8 лучших инструментов криминалистической дешифровки для помощи в расследованиях

В последние годы технологии развиваются как на дрожжах, потрясая целые отрасли и области. Одной из областей, которая значительно выиграла от достижений в области технологий, является область криминалистики .

Криминалистика — это область, связанная с использованием науки для расследования преступлений, чтобы выяснить, почему и как что-то произошло. Поле исследует и придумывает доказательства, которые могут быть представлены в суде, чтобы помочь раскрыть преступление.

Применение технологий в криминалистике привело к возникновению отрасли криминалистики, называемой цифровой криминалистикой. Цифровая криминалистика включает в себя расследование и поиск доказательств, хранящихся в цифровых устройствах, таких как мобильные телефоны и персональные компьютеры, с целью раскрытия преступлений, связанных с компьютерами.

Чтобы эффективно выполнять свои обязанности, специалисты по цифровой криминалистике сталкиваются с одним серьезным препятствием — шифрованием . Шифрование — это способ скремблирования данных в секретный код для предотвращения доступа к данным посторонних лиц. Благодаря инструментам шифрования, таким как AxCrypt и NordLocker, и операционным системам, таким как Windows и macOS, позволяющим пользователям шифровать свои данные, специалистам по цифровой криминалистике становится все труднее восстанавливать данные с цифровых устройств.

Повсеместное распространение инструментов шифрования создает потребность в криминалистических инструментах дешифрования. Это специализированное программное обеспечение, которое преобразует зашифрованные данные обратно в их первоначальную удобочитаемую форму. Такие инструменты предназначены для помощи криминалистам в сборе данных из зашифрованных файлов на цифровых устройствах для помощи в расследовании преступлений.

Преимущества использования криминалистических инструментов дешифрования

Ниже приведены некоторые преимущества использования инструментов криминалистического дешифрования:

• Скорость — инструменты криминалистической расшифровки позволяют экспертам-криминалистам расшифровывать большие объемы данных, независимо от их сложности, за гораздо более короткое время.
• Простота в использовании . Чтобы расшифровать зашифрованные данные, необходимо глубокое понимание программирования, математики и криптографии. Однако с инструментами дешифрования вам не нужно быть экспертом ни в одном из них, так как инструменты дешифрования берут на себя всю тяжелую работу за вас.
• Дополнительные инструменты в вашем распоряжении . Инструменты судебной расшифровки предоставляют вам большой набор инструментов для выполнения таких действий, как анализ реестра компьютера, восстановление пароля и восстановление удаленных файлов в дополнение к расшифровке файлов.
• Точность . Судебно-медицинские доказательства могут быть подвергнуты сомнению в суде; поэтому его точность очень важна. Инструменты криминалистического дешифрования проходят масштабное тестирование и могут работать с различными алгоритмами дешифрования, что позволяет собирать очень точные данные.

Факторы, которые следует учитывать при выборе инструмента криминалистического дешифрования

Все инструменты криминалистической дешифровки не одинаковы. Ниже приведены соображения, которые следует учитывать при выборе инструмента судебного расшифровки:

• Ускорение графического процессора . Это влечет за собой использование графического процессора компьютера (GPU) для ускорения выполнения ресурсоемких операций. Это позволяет значительно сократить время, необходимое для криминалистической расшифровки больших объемов данных.
• Расшифровка FDE — полное шифрование диска (FDE) — это механизм безопасности, при котором все данные на жестком диске шифруются по умолчанию с использованием шифрования на уровне диска, и пользователям не нужно выполнять шифрование самостоятельно. Поскольку многие предприятия используют FDE, важно выбрать инструмент, который может расшифровывать жесткие диски, зашифрованные на весь диск.
• Поддерживаемые типы файлов . Многие типы файлов, такие как архивные файлы, текстовые документы, pdf и т. д., могут быть зашифрованы. Таким образом, различные инструменты криминалистического дешифрования поддерживают криминалистическое дешифрование только для определенных типов файлов. В результате, выбирая инструмент для судебной расшифровки, узнайте, поддерживает ли он тип файлов, которые вы хотите расшифровать.
• Обнаружение зашифрованных файлов. При выполнении криминалистического описания в большой системе иногда бывает сложно найти все зашифрованные файлы, которые могут содержать необходимую информацию. В результате выбор инструмента криминалистической расшифровки, который может обнаружить и показать вам все зашифрованные файлы в системе, сэкономит вам массу времени.
• Неотслеживаемость . Идеальный инструмент судебной расшифровки не должен оставлять никаких следов после расшифровки. Все целевые файлы должны оставаться неизменными, и не должно оставаться никаких следов расшифровки. Это связано с тем, что расследование часто выигрывает от того, что его нельзя отследить, чтобы избежать подозрений и контрмер в отношении учений. В результате неотслеживаемая криминалистическая расшифровка идеальна.

