調査に役立つ8つの最高のフォレンジック復号化ツール

公開: 2022-12-16

近年、テクノロジーは飛躍的に発展し、産業や分野全体を揺るがしています。 技術の進歩から大きな恩恵を受けている分野の 1 つは、科学捜査の分野です。

フォレンジックとは、科学を使って犯罪を調査し、何かが起こった理由と方法を突き止める分野です。 この分野では、犯罪を解決するために法廷で提示される可能性のある証拠を調べて見つけ出します。

フォレンジックにおけるテクノロジーの適用により、デジタル フォレンジックと呼ばれるフォレンジックの一部門が生まれました。 デジタルフォレンジックとは、携帯電話やパソコンなどのデジタル機器に保存されている証拠を調査・発見し、コンピュータ関連の犯罪を解決することを目的としています。

デジタル フォレンジックの担当者は、職務を効果的に遂行するために、暗号化という大きなハードルに直面します 暗号化は、権限のない第三者によるデータへのアクセスを防ぐために、データを秘密のコードにスクランブルする方法です。 AxCrypt や NordLocker などの暗号化ツールと、ユーザーがデータを暗号化できる Windows や macOS などのオペレーティング システムにより、デジタル フォレンジックがデジタル デバイスからデータを回復することはますます困難になっています。

暗号化ツールが遍在しているため、フォレンジック復号化ツールの必要性が生じています。 これらは、暗号化されたデータを元の人間が読める形式に変換する特殊なソフトウェアです。 このようなツールは、フォレンジックがデジタル デバイス内の暗号化されたファイルからデータを収集し、犯罪の捜査を支援することを目的としています。

フォレンジック復号化ツールを使用する利点

以下は、フォレンジック復号化ツールを使用する利点の一部です。

  • 速度– フォレンジック復号化ツールを使用すると、フォレンジックの専門家は、その複雑さに関係なく、はるかに短い時間で大量のデータを復号化できます。
  • 使いやすい– 暗号化されたデータを復号化するには、プログラミング、数学、および暗号化についての深い理解が必要です。 ただし、復号化ツールを使用すると、それらの専門家である必要はありません。復号化ツールがすべての面倒な作業を処理してくれるからです。
  • より多くのツールを自由に使用できます – フォレンジック復号化ツールは、ファイルの復号化に加えて、コンピューターのレジストリの分析、パスワードの回復、削除されたファイルの回復などのアクションを実行するための多数のツールを提供します。
  • 正確性– 法医学的証拠は法廷で疑問視される可能性があります。 したがって、その精度は非常に重要です。 フォレンジック復号化ツールは膨大なテストを受けており、復号化でさまざまなアルゴリズムを使用できるため、非常に正確なデータを収集できます。
securitylocked-3

フォレンジック復号化ツールを選択する際に考慮すべき要素

すべてのフォレンジック解読ツールが同等に作られているわけではありません。 以下は、フォレンジック復号化ツールを選択する際の考慮事項です。

  • GPU アクセラレーション– これには、コンピューターのグラフィックス プロセッシング ユニット (GPU) を利用して、負荷の高い操作の実行を高速化する必要があります。 これにより、大量のデータに対して法医学的復号化を実行するのに必要な時間が大幅に短縮されます。
  • FDE 復号化– フル ディスク暗号化 (FDE) は、ハード ドライブ内のすべてのデータがデフォルトでディスク レベルの暗号化を使用して暗号化されるセキュリティ メカニズムであり、ユーザーが自分で暗号化を実行する必要はありません。 多くの企業が FDE を利用しているため、フルディスクで暗号化されたハード ドライブを復号化できるツールを選択することが重要です。
  • サポートされているファイルの種類– アーカイブ ファイル、Word 文書、PDF など、多くのファイルの種類を暗号化できます。 そのため、さまざまなフォレンジック復号化ツールは、特定のファイル タイプでのみフォレンジック復号化をサポートしています。 その結果、フォレンジック解読ツールを選択する際に、解読したいファイルの種類をサポートしているかどうかを確認してください。
  • 暗号化されたファイルの検出– 大規模なシステムでフォレンジック記述を行っている場合、必要な情報が含まれている可能性のあるすべての暗号化されたファイルを検索するのが難しい場合があります。 その結果、システム内のすべての暗号化されたファイルを検出して表示できるフォレンジック復号化ツールを選択すると、時間を大幅に節約できます。
  • 追跡不可能 – 理想的なフォレンジック復号化ツールは、復号化後に痕跡を残さないようにする必要があります。 対象となるファイルはすべて変更されず、復号化の痕跡が残らないようにする必要があります。 これは、調査が追跡不可能であることが、疑惑や演習への対抗策の提起を避けるために役立つことが多いためです。 その結果、追跡不可能なフォレンジック復号化が理想的です。

