computador e detecta os dados criptografados (se houver). Isso ajudará os investigadores forenses a verificar o que realmente aconteceu com o sistema. Para que pudessem tomar as medidas cabíveis.
O Encrypt Disk Detector verifica os discos rígidos do computador em busca dos seguintes volumes: TrueCrypt, BitLocker, SafeBoot, volumes criptografados semânticos, etc.