Computer Forensics.DK Sidste opdatering: 19.januar 2008
hjem | computer forensics | incident response | electronic discovery | programmer | knowledge base | links | rootkits | mig | sitemap | kontakt

                                           ComputerForensics.DK: gratis programmer

Formålet med denne side er, at give et lille overblik over nogle af de mange gratis værktøjer der er tilgængelige på Internettet. Listen er delt op i 1) virksomheder/organisationer og 2) udvalgte programmer. Programmerne er yderligere opdelt efter operativsystem for at gøre listen lidt mere overskuelig.

For at undgå rootkits vanskeliggør undersøgelsen, bør man - helst på forhånd - indsamle værktøjerne og enten gemme dem på en skrivebeskyttet diskette/USB key eller brænde en CD/DVD. Dette gælder selvfølgelig også for "indbyggede" programmer (Microsoft: cmd.exe, netstat.exe, nbtstat.exe, net.exe, doskey.exe, findstr.exe, cacls.exe osv, osv. Unix: ls, netstat, lsof, find, grep, less, ifconfig, diff, cat, who osv.).

Windows programmer, opdelt efter virksomheder:

Microsoft:
Microsoft har en lang række nyttige værktøjer indbygget, start f.eks. med at kikke på netstat, arp, route, nbtstat, doskey, net kommandoer osv. Men også Resource Kits har en lang række interessante programmer, herunder PUlist og Tlist. Hvis man har ansvaret for flere forskellige systemer (XP, Windows 2000, NT 4.0, Windows Server 2003 osv.) skal man være opmærksom på, at der kan være forskel på cmd.exe og andre system programmer i forskellige versioner af operativ systemerne. Det betyder man bør have en kopi af alle nødvendige eksekverbare filer fra alle forskellige systemer. Det samme gælder hvis der bruges forskellige service packs på systemerne.
Microsoft har de seneste år fået meget stor fokus på sikkerhed, og der kommer hele tiden nye interessante programmer der også kan benyttes til undersøgelse af systemerne, f.eks. Log Parser og Sector Inspector, så hold øje med Microsofts hjemmesider.

Sysinternals:
Sysinternals (nu en del af Microsoft) har en lang, lang række meget interessante programmer, der gratis kan downloades fra deres hjemmeside. Specielt pslist, listdlls og handle bør være standard programmer på enhver incident response CD, men Sysinternals har også en lang række andre interessante og meget brugbare programmer. F.eks. kan strings, regmon, filemon, diskmon, process explorer og autoruns bruges til at undersøge en lang række problemer og mistænkelig opførsel på et system, ligesom de fleste er standard programmer til at "reverse engineere" fundne hacker programmer, dvs. undersøge formålet med mistænkelige programmer. Når der skal foretages indledende forensics undersøgelser er kommandolinie programmer dog normalt altid at foretrække frem for GUI-programmer da de, alt andet lige, bruger færre system ressourcer. Ved at bruge kommandoline programmer sætter man således så få af sine egne "fodspor" på systemet som muligt under undersøgelsen.

Sysinternals kommando-linie programmer:

Handle
Handle viser information om hvilke filer m.m. et program har åbent.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Handle.mspx

ListDLLs
ListDLLs viser bl.a. den fulde sti til alle DLL'er en proces har loadet.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ListDlls.mspx

PsTools
PsTools er en samling nyttige programmer. Specielt PsList (giver detaljerede informationer om processer på et system), PsExec (eksekverer processer på et andet system), PsLogList (dumper eventloggen) og PsLoggedOn (hvem er logget på systemet) kan være nyttige til undersøgelser af et system. Men flere andre kan også være interessante.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/PsTools.mspx

Sysinternals "ikke-kommandolinie" programmer (forsigtig ved forensics undersøgelser):

Regmon
Regmon overvåger registreringsdatabasen, så man kan se hvilke applikationer der tilgår den.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Regmon.mspx

