В последние годы технологии росли как на дрожжах, потрясая целые отрасли и области. Одной из областей, которая значительно выиграла от достижений в области технологий, является область криминалистики.
Криминалистика — это область, которая использует науку для расследования преступлений, чтобы выяснить, почему и как что-то произошло. В полевых условиях они проводят расследования и находят улики, которые могут быть представлены в суде для раскрытия преступлений.
Применение технологий в криминалистике привело к возникновению отрасли криминалистики, называемой цифровой криминалистикой. Цифровая криминалистика включает в себя исследование и поиск улик, хранящихся в цифровых устройствах, таких как сотовые телефоны и персональные компьютеры, с целью раскрытия преступлений, связанных с компьютерами.
Чтобы эффективно выполнять свои обязанности, специалисты по цифровой криминалистике сталкиваются с одним серьезным препятствием — шифрованием. Шифрование — это метод шифрования данных в секретный код для предотвращения доступа к данным неавторизованных сторон. Благодаря инструментам шифрования, таким как AkCrypt и NordLocker, и операционным системам, таким как Windows и macOS, которые позволяют пользователям шифровать свои данные, цифровой криминалистике становится все труднее восстанавливать данные с цифровых устройств.
Повсеместное распространение инструментов шифрования создает потребность в криминалистических инструментах дешифрования. Это специализированное программное обеспечение, которое преобразует зашифрованные данные обратно в исходную удобочитаемую форму. Такие инструменты призваны помочь судебно-медицинским экспертам собирать данные из зашифрованных файлов на цифровых устройствах для помощи в расследовании преступлений.
Содержание
Преимущества использования криминалистических инструментов дешифрования
Ниже приведены некоторые преимущества использования инструментов криминалистического дешифрования:
- Скорость — инструменты судебной расшифровки позволяют экспертам-криминалистам расшифровывать большие объемы данных, независимо от их сложности, за гораздо меньшее время.
- Простота использования. Для расшифровки зашифрованных данных требуется глубокое понимание программирования, математики и криптографии. Однако при работе с инструментами дешифрования вам не нужно быть экспертом ни в одном из них, потому что инструменты дешифрования делают всю тяжелую работу за вас.
- Дополнительные инструменты в вашем распоряжении. Инструменты судебной расшифровки предоставляют вам широкий спектр инструментов для выполнения таких действий, как анализ реестра компьютера, восстановление пароля и восстановление удаленных файлов в дополнение к расшифровке файлов.
- Точность – судебные доказательства могут быть исследованы в суде; поэтому его точность очень важна. Инструменты судебной расшифровки проходят всестороннее тестирование и могут работать с различными алгоритмами расшифровки, что позволяет собирать высокоточные данные.
Факторы, которые следует учитывать при выборе инструмента для судебной расшифровки
Все инструменты судебной расшифровки не созданы равными. При выборе инструмента судебной расшифровки учитывайте следующее:
- Ускорение графического процессора — включает использование графического процессора компьютера (GPU) для ускорения выполнения ресурсоемких операций. Это приводит к значительному сокращению времени, необходимого для криминалистической расшифровки больших объемов данных.
- Расшифровка FDE — полное шифрование диска (FDE) — это механизм безопасности, при котором все данные на жестком диске шифруются по умолчанию с использованием шифрования на уровне диска, и пользователям не требуется выполнять шифрование самостоятельно. Поскольку многие предприятия используют FDE, важно выбрать инструмент, который может расшифровывать жесткие диски, зашифрованные на весь диск.
- Поддерживаемые типы файлов. Многие типы файлов, такие как архивные файлы, текстовые документы, pdf и т. д., могут быть зашифрованы. Таким образом, различные инструменты криминалистической дешифровки поддерживают только криминалистическую дешифровку определенных типов файлов. В результате, выбирая инструмент для криминалистической расшифровки, узнайте, поддерживает ли он тот тип файлов, который вы хотите расшифровать.
- Обнаружение зашифрованных файлов. При проведении криминалистической экспертизы в большой системе иногда бывает сложно выполнить поиск по всем зашифрованным файлам, в которых может содержаться необходимая вам информация. В результате, выбор инструмента криминалистической расшифровки, который может обнаружить и показать вам все зашифрованные файлы в вашей системе, сэкономит вам много времени.
