В последние годы технологии развиваются скачками, встряхивая целые отрасли и сферы. Одной из областей, которая в значительной степени выиграла от развития технологий, является криминалистика. Криминалистика — это область, связанная с использованием науки для расследования преступлений, чтобы выяснить, почему и как что-то произошло. Эта область изучает и предлагает доказательства, которые могут быть представлены в суде для раскрытия преступления. Применение технологий в криминалистике привело к появлению отрасли криминалистики, называемой цифровой криминалистикой. Цифровая криминалистика включает в себя исследование и поиск доказательств, хранящихся в цифровых устройствах, таких как мобильные телефоны и персональные компьютеры, с целью раскрытия преступлений, связанных с компьютерами.
Для эффективного выполнения своих обязанностей люди, занимающиеся цифровой криминалистикой, сталкиваются с одним серьезным препятствием — шифрованием. Шифрование — это способ преобразования данных в секретный код для предотвращения доступа к ним посторонних лиц. Поскольку такие инструменты шифрования, как AxCrypt и NordLocker, и операционные системы, такие как Windows и macOS, позволяют пользователям шифровать свои данные, цифровым криминалистам становится сложнее восстанавливать данные с цифровых устройств. Повсеместное распространение инструментов шифрования создает необходимость в инструментах криминалистической дешифровки. Это специализированное программное обеспечение, которое преобразует зашифрованные данные обратно в их первоначальную человекочитаемую форму. Такие инструменты призваны помочь криминалистам собрать данные из зашифрованных файлов на цифровых устройствах, чтобы помочь в расследовании преступлений.
Преимущества использования инструментов криминалистической дешифровки
Ниже перечислены некоторые преимущества использования инструментов криминалистической дешифровки:
- Скорость — Средства криминалистической дешифровки позволяют судебным экспертам расшифровывать большие объемы данных, независимо от их сложности, за гораздо более короткое время.
- Простота использования — Чтобы расшифровать зашифрованные данные, необходимо глубокое понимание программирования, математики и криптографии. Однако с инструментами расшифровки вам не нужно быть экспертом ни в одной из этих областей, поскольку инструменты расшифровки выполняют всю тяжелую работу за вас.
- Больше инструментов в вашем распоряжении — инструменты для криминалистической расшифровки предоставляют вам большой набор инструментов для выполнения таких действий, как анализ реестра компьютера, восстановление пароля и восстановление удаленных файлов в дополнение к расшифровке файлов.
- Точность — Доказательства судебной экспертизы могут быть поставлены под сомнение в суде, поэтому их точность очень важна. Инструменты криминалистической дешифровки проходят огромное тестирование и могут работать с различными алгоритмами дешифровки, что позволяет собирать очень точные данные.
Факторы, которые следует учитывать при выборе инструмента для криминалистической дешифровки
Все инструменты криминалистической дешифровки не одинаковы. Ниже перечислены факторы, которые необходимо учитывать при выборе инструмента для криминалистической дешифровки:
- Ускорение GPU — это использование графического процессора (GPU) компьютера для ускорения выполнения интенсивных операций. Это позволяет значительно сократить время, необходимое для выполнения криминалистической дешифровки больших объемов данных.
- Расшифровка FDE — Полное шифрование диска (FDE) — это механизм безопасности, при котором все данные на жестком диске шифруются по умолчанию с помощью шифрования на уровне диска без необходимости пользователям самостоятельно выполнять шифрование. Поскольку многие предприятия используют FDE, важно выбрать инструмент, способный расшифровать жесткие диски, зашифрованные на уровне диска.
- Поддерживаемые типы файлов — многие типы файлов, такие как архивные файлы, документы word, pdf и т.д., могут быть зашифрованы. Поэтому различные инструменты для судебной расшифровки поддерживают расшифровку только определенных типов файлов. Поэтому, выбирая инструмент для криминалистической дешифровки, узнайте, поддерживает ли он тот тип файлов, который вы хотите расшифровать.
- Обнаружение зашифрованных файлов — При проведении криминалистического описания большой системы иногда бывает трудно найти все зашифрованные файлы, которые могут содержать необходимую информацию. Поэтому, выбрав инструмент для расшифровки, который может обнаружить и показать все зашифрованные файлы в системе, вы сэкономите массу времени.
