8 найкращих інструментів криміналістичного дешифрування, які допоможуть у розслідуванні

Автор

Останніми роками технології розвиваються не по днях, а по годинах, струсаючи цілі галузі та галузі. Однією з сфер, яка отримала значну користь від прогресу в технології, є сфера криміналістики.

Криміналістика – це галузь, пов’язана з використанням науки для розслідування злочинів, щоб з’ясувати, чому та як щось сталося. Спеціалісти вивчають докази, які можуть бути представлені в суді для розкриття злочину.

Застосування технологій у криміналістиці дало початок галузі криміналістики, яка називається цифровою криміналістикою. Цифрова криміналістика передбачає дослідження та пошук доказів, що зберігаються в цифрових пристроях, таких як мобільні телефони та персональні комп’ютери, з метою розкриття комп’ютерних злочинів.

Щоб ефективно виконувати свої обов’язки, спеціалісти з цифрової криміналістики стикаються з однією серйозною перешкодою – шифруванням. Шифрування – це спосіб кодування даних у секретний код для запобігання доступу до даних неавторизованих сторін. Завдяки інструментам шифрування, таким як AxCrypt і NordLocker, і таким операційним системам, як Windows і macOS, які дозволяють користувачам шифрувати свої дані, цифровій криміналістиці стає важче відновлювати дані з цифрових пристроїв.

Повсюдне поширення інструментів шифрування створює потребу в інструментах криміналістичного дешифрування. Це спеціалізоване програмне забезпечення, яке повертає зашифровані дані в їхню оригінальну форму, зрозумілу людині. Такі інструменти покликані допомогти криміналістиці збирати дані із зашифрованих файлів у цифрових пристроях, щоб допомогти у розслідуванні злочинів.

Переваги використання криміналістичних засобів дешифрування

Нижче наведено деякі з переваг використання інструментів криміналістичного дешифрування:

  • Швидкість. Інструменти судово-медичної експертизи дозволяють експертам-криміналістам розшифровувати великі обсяги даних, незалежно від їхньої складності, за значно коротший час.
  • Простий у використанні – щоб розшифрувати зашифровані дані, потрібне глибоке розуміння програмування, математики та криптографії. Однак з інструментами дешифрування вам не потрібно бути експертом у будь-якому з них, оскільки інструменти дешифрування справляються з усіма важкими завданнями за вас.
  • Більше інструментів у вашому розпорядженні – Інструменти криміналістичного дешифрування надають вам великий набір інструментів для виконання таких дій, як аналіз реєстру комп’ютера, відновлення пароля та відновлення видалених файлів на додаток до дешифрування файлів.
  • Точність – Судові докази можуть бути оскаржені в суді; тому його точність дуже важлива. Інструменти криміналістичного дешифрування проходять масштабне тестування та можуть працювати з різними алгоритмами дешифрування, що дозволяє збирати дуже точні дані.

Фактори, які слід враховувати під час вибору засобу криміналістичного дешифрування

Усі інструменти криміналістичного дешифрування не однакові. Вибираючи засіб криміналістичного дешифрування, слід враховувати наступне:

  • Прискорення GPU – передбачає використання графічного процесора (GPU) комп’ютера для прискорення виконання інтенсивних операцій. Це значно скорочує час, необхідний для виконання криміналістичного дешифрування великих обсягів даних.
  • Розшифровка FDE – повне шифрування диска (FDE) – це механізм безпеки, за допомогою якого всі дані на жорсткому диску за замовчуванням шифруються за допомогою шифрування на рівні диска без необхідності користувачам самостійно виконувати шифрування. Оскільки багато компаній використовують FDE, важливо вибрати інструмент, який може розшифровувати повнодискові зашифровані жорсткі диски.
  • Підтримувані типи файлів – багато типів файлів, як-от архівні файли, документи Word, PDF тощо, можна зашифрувати. Таким чином, різні засоби криміналістичного дешифрування підтримують криміналістичне дешифрування лише певних типів файлів. Тому, вибираючи інструмент криміналістичного дешифрування, дізнайтеся, чи підтримує він тип файлів, які ви хочете розшифрувати.
  • Виявлення зашифрованих файлів – під час криміналістичного опису у великій системі інколи буває важко знайти всі зашифровані файли, які можуть містити потрібну інформацію. Як результат, вибір інструменту криміналістичного дешифрування, який може виявити та показати вам усі зашифровані файли в системі, заощадить вам масу часу.
  • Невідстежуваність – ідеальний криміналістичний інструмент дешифрування не повинен залишати слідів після дешифрування. Цільові файли мають залишатися незмінними, і не повинно залишатися слідів розшифровки. Це пояснюється тим, що розслідування часто виграють від того, що їх неможливо відстежити, щоб уникнути підозр і контрзаходів щодо вправ. Як наслідок, криміналістичне дешифрування, яке неможливо відстежити, є ідеальним.
  Ця пошукова система може знайти будь-який комікс Calvin & Hobbes на основі ключового слова

Зараз існує багато інструментів дешифрування, доступних для судових експертів, які цікавляться цифровою криміналістикою. Однак не всі мають однакові можливості.