現在、デジタル フォレンジックに関心のあるフォレンジック専門家が利用できる復号化ツールは多数あります。 ただし、すべてが同じ機能を備えているわけではありません。

調査に役立つ最高のフォレンジック復号化ツールを次に示します。

パスウェア キット アルティメット

Passware Kit Ultimate は、さまざまなユーザー向けのパスワード回復および解読ツールを製造している企業、Passware の最新の主力製品です。 同社の Web サイトによると、Passware 製品は、解読が必要な事件をクラックするために世界のトップの法執行機関によって使用されています。

YouTube ビデオ

この復号化ツールには、このリストのトップに立つ多くの機能があります。

  • 340 以上のファイル タイプのパスワード回復 – Passware Kit Ultimate を使用すると、アーカイブ ファイル、ビットコイン ウォレット、Word 文書、QuickBooks など、さまざまなファイルからパスワードを回復できます。 AxCrypt や VeraCrypt などの暗号化ツールで暗号化されたパスワードを回復することもできます。
  • iPhoneからSamsung、Nokia、Huawei、LGなどの人気のAndroidブランドまで、250を超えるモバイルデバイスからデータを抽出してパスワードを回復する機能. 暗号化されたモバイル デバイスからデータを抽出することもできます。
  • ディスク全体の復号化 – Passware Kit Ultimate は、ディスク全体の暗号化を使用して、ドライブからパスワードを復号化または復元できます。
  • ハードウェア アクセラレーション – Passware Kit Ultimate を使用すると、NVIDIA および AMD GPU を活用して、パスワードの回復と解読のプロセスを高速化し、多数のファイルをより短時間で処理できます。
  • Apple T2 Security チップを搭載した Mac の復号化 – Passware Kit Ultimate は、Apple T2 Security チップを搭載した Mac を復号化するために使用できるアドオンを提供します。

Passware Kit Ultimate には無料試用版はありませんが、製品に対して 30 日間の返金保証が提供されます。

Elcomsoft Forensic Disk Decryptor

Elcomsoft Forensic Disk Decryptor は、BitLocker、FileVault 2、TrueCrypt、Veracrypt、および PGP ディスクを使用して暗号化されたデータに即座にアクセスできる復号化ツールです。

YouTube ビデオ

Elcomsoft Forensic Disk Decryptor のユニークな機能には次のようなものがあります。

  • ゼロ フットプリント オペレーション – Elcomsoft Forensic Disk Decryptor を使用すると、復号化オペレーションのフットプリントが残りません。 復号化操作全体は検出できません。
  • 暗号化メタデータへのアクセスを提供します。この機能は、暗号化されたデータにアクセスするために元の平文パスワードにアクセスする必要がある場合に役立ちます。
  • 暗号化された情報へのリアルタイム アクセス – Elcomsoft Forensic Disk Decryptor はオンザフライで復号化を行い、ユーザーが暗号化されたボリュームをドライブ文字としてマウントし、暗号化されたデータにリアルタイムでアクセスできるようにします。

さらに、ディスク全体の復号化を提供し、暗号化されたボリュームとボリュームの暗号化設定の詳細を自動的に検索、識別、表示します。 Elcomsoft は、フォレンジック デクリプタの無料試用版を提供しています。

パラディン

Paladin フォレンジック スイートは、Ubuntu ベースのブート可能なフォレンジック Linux ディストリビューションで、32 ビットと 64 ビットの両方のコンピューターで使用できます。 デジタル証拠、コンピューターフォレンジック、eディスカバリーに関連するソフトウェアとハ​​ードウェアを開発するSUMURIによって開発されています。

YouTube ビデオ

ユーザーが Paladin フォレンジック スイートを起動すると、事前にコンパイルされた 100 を超えるオープンソースのフォレンジック ツールにアクセスして、復号化、ハードウェア分析、メッセンジャー フォレンジック、パスワード検出、ソーシャル メディア分析などの幅広いタスクを実行できます。その他。

そのユニークな機能のいくつかは次のとおりです。

  • デバイスを複製する機能。 これは、デバイスのストレージ メディアを取り外せない場合に便利です
  • 接続されているドライブとそれぞれのパーティションを簡単に視覚化して識別したい場合に便利なディスク マネージャーがあります。
  • 自動ロギングを行い、任意のデバイスに保存できます
  • Basisテクノロジーによって構築されたハードドライブ調査テクノロジーであるAutopsy Digital Forensics Platformが付属しています。