- Неотслеживаемый — идеальный инструмент для судебной расшифровки не должен оставлять следов после расшифровки. Целевые файлы должны оставаться неизменными, и не должно оставаться никаких следов расшифровки. Это связано с тем, что расследование часто выигрывает от того, что его нельзя отследить, чтобы избежать подозрений и контрмер в отношении учений. В результате неотслеживаемая криминалистическая расшифровка идеальна.
В настоящее время экспертам-криминалистам, интересующимся цифровой криминалистикой, доступно множество инструментов дешифрования. Однако не у всех одинаковые возможности.
Вот лучшие инструменты судебной расшифровки, которые помогут вам в ваших расследованиях.
Комплект паролей Ultimate
Passware Kit Ultimate — новейший флагманский продукт компании Passware, которая производит инструменты для восстановления и расшифровки паролей для различных пользователей. Согласно их веб-сайту, продукты Passware используются ведущими правоохранительными органами для раскрытия дел, требующих расшифровки.
Этот инструмент дешифрования имеет множество функций, которые делают его первым в этом списке.
- Восстановление паролей для более чем 340 типов файлов — Password Kit Ultimate позволяет восстанавливать пароли из самых разных файлов, включая архивные файлы, биткойн-кошельки, текстовые документы и QuickBooks, среди прочего. Он даже позволяет восстанавливать пароли, зашифрованные с помощью инструментов шифрования, таких как AkCript и VeraCript.
- Возможность извлекать данные и восстанавливать пароли с более чем 250 мобильных устройств, начиная от iPhone и заканчивая популярными брендами Android, такими как Samsung, Nokia, Huawei и LG. Вы даже можете извлекать данные с зашифрованных мобильных устройств.
- Полное расшифрование диска — Password Kit Ultimate может расшифровывать или восстанавливать пароли с дисков с полным шифрованием диска.
- Аппаратное ускорение — Passware Kit Ultimate позволяет использовать преимущества графических процессоров NVIDIA и AMD для ускорения процесса восстановления и расшифровки паролей, позволяя работать с большим количеством файлов за гораздо меньшее время.
- Расшифровка компьютеров Mac с помощью Apple T2 Security Chip — Passware Kit Ultimate содержит плагин, который можно использовать для расшифровки компьютеров Mac с помощью Apple T2 Security Chip.
Passware Kit Ultimate не имеет бесплатной пробной версии, но предлагает 30-дневную гарантию возврата денег на продукт.
Elcomsoft Forensic Disk Decryptor
Elcomsoft Forensic Disk Decryptor — это инструмент дешифрования, который дает вам мгновенный доступ к зашифрованным данным BitLocker, FileVault 2, TrueCript, Veracript и PGP.
Некоторые уникальные особенности Elcomsoft Forensic Disk Decryptor включают в себя:
- Бесследная операция — Использование Elcomsoft Forensic Disk Decryptor не оставляет следов операции расшифровки. Вся операция дешифрования не поддается обнаружению.
- Разрешает доступ к метаданным шифрования. Эта функция полезна, если вам нужно получить исходный текстовый пароль для доступа к зашифрованным данным.
- Доступ к зашифрованной информации в режиме реального времени — Elcomsoft Forensic Disk Decryptor выполняет расшифровку «на лету», позволяя пользователю монтировать зашифрованный том как букву диска и иметь доступ к зашифрованным данным в режиме реального времени.
Кроме того, он предлагает полную расшифровку диска и автоматически ищет, идентифицирует и отображает зашифрованные тома и сведения о настройках шифрования тома. Elcomsoft предлагает бесплатную пробную версию Forensic Decryptor.
Паладин
Paladin’s Forensic Suite — это загрузочный криминалистический дистрибутив Linux на основе Ubuntu, доступный как для 32-разрядных, так и для 64-разрядных компьютеров. Он был разработан SUMURI, которая разрабатывает программное и аппаратное обеспечение, связанное с цифровыми доказательствами, компьютерной криминалистикой и обнаружением электронных данных.
После того, как пользователь запустит криминалистический пакет Paladin, он получит доступ к более чем 100 предварительно скомпилированным криминалистическим инструментам с открытым исходным кодом для выполнения широкого круга задач, таких как расшифровка, анализ оборудования, криминалистическая экспертиза мессенджеров, взлом паролей и анализ социальных сетей, среди прочего.
Некоторые из его уникальных особенностей включают в себя:
- Возможность клонирования устройства. Это полезно, если вы не можете удалить носитель данных устройства.
- У него есть диспетчер дисков, который удобен, когда вы хотите легко визуализировать и идентифицировать подключенные диски и их соответствующие разделы.