- Неотслеживаемость — идеальный инструмент для криминалистической дешифровки не должен оставлять следов после расшифровки. Все целевые файлы должны оставаться неизменными, и никаких следов расшифровки не должно оставаться. Это связано с тем, что при проведении расследований часто выгодно не оставлять следов, чтобы не вызывать подозрений и не предпринимать контрмер. Таким образом, неотслеживаемая криминалистическая дешифровка является идеальным вариантом.
В настоящее время существует множество инструментов дешифровки, доступных судебным экспертам, заинтересованным в цифровой криминалистике. Однако не все они обладают одинаковыми возможностями. Вот лучшие инструменты для расшифровки, которые помогут вам в ваших расследованиях.
Passware Kit Ultimate
Passware Kit Ultimate — это последний флагманский продукт компании Passware, которая производит инструменты для восстановления и расшифровки паролей для различных пользователей. Согласно их веб-сайту, продукты Passware используются ведущими правоохранительными органами мира для раскрытия дел, требующих дешифровки.
Этот инструмент расшифровки имеет ряд особенностей, которые позволяют ему занять первое место в этом списке.
- Восстановление паролей для 340+ типов файлов — Passware Kit Ultimate позволяет восстанавливать пароли от широкого спектра файлов, включая архивные файлы, биткоин-кошельки, документы word, QuickBooks и другие. Он даже позволяет восстанавливать пароли, зашифрованные такими инструментами шифрования, как AxCrypt и VeraCrypt.
- Возможность извлечения данных и восстановления паролей с более чем 250 мобильных устройств, начиная от iPhone и заканчивая популярными марками android, такими как Samsung, Nokia, Huawei и LG. Вы можете извлекать данные даже из зашифрованных мобильных устройств.
- Расшифровка всего диска — Passware Kit Ultimate может расшифровать или восстановить пароли с дисков с полным шифрованием.
- Аппаратное ускорение — Passware Kit Ultimate позволяет использовать графические процессоры NVIDIA и AMD для ускорения процесса восстановления и расшифровки паролей, что позволяет работать с большим количеством файлов за гораздо меньшее время.
Passware Kit Ultimate не имеет бесплатной пробной версии, но предлагает 30-дневную гарантию возврата денег на продукт.
Elcomsoft Forensic Disk Decryptor
Elcomsoft Forensic Disk Decryptor — это инструмент дешифрования, который дает вам мгновенный доступ к данным, зашифрованным с помощью BitLocker, FileVault 2, TrueCrypt, Veracrypt и PGP Disk.
Некоторые уникальные особенности Elcomsoft Forensic Disk Decryptor включают:
- Работа с нулевым следом — использование Elcomsoft Forensic Disk Decryptor не оставляет следов операции расшифровки. Вся операция дешифрования является необнаружимой.
- Предоставляет доступ к метаданным шифрования — эта функция полезна, если для доступа к зашифрованным данным необходимо получить доступ к оригинальному паролю открытого текста.
- Доступ к зашифрованной информации в режиме реального времени — Elcomsoft Forensic Disk Decryptor выполняет дешифровку «на лету», позволяя пользователю монтировать зашифрованный том как букву диска и иметь доступ к зашифрованным данным в режиме реального времени.
Кроме того, программа предлагает полную расшифровку диска и автоматически ищет, идентифицирует и отображает зашифрованные тома и подробную информацию о настройках шифрования тома. Elcomsoft предлагает бесплатную пробную версию криминалистического дешифратора.
Paladin
Криминалистический пакет Paladin — это загрузочный криминалистический дистрибутив Linux, основанный на Ubuntu и доступный как для 32-битных, так и для 64-битных компьютеров. Он разработан компанией SUMURI, которая разрабатывает программное и аппаратное обеспечение, связанное с цифровыми доказательствами, компьютерной криминалистикой и eDiscovery.
После загрузки пакета Paladin forensics suite пользователь получает доступ к более чем 100 предварительно скомпилированным инструментам криминалистики с открытым исходным кодом для выполнения широкого спектра задач, таких как расшифровка, анализ аппаратного обеспечения, криминалистика мессенджеров, подбор паролей, анализ социальных сетей и др.
Некоторые из его уникальных возможностей включают:
- Возможность клонирования устройств. Это полезно, если вы не можете извлечь носитель информации из устройства.
- Менеджер дисков, который может пригодиться, когда вы хотите легко визуализировать и идентифицировать подключенные диски и соответствующие им разделы.
- Автоматическое ведение журнала, который может быть сохранен на любом устройстве.
