SIFT – от института SANS, на базе ОС Ubuntu (версии ОС обновляются и поддерживаются).
FLARE VM by Mandiant – на базе ОС Windows 7 & Windows 10+, в проекте поставляется скрипт который позволяет подготовить ОС, загрузить полезные утилиты, для исследования вредоносного ПО, проведения расследования на базе Windows.
TSURUGI - ОС на базе Ubuntu, собранная энтузиастами-профессионалами DFIR, содержит на своём борту все необходимые утилиты для триажа, проведения расследований.
REMnux – образ от комьюнити экспертов по анализу вредоносного ПО на базе ОС Ubuntu (версии ОС обновляются и поддерживаются), идеально подходит для анализа вредоносного ПО, уже предустановлены все необходимые утилиты.
Kali – известная многим ОС Kali не только годна для пентеста, но также имеет Forensics Mode.
Исследование сетевого трафика на наличие артефактов
NetworkMiner – есть триалка, очень удобная утилита по анализу дампа трафика.
WireShark - бесплатная и, пожалуй, лучший софт для анализа в оффлайн/онлайн режиме.
naft-gfe.py – позволяет извлекать дамп трафика в формате .PCAP из дампов оперативной памяти для дальнейшего анализа.
Ethscan (by Jamaal) – плагин для Volatility, позволяет извлекать сетевой трафик в формате pcap и анализировать его.
netstat.exe – нативная утилита для динамического анализа активности.
TCPView.exe - для динамического анализа активности.
Работа с дампами оперативной памяти
FTK Imager - софт для сбора и анализа артефактов в Windows (Есть Demo)
Python-ntfs - библиотека для анализа NTFS на python
Анализ артефактов ОС Linux
usbrip - is a simple forensics tool with command line interface that lets you keep track of USB device artifacts (i.e., USB event history) on Linux machines.
Централизованный сбор артефактов (Triage) c ОС Linux
CatScale - проект впервые представлен в 2019 году на SANS DFIR Summit, в текущее время активно поддерживается и развивается. Инструментарий позволяет собрать большинство необходимых для расследований артефактов в *nix.
Velociraptor - ещё один фреймворк для сбора артефактов с разных ОС (в тч Windows), кроме возможности удаленно собирать артефакты, имеет удобный веб-интерфейс и даже public API.
Google Rapid Response - позволяет развернуть клиент серверную архитектуру для централизованного сбора артефактов с хостов и проведения расследования.
TuxResponse - более простая реализация инструмента для траижа.
Unix_Collector - ещё один bash-скрипт для сбора базовых артефактов.
Централизованный сбор артефактов (Triage) c ОС Windows
CyLR — Live Response Collection tool by Alan Orlikoski and Jason Yegge, довольно быстрый сбор необходимых артефактов без использования Win API, на выходе zip файл.
KAPE - Live Response Collection tool by Eric Zimmerman and team, содержит различные шаблоны для триажа. Является одной из самых популярных утилит для сбора артефактов с Windows систем.
EDD - Encrypted Disk Detector by Magnet Forensics, бесплатная утилита для проверки шифрования диска.
Velociraptor - ещё один фреймворк для сбора артефактов.
Полезная литература
The Art of Memory Forensics by Michael Hale Ligh, Andrew Case, Jamie Levy, Aaron Walters;
File System Forensics Analysis by Brian Carrier;
Windows Registry Forensics Advanced Digital Forensic Analysis of the Windows Registry by Harlan Carvey;
Windows Forensics Analysis by Harlan Carvey;
Digital Forensics and Incident Response by Gerard Johansen;
INCIDENT RESPONSE & COMPUTER FORENSICS, SECOND EDITION by Kevin Mandia, Chris Prosise & Matt Pepe;
FORENSIC ANALYSIS OF UNALLOCATED SPACE IN WINDOWS REGISTRY HIVE FILES by Jolanta Thomassen (диссертация);