Filemon
Filemon viser aktivitet på filsystemet real-time. Programmet gør det bl.a. muligt at overvåge hvordan applikationer bruger andre filer og DLL'er.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Filemon.mspx

Process Explorer
Process Explorer viser detaljeret information om hvilke filer m.m. et program åbner. Programmet viser således real-time både hvilke DLL'er og hvilke handles et program har åben. Programmet er således en meget udvidet GUI-version af både Handle og ListDLLs.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx

Autoruns
Autoruns undersøger en lang række forskellige steder programmer kan konfigureres til at starte fra automatisk (almindelig teknik brugt af bl.a. trojanske heste og bagdøre), inklusive startup folderen, Run, RunOnce og en række andre nøgler i registreringsdatabasen.
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Autoruns.mspx

RootkitRevealer
RootkitRevealer undersøger et system for tegn på, at et Windows usermode eller kernel mode rootkit er installeret på maskinen ved bl.a. at søge efter skjulte filer og nøgler i registreringsdatabasen. Der er også en kommandolinie version af programmet inkluderet i .zip filen.
http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx
 

Andre Windows programmer:

Foundstone (nu en del af McAfee):
Hent programmet Fport, men også f.eks. BinText og flere andre programmer på siden kan være interessante. Bemærk at Fport ikke er stabil på XP og 2003.

Fport
Fport viser åbne TCP og UDP porte sammen med programmet der åbnede porten. Fport kan derfor bruges til at identificere ukendte åbne porte og tilhørende programmer. Der er dog kendte problemer med fport under Windows XP og senere, og det anbefales derfor at bruge Openports fra Diamondcs nedenfor i stedet.
http://www.foundstone.com/resources/proddesc/fport.htm

Diamondcs:
Australske Diamondcs har en række interessante programmer, ikke mindst OpenPorts der kan det samme - og lidt til - som Fport fra Foundstone ovenfor. Se eksemplet på en undersøgelse af en Windows maskine for eksempler på brug af programmet.

OpenPorts
OpenPorts er et kommandolinie program der gør det muligt at se alle åbne TCP og UDP porte på systemet der undersøges. OpenPorts har en række forskellige måder output kan vises på, bl.a. som Foundstones 'Fport' program.
http://www.diamondcs.com.au/consoletools/openports.php

CmdLine
CmdLine viser alle processer på systemet sammen med den kommandolinie der startede processen.
http://www.diamondcs.com.au/consoletools/cmdline.php

Nirsoft
Nirsoft har en lang. lang række meget interessante programmer på deres hjemmeside.

WinHex
WinHex er en hex-editor og meget mere. Den gratis download har en lang række meget nyttige funktioner.

AXE hex-editor
Gratis hex editor.

Hex Workshop
Hex editor med en række interessante features.

Disk Investigator
Disk Investigator er et stærkt lille program der kan læse data på harddisken udenom operativsystemet (forsigtig ved forensic undersøgelser).

Netcat
NetCat er også kendt som "netværks schweizer kniven" fordi programmet kan bruges på mange forskellige måder, og til en lang, lang række forskellige ting.
Til forensics kan Netcat bl.a. bruges til at sende data fra en maskine til en anden over netværket.
http://www.vulnwatch.org/netcat/nc111nt.zip

NTsecurity.nu:
er en svensk hjemmeside med en række interessante programmer, f.eks. MACMatch.

MACMatch
MACMatch gør det muligt at søge efter filer baseret på deres sidste "write", "access" og "creation" tid, uden tiderne ændres.
http://www.ntsecurity.nu/toolbox/macmatch

ListModules
ListModules lister de .exe og .dll'er der loades ind i en process. Kan f.eks. bruges sammen med Handles fra Sysinternals for at sammenligne output.
http://www.ntsecurity.nu/toolbox/listmodules

PMDump
PMDump kan dumpe indholdet af en proces' hukommelse uden at standse processen, data fra hukommelsen kan derefter undersøges med andre programmer. http://www.ntsecurity.nu/toolbox/pmdump

Heysoft.de:
Heysoft har flere gode programmer hvoraf det mest kendte er LADS til at søge efter NTFS alternate data streams.

