Em algumas ocasiões, seja como perito forense ou simplesmente como novato curioso, será necessário investigar tecnologias com ferramentas que nem sempre estão à mão. Portanto, ao longo deste post desenvolveremos uma forma simples que servirá para obter as ferramentas certas para cada evento.
Embora haja sempre a opção de realizar uma pesquisa no navegador, há tantas informações disponíveis na Internet que o desafio geralmente está em saber como filtrá-la. E no caso de procurar pelas ferramentas forenses computacionais corretas, não é uma exceção.
Em seguida, analisaremos algumas opções muito úteis que servirão para encontrar um determinado software em repositórios oficiais.
Catálogo de ferramentas para análise forense computacional do NIST
Por meio do portal do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) dos Estados Unidos, podemos encontrar uma classificação clara que permite pesquisar as diferentes ferramentas forenses filtradas de acordo com a funcionalidade.
Repositório do NIST (Instituto Nacional de Padrões e Tecnologia dos Estados Unidos).
Como você pode ver na imagem, o catálogo permite pesquisar parâmetros técnicos com base em funções forenses digitais específicas, como imagens de disco ou recuperação de arquivos excluídos. Dentro de cada categoria, podemos encontrar desde ferramentas de análise de serviços em nuvem até drones forenses ou veículos por meio de categorias como Análise de dados, Banco de dados, Recuperação de arquivos excluídos, Imagens de disco, Análise de e-mail, Análise de hash, Análise de imagens (vídeo e arquivos gráficos), Mensagens instantâneas, Captura de memória e análise, Dispositivos móveis, VoIP, Wi-Fi, etc.
Este catálogo foi feito conjuntamente por várias agências dos Estados Unidos, como o Departamento de Segurança Nacional, o Departamento de Ciência e Tecnologia, a Divisão de Cibersegurança e o Programa de Testes de Ferramentas Forenses do Instituto Nacional de Padrões e Tecnologia.
O portal é dividido em três seções: uma função de busca para encontrar ferramentas, uma página para os provedores inserirem informações sobre suas ferramentas e uma descrição das funções e parâmetros técnicos.
Resultado de ferramentas de pesquisa para análise forense de serviços em nuvem.
Na parte superior podemos visualizar o resultado da busca por ferramentas para a análise forense de serviços na nuvem, e na imagem inferior, resultados ligados ao Registro do Microsoft Windows.
Resultado da busca de ferramentas para a análise do Registro do Windows - 11 ferramentas foram encontradas.
Deve-se notar que o provedor fornece as informações de cada ferramenta. O portal esclarece que qualquer menção a um produto, seja comercial ou não, é apenas para informação e não implica que um produto tenha sido testado.
Por outro lado, este compêndio de ferramentas fornece uma imagem panorâmica da ferramenta de análise forense digital, mostrando onde há lacunas - isto é, funções para as quais não existem ferramentas e talvez a análise se torne mais complexa ou puramente manual.
Catálogo de ferramentas para análise forense computacional do DFIR Training
Outra opção muito interessante vem da mão da DFIR community, um portal muito completo que possui uma grande quantidade de recursos para responder a incidentes forenses. Além de ter um painel de busca com um ambiente gráfico mais agradável, permite deixar resenhas que avaliarão as ferramentas de acordo com a visão de cada usuário.
Painel de pesquisa do Treinamento DFIR.
Para complementar, é considerado com um dos aplicativos mais avaliados, o mais baixado, o mais atualizado, etc.
Informações sobre os aplicativos mais atualizados, mais baixados e atualizados recentemente, etc.
Para piorar, tem muitos recursos para testar as ferramentas, além de guias rápidos e infográficos.
Por fim, não esqueça que também muitas das distribuições do Linux apontadas para o pentesting possuem as ferramentas mais utilizadas, como podemos ver nas imagens abaixo.
Volatilidade: um clássico para análise de memória RAM. É executado a partir de um terminal.
Autopsy: outro clássico presente em várias distribuições Linux como Kali.
É importante lembrar que, em muitos casos, as ferramentas procuradas já estão configuradas e pré-instaladas em distribuições, mais especificamente voltadas à análise forense, como o DEFT. Eu recomendo que, antes de usá-las, leia um pouco sobre seu uso, boas práticas e atualize para a última versão disponível.
Não há mais desculpas, durante este post vimos onde é possível encontrar as ferramentas e os recursos para começar a praticar ou aperfeiçoar-se neste excitante mundo de análise forense.