Ось найкращі інструменти криміналістичного дешифрування, які допоможуть вам у розслідуванні.

Passware Kit Ultimate

Passware Kit Ultimate — це найновіший флагманський продукт від Passware, компанії, яка розробляє інструменти відновлення та дешифрування паролів для різних користувачів. Згідно з їхнім веб-сайтом, продукти Passware використовуються провідними правоохоронними органами світу для злому справ, які потребують дешифрування.

Цей інструмент дешифрування має низку функцій, які роблять його першим у цьому списку.

  • Відновлення пароля для понад 340 типів файлів – Passware Kit Ultimate дозволяє відновлювати паролі з широкого діапазону файлів, включаючи архівні файли, біткойн-гаманці, документи Word і QuickBooks тощо. Він навіть дозволяє відновлювати паролі, зашифровані такими інструментами шифрування, як AxCrypt і VeraCrypt.
  • Можливість видобувати дані та відновлювати паролі з понад 250 мобільних пристроїв, починаючи від iPhone і закінчуючи популярними брендами Android, такими як Samsung, Nokia, Huawei та LG. Ви навіть можете отримати дані із зашифрованих мобільних пристроїв.
  • Повне дешифрування диска – Passware Kit Ultimate може розшифровувати або відновлювати паролі з дисків за допомогою повного шифрування диска.
  • Апаратне прискорення – Passware Kit Ultimate дозволяє використовувати графічні процесори NVIDIA та AMD для прискорення процесу відновлення пароля та дешифрування, дозволяючи вам працювати з великою кількістю файлів за набагато коротший час.
  • Розшифровка комп’ютерів Mac за допомогою чіпа безпеки Apple T2 – Passware Kit Ultimate містить додатковий компонент, який можна використовувати для розшифровки комп’ютерів Mac за допомогою чіпа безпеки Apple T2.

Passware Kit Ultimate не має безкоштовної пробної версії, але пропонує 30-денну гарантію повернення грошей на продукт.

Elcomsoft Forensic Disk Decryptor

Elcomsoft Forensic Disk Decryptor — це інструмент дешифрування, який надає миттєвий доступ до даних, зашифрованих за допомогою BitLocker, FileVault 2, TrueCrypt, Veracrypt і PGP Disk.

  Як Gravis PC GamePad змінив ігри для ПК у 90-х

Деякі унікальні функції Elcomsoft Forensic Disk Decryptor включають:

  • Операція з нульовим слідом – використання Elcomsoft Forensic Disk Decryptor не залишає слідів від операції дешифрування. Усю операцію дешифрування неможливо виявити.
  • Надає доступ до метаданих шифрування – ця функція корисна, якщо для доступу до зашифрованих даних потрібен доступ до вихідного текстового пароля.
  • Доступ до зашифрованої інформації в режимі реального часу – Elcomsoft Forensic Disk Decryptor виконує дешифрування на льоту, дозволяючи користувачеві монтувати зашифрований том як літеру диска та мати доступ до зашифрованих даних у режимі реального часу.

Крім того, він пропонує повне розшифровування диска та автоматичний пошук, ідентифікацію та відображення зашифрованих томів і відомостей про параметри шифрування тому. Elcomsoft пропонує безкоштовну пробну версію криміналістичного дешифратора.

Паладин

Paladin forensics suite — це завантажувальний криміналістичний дистрибутив Linux на основі Ubuntu, який доступний як для 32-розрядних, так і для 64-розрядних комп’ютерів. Він розроблений компанією SUMURI, яка розробляє програмне та апаратне забезпечення, пов’язане з цифровими доказами, комп’ютерною криміналістикою та електронним виявленням.

Після того, як користувач завантажує пакет криміналістичної експертизи Paladin, він отримує доступ до понад 100 попередньо скомпільованих криміналістичних інструментів з відкритим кодом для виконання широкого спектру завдань, таких як дешифрування, аналіз апаратного забезпечення, криміналістика месенджерів, виявлення паролів і аналіз соціальних мереж, серед яких інші.