- Он ведет автоматический журнал, который можно сохранить на любом устройстве.
- Он поставляется с платформой Autopsi Digital Forensics Platform, которая представляет собой технологию проверки жесткого диска, основанную на технологии Basis.
Различные версии программного обеспечения доступны в рамках предложения «назовите свою цену».
На их странице GitHub Mobile Verification Toolkit (MVT) представляет собой набор утилит для упрощения и автоматизации процесса сбора криминалистических следов, которые полезны для выявления потенциально скомпрометированных устройств Android и iOS. MVT был создан и опубликован Amnesty International Security Lab 2021.
Этот инструмент разработан специально для устройств Android и iOS, чтобы позволить им обнаруживать шпионское ПО, такое как шпионское ПО Pegasus, разработанное и проданное правительствам, что позволяет им шпионить за телефонами людей.
MVT очень эффективен для определения того, было ли вредоносное программное обеспечение, такое как шпионское ПО, установлено на устройстве Android или iOS без ведома пользователя.
Инструмент криминалистики Windows Media состоит из трех частей: анализа изображений, анализа видео и действий пользователя. Все это используется для анализа фотографий и видео, сохраненных в приложении Windows Photos. Поскольку компьютеры могут хранить большое количество фотографий и видео, просмотреть их все может быть сложно, и здесь на помощь приходит Windows Media Forensics.
Инструмент может анализировать изображения и видео и идентифицировать лица, людей, теги, персонажей и местоположения в сохраненных изображениях и видео. Он также может определить, когда они были сняты, модель используемой камеры и производителя камеры.
Кроме того, это позволяет следователю узнать, когда пользователь обращался к сохраненным фото и видео и какие изменения были в них внесены. Вся эта информация предоставляется в удобочитаемом формате, а записанные данные могут быть скопированы для последующего анализа.
Учетные данныеFileView
CredentialsFileView — это инструмент операционной системы Windows, который расшифровывает и отображает данные, хранящиеся в файлах учетных данных операционной системы.
В файлах учетных данных Windows хранятся такие файлы, как пароли для входа на компьютер и удаленные компьютеры в компьютерной сети LAN. Он также хранит пароли для учетных записей Windows Messenger, почтовых учетных записей и пароли для защищенных паролем веб-сайтов, доступ к которым осуществляется через Internet Explorer.
Этот инструмент работает в версиях Windows до Windows 10 и поддерживает как 32-разрядные, так и 64-разрядные системы.
Хэшкэт
Hashcat — популярный инструмент для взлома паролей, широко используемый тестировщиками на проникновение, системными администраторами, преступниками и шпионами.
Для безопасного хранения паролей пароли преобразуются в неразборчивую строку цифр и букв путем пропускания их через алгоритм хеширования. Hashcat угадывает пароли, хэширует их, сравнивает с сохраненным хешем и повторяет процесс до тех пор, пока не будет найден правильный пароль. Hashcat поддерживает все существующие форматы хэшей и может использовать системный графический процессор для ускорения взлома паролей.
Hashcat может выполнять различные атаки для взлома паролей. Эти атаки включают в себя атаку по словарю, атаку по комбинатору, атаку по маске и наиболее эффективную атаку — атаку на основе правил.
Если вам нужно взломать пароли. Это ваш инструмент.
Взломщик паролей John the Ripper
Взломщик паролей John the Ripper — это бесплатный инструмент с открытым исходным кодом для проверки безопасности паролей и восстановления паролей. Его можно использовать для поиска и взлома слабых паролей в системе.
Этот инструмент поддерживает сотни хэшей и шифров, включая хэши, используемые в паролях, хранящихся в системах на базе UNIX, Windows, macOS, веб-приложениях, таких как WordPress, серверах баз данных, таких как SQL, и зашифрованных закрытых ключах в криптовалютных кошельках, среди прочего.
Однако, в отличие от Hashcat, John the Ripper может использовать GPU-ускорение для ускорения взлома паролей.
Заключение
Криминалистическая расшифровка выполняется с использованием широкого спектра инструментов, каждый из которых имеет уникальное применение. Определенные инструменты лучше всего подходят для определенных задач, таких как взлом пароля для тестирования на проникновение, в случае с Hashcat.
Чтобы определить правильный инструмент, который поможет вам в вашем расследовании, важно сначала определить характер вашего расследования и то, чего вы хотите достичь. Оттуда вы можете принять решение о том, какой инструмент использовать из обсуждаемых в этой статье.