LADS
LADS er i øjeblikket det bedste program til at søge efter NTFS alternate data streams, en kendt måde at skjule filer og programmer på Windows systemer.
http://www.heysoft.de/Frames/f_sw_la_en.htm

Sleuth Kit og Autopsy
Brian Carriers Sleuth Kit kører fint under Windows vha. Cygwin (se under "Linux" nedenfor for en beskrivelse). God skridt-for-skridt beskrivelse af opsætningen under Windows. Sleuth Kit v.1.72 løste make problemet der er beskrevet i teksten og installationen under Cygwin er nu endnu lettere.
http://www.sleuthkit.org/

Forensic Acquisition Utilities
Forensics Acquisition Utilities er en samling Windows programmer, f.eks. dd, md5sum og Netcat, der er specielt designet til at foretage forensics kopiering af filer og harddiske. I modsætning til standard programmet kan dd.exe i Forensics Acquisition Utilities kan også kopiere data i RAM.
http://users.erols.com/gmgarner/forensics

ActivePerl
ActivePerl gør det muligt at køre Perl programmer på Windows og andre systemer.
http://www.activestate.com/Products/ActivePerl

Perl2exe, PAR og AutoIt
Perl2exe konverterer Perl scripts til exe filer der kan køres på systemer uden perl.
PAR kan også bruges til at lave eksekverbare filer. Under Activestate for Windows åbnes "Perl Package Manager" og skrives "install PAR" for at installere.
AutoIt kan lette scripts og lave GUI frontends til brugere der ikke er vant til kommandolinen.
http://www.indigostar.com/perl2exe.htm
http://search.cpan.org/dist/PAR
http://www.autoitscript.com

md5summer.org
md5summer er et GUI-program der genererer og verificerer MD-5 checksums. In- og output filer er kompatible med MD-5 filer lavet under Linux.
http://www.md5summer.org

ExifTool
ExifTool er et meget stærkt program til at udtrække metadata fra billeder, lyd og videofiler. Programmet kan også skrive til filen, derfor skal man naturligvis, som altid, undersøge en kopi af filen, aldrig originalen.
http://www.sno.phy.queensu.ca/~phil/exiftool

PhotoRec
PhotoRec (Windows og Linux) er et eksempel på et program der kan genskabe slettede billeder fra hukommelsen på digitalkameraer (CompactFlash, Memory Stick, SecureDigital, SmartMedia, Microdrive, MMC, USB Memory Drives, harddiske).
http://www.cgsecurity.org/photorec.html

TestDisk
TestDisk (Windows, Linux, BSD og Solaris) kan bl.a. finde og genskabe en lang række forskellige typer partitioner.
http://www.cgsecurity.org/testdisk.html

Unixutils:
Unix utilities til Windows fra http://unxutils.sourceforge.net er en række programmer fra Unix verden. Uundværlige hvis man er vant til at bruge et *nix styresystem, men inkludere også et par specialiserede programmer som pclip.exe, der kan indsamle indholdet fra clipboard'et. Læg mærke til der er en opdateret samling programmer på siden! Opdateringen indeholder bl.a. en ny version af dd, der bruges til at tage data-backup - der er en fejl i den første version der kan have betydning når filer eller harddiske kopieres vha. programmet!
Man kan naturligvis også vælge at bruge Cygwin til at eksekverer programmer fra Unix verden på Windows systemer.

WinDiff, RunWinDiff og ExamDiff
Eksempler på et par programmer til at sammenligne filer for hurtigt at opdage eventuelle forskelle i filerne.