В настоящее время экспертам-криминалистам, интересующимся цифровой криминалистикой, доступно множество инструментов дешифрования. Однако не все обладают одинаковыми возможностями.

Вот лучшие инструменты судебной расшифровки, которые помогут вам в ваших расследованиях.

Комплект Passware Ultimate

Passware Kit Ultimate — новейший флагманский продукт компании Passware, которая производит инструменты для восстановления и расшифровки паролей для разных пользователей. Согласно их веб-сайту, продукты Passware используются ведущими правоохранительными органами мира для раскрытия дел, требующих расшифровки.

Этот инструмент дешифрования имеет ряд функций, благодаря которым он занимает первое место в этом списке.

• Восстановление паролей для более чем 340 типов файлов — Passware Kit Ultimate позволяет восстанавливать пароли к широкому спектру файлов, включая архивные файлы, биткойн-кошельки, текстовые документы и QuickBooks, среди прочих. Он даже позволяет восстанавливать пароли, зашифрованные такими инструментами шифрования, как AxCrypt и VeraCrypt.
• Возможность извлекать данные и восстанавливать пароли с более чем 250 мобильных устройств, от iPhone до популярных брендов Android, таких как Samsung, Nokia, Huawei и LG. Вы даже можете извлекать данные с зашифрованных мобильных устройств.
• Полное расшифрование диска — Passware Kit Ultimate может расшифровывать или восстанавливать пароли с дисков с полным шифрованием диска.
• Аппаратное ускорение — Passware Kit Ultimate позволяет использовать графические процессоры NVIDIA и AMD для ускорения процесса восстановления и расшифровки паролей, позволяя работать с большим количеством файлов за гораздо меньшее время.
• Расшифровка компьютеров Mac с помощью Apple T2 Security Chip — Passware Kit Ultimate содержит надстройку, которую можно использовать для расшифровки компьютеров Mac с помощью Apple T2 Security Chip.

Passware Kit Ultimate не имеет бесплатной пробной версии, но предлагает 30-дневную гарантию возврата денег на продукт.

Elcomsoft Forensic Disk Decryptor

Elcomsoft Forensic Disk Decryptor — это инструмент для расшифровки, который дает вам мгновенный доступ к данным, зашифрованным с помощью BitLocker, FileVault 2, TrueCrypt, Veracrypt и PGP Disk.

Некоторые уникальные особенности Elcomsoft Forensic Disk Decryptor включают в себя:

• Операция с нулевым следом — использование Elcomsoft Forensic Disk Decryptor не оставляет следов операции расшифровки. Вся операция дешифрования не поддается обнаружению.
• Предоставляет доступ к метаданным шифрования — эта функция полезна, если вам нужно получить доступ к исходному текстовому паролю для доступа к зашифрованным данным.
• Доступ к зашифрованной информации в режиме реального времени – Elcomsoft Forensic Disk Decryptor выполняет расшифровку «на лету», позволяя пользователю монтировать зашифрованный том как букву диска и иметь доступ к зашифрованным данным в режиме реального времени.

Кроме того, он предлагает полную расшифровку диска и автоматически ищет, идентифицирует и отображает зашифрованные тома и сведения о настройках шифрования тома. «Элкомсофт» предлагает бесплатную пробную версию судебного расшифровщика.

Паладин

Пакет Paladin forensics — это загрузочный дистрибутив Linux для судебной экспертизы, основанный на Ubuntu, который доступен как для 32-разрядных, так и для 64-разрядных компьютеров. Он разработан SUMURI, которая разрабатывает программное и аппаратное обеспечение, связанное с цифровыми доказательствами, компьютерной криминалистикой и обнаружением электронных данных.

После того, как пользователь загрузит криминалистический пакет Paladin, он получит доступ к более чем 100 предварительно скомпилированным криминалистическим инструментам с открытым исходным кодом для выполнения широкого круга задач, таких как расшифровка, анализ оборудования, криминалистическая экспертиза мессенджеров, обнаружение паролей и анализ социальных сетей, среди другие.

Некоторые из его уникальных особенностей включают в себя:

• Возможность клонирования устройств. Это полезно, если вы не можете удалить носитель с устройства.
• В нем есть диспетчер дисков, который пригодится, если вы хотите легко визуализировать и идентифицировать подключенные диски и их соответствующие разделы.
• Он ведет автоматический журнал, который может храниться на любом устройстве.
• Поставляется с платформой Autopsy Digital Forensics Platform, которая представляет собой технологию исследования жестких дисков, созданную технологией Basis.