ソフトウェアのさまざまなバージョンが、「name your price」オファーの下で入手できます。

モバイル検証ツールキット (MVT)

Mobile Verification Toolkit (MVT) は、GitHub ページから入手できる一連のユーティリティであり、Android および iOS デバイスの潜在的な侵害を特定するのに役立つフォレンジック トレースを収集するプロセスを簡素化および自動化します。 MVT は、2021 年に Amnesty International Security Lab によって構築およびリリースされました。

mvt

このツールは、Android および iOS デバイス向けに特別に開発されたもので、開発されて政府に販売され、人々の電話をスパイできる Pegasus Spyware などのスパイウェアを検出できるようにします。

MVT は、スパイウェアなどの悪意のあるソフトウェアが、ユーザーの知らないうちに Android または iOS デバイスにインストールされているかどうかを識別するのに非常に効果的です。

Windows Media フォレンジック

Windows メディア フォレンジック ツールは、画像分析、ビデオ分析、およびユーザー アクションの 3 つの部分で構成されています。 これらはすべて、Windows フォト アプリケーションに保存されている写真とビデオを分析するために使用されます。 コンピューターには大量の写真やビデオを保存できるため、それらすべてを調べるのは困難な場合があります。この場合、Windows メディア フォレンジックが役立ちます。

windows-media-フォレンジック

このツールは、画像とビデオを分析し、保存されている画像とビデオ内の顔、人、タグ、文字、場所を特定できます。 また、いつ撮影されたか、使用されたカメラのモデル、カメラのメーカーも特定できます。

さらに、調査員は、ユーザーが保存された写真やビデオにいつアクセスしたか、およびそれらにどのような変更が加えられたかを知ることができます。 このすべての情報は人間が読める形式で提供され、キャプチャされたデータは将来の分析のためにバックアップできます。

CredentialsFileView

CredentialsFileView は、オペレーティング システムの資格情報ファイルに格納されているデータを復号化して表示する、Windows オペレーティング システム用のツールです。

CredentialsFileView

Windows オペレーティング システムの資格情報ファイルには、コンピューターのログイン パスワードや、コンピューターの LAN 上のリモート コンピューターなどのファイルが格納されます。 また、Windows メッセンジャー アカウント、メール アカウントのパスワード、および Internet Explorer からアクセスするパスワードで保護された Web サイトのパスワードも保存します。

このツールは、Windows 10 までの Windows バージョンで動作し、32 ビットと 64 ビットの両方のシステムをサポートします。

ハッシュキャット

Hashcat は、ペネトレーション テスター、システム管理者、犯罪者、スパイによって広く使用されている、人気のあるパスワード クラッキング ツールです。

ハッシュキャット

パスワードを安全に保管するために、パスワードは、ハッシュ アルゴリズムを介して渡すことにより、判読できない数字と文字の文字列に変換されます。 Hashcat はパスワードを推測してハッシュし、保存されているハッシュと比較して、正しいパスワードが見つかるまでこのプロセスを繰り返します。 Hashcat は、既存のすべてのハッシュ形式をサポートし、システムの GPU を使用してパスワード クラッキングを高速化できます。

Hashcat は、さまざまな攻撃を実行してパスワードをクラックできます。 これらの攻撃には、辞書攻撃、コンビネータ攻撃、マスク攻撃、およびその最も効率的な攻撃であるルールベースの攻撃が含まれます。

パスワードをクラックする必要がある場合。 これは頼りになるツールです。

John the Ripper パスワード クラッカー

John the Ripper パスワード クラッカーは、無料でオープンソースのパスワード セキュリティ監査およびパスワード回復ツールです。 システム内の脆弱なパスワードを見つけてクラックするために使用できます。

ジョンテリッパー

このツールは、UNIX ベースのシステム、Windows オペレーティング システム、macOS、WordPress などの Web アプリ、SQL などのデータベース サーバー、暗号通貨ウォレットの暗号化された秘密鍵などに保存されているパスワードで使用されるハッシュを含む、数百のハッシュと暗号をサポートしています。

ただし、Hashcat とは異なり、John the ripper は GPU アクセラレーションを使用してパスワード クラッキングを高速化できます。

結論

法医学的復号化は、それぞれに固有のアプリケーションを備えたさまざまなツールを使用して行われます。 Hashcat の場合、侵入テストのためのパスワード クラッキングなど、特定のタスクに最適なツールがあります。

調査に役立つ適切なツールを決定するには、最初に調査の性質と達成したいことを決定することが重要です。 そこから、この記事で説明したツールからどのツールを使用するかを決定できます。