Silent Runners
Silent Runners er et VBS script der kan identificere evt. indhold en lang række af de steder programmer automatisk startes op i Windows.

Windows Registry Analyzer
Kan bruges til at læse og analysere registreringsdatabasen under Windows. Har en række interessante features.
Se Mitec's hjemmeside for flere interessante programmer.

Parse-Win32Registry
En række perl scripts til at dumpe, søge og diffe registreringsdatabasen.

Exetools
Exetools har en række forskellige pakke-programmer og meget mere, der kan være nødvendige for at analysere mistænkelige filer på et system. Se i forummet på siden for de nyeste filer. Programmers Tools bliver jævnligt opdateret med de nyeste versioner af programmerne.

PEiD
PEiD kan detektere mere end 470 forskellige signaturer for bl.a. pakke-, kompilerings- og krypteringsprogrammer. Kan være meget nyttigt ved undersøgelser af ukendte filer.

Resource Hacker
Resource Hacker kan udtrække information, der kan være med til at identificere et ukendt programs formål. Det kan PE Resource Explorer, eXeScope, PECompact og PEdump også. LordPE kan bl.a. dumpe filer fra hukommelsen, PE Explorer indeholder også en disassembler og en dependency scanner. Dependency Walker lister hvilke dll filer et program benytter. Windows File Analyzer kan analysere filer til forensics brug.

OllyDbg
Windows debugger. ComputerForensics.DK udbygges senere med en detaljeret tekst om reverse engineering og analyse af mistænkelige filer.


Windows incident response kits:

Windows Forensics Toolchest (WFT)
WFT er et meget omfattende incident response kit, dvs. automatiseret indsamling af potentielt relevant information fra et system. Informationerne samles i en HTML-rapport til efterfølgende analyse.

First Response
First Response er et meget ambitiøst projekt til indsamling af oplysninger ved computer sikkerhedshændelser.

The Forensics Server Project
Udover reklame for forfatterens bog, er siden også hjemmeside for "the Forensic Server Project", en samling meget interessante Perl scripts til indsamling af data fra et system under mistanke.

SecReport
SecReport består kun af to programmer: Foundstones Fport og Microsoft Baseline Security Analyzer og kan derfor være nyttig til at skabe et hurtigt overblik over sikkerhedsniveauet på et eller flere systemer. Kan sammenligne to rapporter.

Nigilant32
Nigilant32 for First Responders er et meget lille program (1 MB), der bl.a kan kopiere systemer, indsamle data, undersøge filsystemer og dumpe hukommelse for efterfølgende undersøgelse.

RPIER - Regimented Potential Incident Examination Report
RPIER indsamler information fra et system og kan sende den indsamlede data til en webserver for efterfølgende analyse.

FIRST's online forensics af et WIN32 system
FIRST har et lidt ældre script med programmer til indsamling af information fra et Windows system.

Incident Response Collection Report
IRCR var en af de første program samlinger specielt udviklet til indsamling af flygtig og sårbart forensics data fra et Windows system. En tidlig, ikke så avanceret, version af WFT og Forensics Server projekterne ovenfor. Seneste version bruges kun sammen med Helix boot CD'en

FRED
FRED (the First Responder's Evidence Disk) er et meget enkelt response kit der kan ligge på en enkel floppy diskette. Alle resultater gemmes som udgangspunkt på den samme diskette (eller USB key) programmerne ligger på. Det betyder man undgår at skrive til maskinens harddisk og mindsker dermed risikoen for at ødelægge potentielt bevismateriale på systemet.


Linux, Solaris, BSD:

The Coroner's Toolkit
Det store gamle værktøj hedder TCT - The Coroner's Toolkit. Det er en gratis samling af forskellige programmer der kan indsamle og analysere data på Unix systemer. Windows filsystemer understøttes ikke af TCT.

