Máy tính Forensics có nghĩa là kiểm tra máy tính để tìm các dấu vết dữ liệu có thể giải quyết được vấn đề - có thể là hợp pháp hoặc nơi làm việc có liên quan hoặc sử dụng cá nhân. Trong khi thuật ngữ máy tính pháp y mang đến cho tâm trí, một hình ảnh của các chuyên gia sử dụng các công cụ cao cấp để phục hồi và kiểm tra dữ liệu, có những công cụ mà ngay cả giáo dân có thể sử dụng. Bài viết này nói về một số miễn phí máy tính pháp y công cụ và phần mềm mà tôi đã gặp ở điểm nào đó hoặc phần mềm khác.
Công cụ miễn phí máy tính Forensics
P2 eXplorer
Đây là một trong những công cụ yêu thích của tôi. Không phải là tôi đã có một sử dụng thực sự cho nó, nhưng tôi thấy nó thú vị bởi vì nó cho phép bạn duyệt một hình ảnh đĩa mà không cần phải ghi nó vào đĩa DVD. Bạn chỉ cần gắn một ảnh đĩa vào một trong các chữ cái có sẵn trên máy tính của bạn và sau đó mở nó trong Windows Explorer. Vì nó là một hình ảnh đĩa, nó chỉ đọc. Điều đó có nghĩa là bạn có thể xem nội dung nhưng không thể thực hiện thay đổi. Tuy nhiên, nó là một công cụ quan trọng nếu bạn phải kiểm tra đĩa chi tiết hoặc khi bạn có quá nhiều đĩa máy tính để kiểm tra. Bạn có tất cả dữ liệu trong một giao diện và tất cả những gì bạn cần là gắn kết tệp hình ảnh và nghiên cứu nó.
P2 eXplorer có sẵn trong cả hai phiên bản miễn phí và trả tiền. Phiên bản miễn phí chỉ chạy trong các hệ điều hành 32 bit. Nó không gắn hình ảnh EnCase v7 cũng không gắn kết bất kỳ tập tin máy ảo nào. Phiên bản trả tiền được đánh dấu nhiều hơn trên trang web của họ, nhưng liên kết để tải xuống phiên bản miễn phí có sẵn ở phía bên phải của trang web.
Khung pháp lý kỹ thuật số
Đây là một phần mềm nguồn mở cho phép:
- Ghi chặn
- Đọc các loại định dạng tệp khác nhau, bất kể hệ điều hành; bạn cũng có thể khôi phục các tệp Linux thô từ hệ điều hành Windows bằng phần mềm này
- Truy cập từ xa vào ổ đĩa và ổ đĩa
- Khôi phục và kiểm tra các tệp đã xóa và bị ẩn
- Có thể đọc các tiêu đề của các tập tin một cách dễ dàng để bạn biết được các tập tin để tìm hiểu thêm thông tin
Trên tất cả, những người có kiến thức máy tính tốt có thể xây dựng mã riêng của họ và sử dụng nó với API của khung pháp lý kỹ thuật số.
HxD
Đây là một công cụ dễ sử dụng khác phân tích hệ thống tệp và khôi phục các tệp đã bị xóa theo mục đích hoặc cách khác. Nó cũng có thể thay đổi RAM (bộ nhớ hệ thống). Nó có thể xử lý các tập tin có kích thước bất kỳ. Giao diện dễ sử dụng và do đó có thể được sử dụng bởi bất kỳ ai có ít kiến thức về cách hoạt động của máy tính. Bạn có thể tải xuống HXD từ trang web của nhà sản xuất.
PlainSlight
PlainSlight là một công cụ pháp lý máy tính miễn phí khác là mã nguồn mở và giúp bạn xem trước toàn bộ hệ thống theo nhiều cách khác nhau. Dễ sử dụng giao diện và các nhãn tự giải thích cho phép mọi người (ngay cả với ít kiến thức về chức năng nội bộ của máy tính) sử dụng nó mà không gặp nhiều khó khăn. Nó có thể phục hồi các tập tin đã xóa, phục hồi các tập tin và thư mục ẩn. Nó có thể giúp với một số thứ khác như lấy thông tin đĩa cứng, xem các nhóm người dùng và thông tin nhóm, kiểm tra thông tin lưu trữ USB và những thứ tương tự. Mặc dù tôi thích nó để dễ sử dụng, nó không cung cấp nhiều tính năng khác với những điều cơ bản của pháp y máy tính. Chúng tôi đã thấy P2 eXplorer có thể khôi phục các đoạn tệp và đặt chúng ở dạng có thể đọc được. So với điều đó, thực sự rất đơn giản.
Bộ giải nén số lượng lớn
Đây là một công cụ tốt vì nó bỏ qua bảng tệp và phân tích đĩa trực tiếp. Điều đó cho phép nó ghi lại các tệp bị ẩn, hệ thống và bị xóa. Thông tin có thể được tổng hợp thành các mục tương tự và được phân tích bằng các công cụ khác. Bạn có thể tải xuống Bulk Extractor từ GitHub.
Tất cả chúng hoạt động trên hầu hết các phiên bản Windows gần đây. Nếu tôi đã bỏ lỡ bất kỳ công cụ pháp y máy tính miễn phí hoặc mã nguồn mở nào, vui lòng cho chúng tôi biết.