Различные версии программного обеспечения доступны в рамках предложения «назовите свою цену».

Набор инструментов для мобильной проверки (MVT)

На их странице GitHub Mobile Verification Toolkit (MVT) представляет собой набор утилит для упрощения и автоматизации процесса сбора криминалистических следов, полезных для выявления потенциальной компрометации устройств Android и iOS. MVT был создан и выпущен Amnesty International Security Lab в 2021 году.

Этот инструмент был разработан специально для устройств Android и iOS, чтобы позволить им обнаруживать шпионское ПО, такое как Pegasus Spyware, которое было разработано и продано правительствам, что позволяет им шпионить за телефонами людей.

MVT очень эффективен для определения того, было ли вредоносное программное обеспечение, такое как шпионское ПО, установлено на устройстве Android или iOS без ведома пользователя.

Криминалистическая экспертиза Windows Media

Средство судебной экспертизы Windows Media состоит из трех частей: анализа изображений, анализа видео и действий пользователя. Все они используются для анализа фотографий и видео, хранящихся в приложении Windows Photos. Поскольку компьютеры могут хранить большое количество фотографий и видео, просмотреть их все может быть сложно, и здесь на помощь приходит криминалистическая экспертиза Windows Media.

Инструмент может анализировать изображения и видео и идентифицировать лица, людей, теги, персонажей и местоположения в сохраненных изображениях и видео. Он также может определить, когда они были сняты, модель используемой камеры и производителя камеры.

Кроме того, это позволяет следователю узнать, когда пользователь получил доступ к сохраненным фотографиям и видео и какие изменения были в них внесены. Вся эта информация предоставляется в удобочитаемом формате, а собранные данные могут быть скопированы для последующего анализа.

Учетные данныеFileView

CredentialsFileView — это инструмент для операционной системы Windows, который расшифровывает и отображает данные, хранящиеся в файлах учетных данных операционной системы.

В файлах учетных данных операционной системы Windows хранятся такие файлы, как пароли входа в систему для компьютера и удаленных компьютеров в локальной сети компьютера. Он также хранит пароли учетных записей Windows Messenger, почтовых учетных записей и пароли защищенных паролем веб-сайтов, доступ к которым осуществляется через Internet Explorer.

Этот инструмент работает в версиях Windows до Windows 10 и поддерживает как 32-разрядные, так и 64-разрядные системы.

Хэшкэт

Hashcat — популярный инструмент для взлома паролей, который широко используется тестировщиками на проникновение, системными администраторами, преступниками и шпионами.

Для безопасного хранения паролей пароли преобразуются в неразборчивую строку цифр и букв путем пропускания их через алгоритм хеширования. Hashcat угадывает пароли, хеширует их и сравнивает с сохраненным хешем, а затем повторяет процесс до тех пор, пока не будет найден правильный пароль. Hashcat поддерживает все существующие форматы хэшей и может использовать системный графический процессор для ускорения взлома паролей.

Hashcat может выполнять различные атаки для взлома паролей. Эти атаки включают атаку по словарю, атаку по комбинатору, атаку по маске и наиболее эффективную атаку — атаку на основе правил.

Если вам нужно взломать пароли. Это ваш основной инструмент.

Взломщик паролей John the Ripper

Взломщик паролей John the Ripper — это бесплатный инструмент с открытым исходным кодом для проверки безопасности паролей и восстановления паролей. Его можно использовать для поиска и взлома слабых паролей в системе.

Этот инструмент поддерживает сотни хэшей и шифров, в том числе хэши, используемые в паролях, хранящихся в системах на базе UNIX, операционных системах Windows, macOS, веб-приложениях, таких как WordPress, серверах баз данных, таких как SQL, и зашифрованных закрытых ключах в криптовалютных кошельках, среди прочего.

Однако, в отличие от Hashcat, John the ripper может использовать ускорение графического процессора для ускорения взлома паролей.

Вывод

Криминалистическая расшифровка выполняется с использованием широкого спектра инструментов, каждый из которых имеет уникальное применение. Определенные инструменты лучше всего подходят для конкретных задач, таких как взлом пароля для тестирования на проникновение, в случае с Hashcat.

Чтобы определить правильный инструмент для помощи в вашем расследовании, важно, чтобы вы сначала определили характер вашего расследования и то, чего вы хотите достичь. Оттуда вы можете принять решение о том, какой инструмент использовать из тех, которые обсуждались в этой статье.