Деякі з його унікальних особливостей включають:

  • Можливість клонування пристроїв. Це корисно, якщо ви не можете видалити носій даних пристрою
  • Він має диспетчер дисків, який стане в нагоді, коли ви хочете легко візуалізувати та ідентифікувати підключені диски та їхні відповідні розділи.
  • Він автоматично веде журнал, який можна зберігати на будь-якому пристрої
  • Поставляється з платформою Autopsy Digital Forensics Platform, яка є технологією дослідження жорстких дисків, розробленою технологією Basis.

Різні версії програмного забезпечення доступні за пропозицією «назвіть свою ціну».

На їхній сторінці GitHub Mobile Verification Toolkit (MVT) — це набір утиліт для спрощення й автоматизації процесу збору криміналістичних слідів, корисних для виявлення потенційної небезпеки пристроїв Android та iOS. MVT створила та випустила Amnesty International Security Lab у 2021 році.

Цей інструмент розроблено спеціально для пристроїв Android та iOS, щоб дозволити їм виявляти шпигунське програмне забезпечення, таке як Pegasus Spyware, яке було розроблено та продано урядам, що дозволяє їм шпигувати за телефонами людей.

MVT дуже ефективний у визначенні того, чи шкідливе програмне забезпечення, наприклад шпигунське програмне забезпечення, було встановлено на пристрої Android або iOS без відома користувача.

Інструмент Windows Media forensics складається з трьох частин: аналіз зображення, аналіз відео та дії користувача. Усе це використовується для аналізу фотографій і відео, які зберігаються в програмі Windows Photos. Оскільки комп’ютери можуть зберігати велику кількість фотографій і відео, може бути важко переглянути їх усі, і саме тут стає в нагоді криміналістика Windows Media.

  Як упакувати електроніку для авіаперельотів

Інструмент може аналізувати зображення та відео та ідентифікувати обличчя, людей, теги, персонажів і місця на збережених зображеннях і відео. Він також може визначити, коли вони були зняті, модель використаної камери та виробника камери.

Крім того, це дозволяє досліднику з’ясувати, коли користувач отримав доступ до збережених фотографій і відео та які зміни були внесені до них. Уся ця інформація надається в зручному для читання форматі, а зібрані дані можуть бути створені для подальшого аналізу.

CredentialsFileView

CredentialsFileView — це інструмент для операційної системи Windows, який розшифровує та відображає дані, що зберігаються у файлах облікових даних операційної системи.

Файли облікових даних операційної системи Windows зберігають такі файли, як паролі для входу до комп’ютера та віддалених комп’ютерів у локальній мережі комп’ютера. Він також зберігає паролі облікових записів Windows Messenger, облікових записів електронної пошти та паролі захищених паролем веб-сайтів, доступ до яких здійснюється через Internet Explorer.

Цей інструмент працює на версіях Windows до Windows 10 і підтримує як 32-розрядні, так і 64-розрядні системи.

Hashcat

Hashcat — це популярний інструмент для злому паролів, який широко використовується тестувальниками проникнення, системними адміністраторами, злочинцями та шпигунами.

Для безпечного зберігання паролів паролі перетворюються на незрозумілий рядок цифр і літер шляхом проходження їх через алгоритм хешування. Hashcat вгадує паролі, хешує їх і порівнює зі збереженим хешем і повторює процес, доки не буде знайдено правильний пароль. Hashcat підтримує всі існуючі хеш-формати та може використовувати графічний процесор системи для прискорення злому паролів.

Hashcat може виконувати різні атаки для злому паролів. Ці атаки включають словникові атаки, комбінаторні атаки, атаки за масками та найефективнішу атаку на основі правил.

Якщо потрібно зламати паролі. Це ваш улюблений інструмент.

Зломщик паролів Джон Різник

Зломщик паролів John the Ripper — це безкоштовний інструмент з відкритим вихідним кодом для перевірки безпеки паролів і відновлення паролів. Його можна використовувати для пошуку та злому слабких паролів у системі.

Цей інструмент підтримує сотні хешів і шифрів, у тому числі хешування, яке використовується в паролях, що зберігаються в системах на базі UNIX, операційних системах Windows, macOS, веб-додатках, таких як WordPress, серверах баз даних, таких як SQL, і зашифрованих приватних ключах у криптовалютних гаманцях тощо.

Однак, на відміну від Hashcat, Джон Різник може використовувати GPU Acceleration для прискорення злому паролів.

Висновок

Криміналістичне дешифрування виконується за допомогою широкого спектру інструментів, кожен із яких має унікальне застосування. Певні інструменти найкраще підходять для конкретних завдань, наприклад, для злому паролів для тестування на проникнення, у випадку Hashcat.

Щоб визначити правильний інструмент, який допоможе у вашому розслідуванні, важливо спочатку визначити характер вашого розслідування та те, що ви хочете досягти. Після цього ви можете прийняти рішення про те, який інструмент використовувати з тих, які обговорювалися в цій статті.