Sleuthkit
Men det gør "Sleuth Kit" og "The Autopsy Forensic Browser". Programmerne er en videreudvikling af Coroners Tool Kit, der bl.a. gør det muligt at analysere både Microsoft og Unix filsystemer. Alle undersøgelser laves fra gruppen af programmer der samlet hedder Sleuth Kit. Sleuth Kit skal installeres på et Unix system (eller under Windows vha. Cygwin), men det er derefter muligt at installerer "The Autopsy Forensic Browser" (et grafisk HTML-interface til Sleuth Kit) på et Microsoft system hvis man har lyst, og derefter foretage alle undersøgelser derfra. Pakken indeholder bl.a. MAC-robber, der bruges til at danne MAC-tidslinier.

LINReS
LINReS er tre forskellige scripts der er udviklet til at indsamle information fra Unix systemer til efterfølgende analyse.
Der er inkluderet statisk kompilerede filer og sender den indsamlede data til en lyttende (Windows) server.

FTimes
Ftimes er et lille avanceret program der kan indsamle potentielt bevismaterial fra en række forskellige operativ systemer. Kan ligge på en enkelt floppy diskette. Indeholder også en række værktøjer til bl.a. at indsamle og undersøge hash værdier.

ngrep
Ngrep - grep efter netværksinformation. Gør det muligt at søge i TCP, UDP og ICMP protokoller over Ethernet, PPP, SLIP, FDDI, Token Ring m.v. med de samme features som i grep. Pakke matching og display gør det muligt at matche imod pakkernes data payloads.

ntop
Overvåger trafikken på netværket på samme måde som "top" gør for processer. Kan vise netværksbrug, statistik, sortere trafik efter protokol m.v.

iftop
Viser netværksbrug som "top" viser CPU brug, kan vise båndbredde mellem hosts real time. Se netværks forensics siden for mange flere prorammer.

Glimpse
Glimpse er et meget stærkt indekserings- og søgeværktøj.

nc (netcat)
Netcat kaldes også "netværks schweizer kniven" fordi programmet kan bruges på så mange forskellige måder, og til så mange forskellige ting. Til forensics bruges Netcat f.eks. til at sende data fra en maskine til en anden, f.eks. med dd.

cryptcat
Cryptcat er Netcat med indbygget kryptering af data når det sendes over netværket. Kan f.eks. være vigtigt hvis der er risiko for, at en angriber overvåger trafikken på netværket.

LSOF (LiSt Open Files)
LSOF er et program til diagnose og forensics der lister information om alle filer der er åbnet af aktive processer på systemet. lsof kan også liste åbne porte.

dcfl-dd
dcfl-dd er en modificeret version af dd ("data dumper") der beregner MD-5 sum af data'en mens data bliver kopieret, for at sikre data er identisk på begge systemer.

memdump
Memdump er skrevet af Wietse Venema og dumper, som navnet siger, hukommelsen fra Unix systemer så den efterfølgende kan undersøges.

foremost
Foremost kan genskabe filer baseret på søgninger efter filernes headers og footers. Det specificeres i en konfigurationsfil hvilke typer filer foremost skal lede efter.

Scalpel
Scalpel er samme type program som Foremost ovenfor. Har dog lidt andre muligheder end Foremost, så man bør kikke på begge programer.

KHexEdit
Hex editor

md5deep
Md5deep beregner md5sum og kan sammenligne hash'er fra en database for at søge efter ændringer, Sha1deep, Sha256deep og Whirlpooldeep medfølger. Versioner til Windows kan downloades fra samme side.

2hash
Thomas Akin's 2hash beregner samtidig MD-5 og SHA-1 checksum på filer. En version af 2hash til Windows kan downloades fra samme side.

faust
Faust (File AUdit Security Toolkit) er et perl script der kan indsamle mange forskellige typer information fra mistænkelige filer. Faust indsamler information, men foretager ikke selve analysen af filerne.

Bmap
Indsamling af data fra slackspace.