- Поставляется с платформой Autopsy Digital Forensics Platform, которая представляет собой технологию исследования жестких дисков, разработанную компанией Basis.
Различные версии программного обеспечения доступны по предложению «назови свою цену».
Mobile Verification Toolkit(MVT)
Со своей страницы на GitHub, Mobile Verification Toolkit(MVT) представляет собой набор утилит для упрощения и автоматизации процесса сбора криминалистических следов, полезных для выявления потенциальной компрометации устройств Android и iOS. MVT был создан и выпущен Amnesty International Security Lab в 2021 году.
Этот инструмент был разработан специально для устройств android и ios, чтобы позволить им обнаруживать шпионские программы, такие как Pegasus Spyware, которые были разработаны и проданы правительствам, позволяя им шпионить за телефонами людей. MVT очень эффективен в определении того, было ли вредоносное программное обеспечение, такое как шпионское ПО, установлено на устройство android или ios без ведома пользователя.
Windows Media Forensics
Инструмент Windows Media Forensics состоит из трех частей: анализ изображений, анализ видео и действия пользователя. Все они используются для анализа фотографий и видео, хранящихся в приложении Windows Photos. Поскольку компьютеры могут хранить большое количество фотографий и видео, бывает трудно просмотреть их все, и именно здесь на помощь приходит windows media forensics.
Инструмент может анализировать изображения и видео и идентифицировать лица, людей, метки, персонажей и места на сохраненных изображениях и видео. Он также может определить, когда они были сняты, модель использованной камеры и ее производителя. Кроме того, это позволяет следователю выяснить, когда пользователь получил доступ к сохраненным фотографиям и видео и какие изменения в них были внесены. Вся эта информация предоставляется в человекочитаемом формате, а полученные данные могут быть сохранены для последующего анализа.
CredentialsFileView
CredentialsFileView — это инструмент для операционной системы Windows, который расшифровывает и отображает данные, хранящиеся в файлах учетных данных операционной системы.
В файлах учетных данных операционной системы windows хранятся такие файлы, как пароли входа для компьютера и удаленных компьютеров в локальной сети компьютера. В них также хранятся пароли учетных записей windows messenger, почтовых аккаунтов и пароли защищенных паролем веб-сайтов, доступ к которым осуществляется через internet explorer. Этот инструмент работает на версиях Windows вплоть до Windows 10 и поддерживает как 32-битные, так и 64-битные системы.
Hashcat
Hashcat — это популярный инструмент для взлома паролей, который широко используется тестерами на проникновение, системными администраторами, преступниками и шпионами.
Для безопасного хранения паролей их преобразуют в неразборчивую строку цифр и букв, пропуская через алгоритм хэширования. Hashcat угадывает пароли, хэширует их, сравнивает с сохраненным хэшем и повторяет процесс до тех пор, пока не будет найден правильный пароль. Hashcat поддерживает все существующие форматы хэшей и может использовать графический процессор системы для ускорения взлома паролей. Hashcat может выполнять различные атаки для взлома паролей. К ним относятся атака по словарю, атака комбинаторов, атака по маске и самая эффективная атака — атака на основе правил. Если вам нужно взломать пароли. Это ваш лучший инструмент.
Взломщик паролей John the Ripper
John the Ripper password cracker — это бесплатный инструмент аудита безопасности паролей и восстановления паролей с открытым исходным кодом. Его можно использовать для поиска и взлома слабых паролей в системе.
Этот инструмент поддерживает сотни хэшей и шифров, включая хэши, используемые в паролях, хранящихся в системах на базе UNIX, операционных системах Windows, macOS, веб-приложениях, таких как WordPress, серверах баз данных, таких как SQL, и зашифрованных закрытых ключах на криптовалютных кошельках и др. Однако, в отличие от Hashcat, John the ripper может использовать GPU-ускорение для ускорения взлома паролей.
Заключение
Для криминалистической расшифровки используется широкий спектр инструментов, каждый из которых имеет уникальное применение. Некоторые инструменты лучше всего подходят для выполнения определенных задач, например, взлома паролей для тестирования на проникновение, как в случае с Hashcat. Чтобы выбрать подходящий инструмент, который поможет вам в расследовании, важно сначала определить характер вашего расследования и то, чего вы хотите добиться. После этого вы сможете принять решение о том, какой инструмент использовать из тех, что были рассмотрены в этой статье.