RegViewer
RegViewer kan læse Windows registreringsdatabasen fra Unix systemer. Det kan RegLookup og kregedit også.
NTreg et en filsystem driver til Linux der gør det muligt at mounte filer fra registreringsdatabasen.

GrokEVT
GrokEVT er en samling scripts der gør det muligt at læse Windows event logfiler.

Grepmail
Søgninger efter email med regulære udtryk m.m.

lshw
HardWare LiSter giver detaljeret information om hardware på et system.

Chkrootkit
Chkrootkit (check rootkit) kan bruges til at undersøge om der er installeret kendte rootkits på en Unix maskine. Siden har også en lang række links til information om Unix rootkits. Se siden om rootkits for mange flere anti-rootkit programmer.

Zeitline
Zeitline laver en grafisk fremstilling af hændelser for at lette overblikket.

Gpart
Gpart forsøger at gætte og genskabe partitionstabellen. Kan bruges hvis partitionstabellen er ødelagt på en primær disk der indeholder operativsystemet.

Fatback
Fatback er designet til at genskabe filer fra et FAT filsystem.


Solaris:

Statisk kompilerede binære filer
Statisk kompilerede filer til Solaris_X86, filerne stammer oprindeligt fra den nu afdøde incident-response.org hjemmeside.


Mac OS X:

En række vigtige forensics programmer kører under Mac OS X, f.eks. Sleuthkit og Autopsy, andre inkluderer md5deep, foremost, sdd+, ddsplit og dcfldd. DarwinPorts og Fink har en lang række nyttige programmer.

MD5
MD5 hash program til Mac OS X

ctool
ctool kan beregne både MD-5 og SHA-1 hash værdier og udelader data der kan ændres ved opdatering til prebinding information i Mac Mach-o programmer. ctool bruges til alle beregninger af Mac OS X hash værdier på knowngoods.org.

Ports
Ports af programmerne dd_rescue, foremost, md5deep og gpart til MacOS X.
Flere Mac ports

Diverse:

CREED
CREED (Cisco Router Evidence Extraction Disk) kan bruges til at indsamle forensics information fra Cisco routere.

VMware
VMware Server og Player er meget nyttige, specielt hvis man ikke har købt Workstation versionen.
Converter er et beta program der kan konvertere mellem image formater, f.eks. Microoft Live PC og Ghost, så de kan bootes under VMware. LiveView kan lave VMware virtuelle maskiner af dd kloner så klonen kan bootes - uden der ændres på den originale "dd klon".

IsoBuster
IsoBuster kan mounte en lang række forskellige CD og DVD formater og filsystemer, inklusive en række problem CD/DVDer.

DVDisaster
DVDisaster kan redde CD og DVD'er med fejl og datatab. Programmerne H2cdimage og Dares kan også redde data med forskellige teknikker.

Ad-aware fra Lavasoft og Spybot  er eksempler på programmer der kan søge efter en lang række spyware, hijackere m.v. Et opdateret anti-virus program kan også bruges i nogle typer undersøgelser.

FLAG (PyFlag)
FLAG - Forensics and Log Analysis GUI, er designet til log analyse og andre forensics undersøgelser. FLAG kombinerer Ethereal, Sleuthkit og flere andre programmer med en MySQL database og en Apache webserver så en række forskellige undersøgelser kan foretages fra en central server.
FLAG kan undersøge standard firewall- web- og andre typer logs, indsamle information fra netværkstrafik og skabe en grafisk fremstilling af netværket. Endelig kan FLAG bruges ved analyser af harddiske m.v.
Det er muligt at downloade en fuld funktionel FLAG Linux boot-cd, med et par ekstra features, fra hjemmesiden. 

Open Source Digital Forensics er en glimrende link samling til de bedste open source forensics programmer.
 

Se et eksempel på en undersøgelse der bruger en række af de ovennævnte programmer:
 

 
Copyright © 2004-2008 Computerforensics.DK