หน้าแรก Security Hacker 7 เครื่องมือตรวจสอบด้าน Cyber Forensic ยอดฮิตสำหรับชาวไอที

7 เครื่องมือตรวจสอบด้าน Cyber Forensic ยอดฮิตสำหรับชาวไอที

แบ่งปัน

หลายท่านคงสงสัยว่า ทูลที่เห็นกันในหนังเวลาสืบสวนทางไซเบอร์นั้น เวลาผู้เชี่ยวชาญใช้ในโลกของความจริงนั้นเลือกใช้ทูลไหนกันแน่ ก่อนอื่นการสืบสวนทางไซเบอร์หรือ Cyber Forensic นั้น คือการรวบรวมหลักฐานเพื่อใช้ในการสืบสวนต่อเนื่องหลังเกิดเหตุการณ์ไม่พึงประสงค์ โดยเกี่ยวข้องกับการเก็บรักษา, ค้นหา, คัดแยก, ทำเป็นเอกสาร, และตีความข้อมูลคอมพิวเตอร์ที่เกี่ยวข้อง

ซึ่งขั้นตอนของผู้สืบสวนด้านไซเบอร์นั้นมักเริ่มจากการแยกส่วนจำกัดบริเวณของอุปกรณ์ที่ต้องสงสัยหรือติดเชื้อออกจากเครือข่าย จากนั้นจึงตรวจสอบให้แน่ใจว่าข้อมูลของอุปกรณ์นั้นได้รับการสำรองแล้ว และไม่สามารถถูกยุ่งเกี่ยวจากภายนอกได้อีก ซึ่งอุปกรณ์ต้นฉบับนี้จะถูกกักบริเวณออก ขณะที่การสืบสวนจะทำกับข้อมูลที่สำรองคัดลอกออกมาอีกทีหนึ่ง โดยจะมองคอมพิวเตอร์ดังกล่าวเหมือนเป็นพยานที่เชื่อถือได้ และไม่สามารถหลอกลวงหรือให้การเท็จใดๆ

ซึ่งจากการสำรวจของ InfoSecInstitute นั้น ทูล 7 อันดับแรกที่ได้รับความนิยมสูงสุดในหมู่ผู้เชี่ยวชาญและเจ้าหน้าที่ที่ทำงานเกี่ยวข้องกับการสืบสวนทางไซเบอร์มีดังต่อไปนี้

1. SIFT- SANS Investigative Forensic Toolkit

ใช้ตรวจสอบดิสก์ดิบที่เพิ่งอายัติมา ทำงานบน Ubuntu อยู่ในรูปซีดีแบบไลฟ์ที่มีทูลสำหรับสืบสวนเชิงลึก ที่สำคัญคือฟรีและเป็นโอเพ่นซอร์สด้วย

2. ProDiscover Forensic

เป็นทูลค้นหาตำแหน่งข้อมูลบนดิสก์ พร้อมกับปกป้องหลักฐานและทำรายงานสำหรับใช้ในการดำเนินคดีตามกฎหมายได้อย่างสมบูรณ์ รวมไปถึงกู้ไฟล์ที่โดนลบ และตรวจสอบโปรเซสหรือข้อมูลที่ซ่อนอยู่ใน Hardware Protected Area (HPA)ได้ด้วย

3. Volatility Framework

เป็นเฟรมเวิร์กที่พัฒนาโดย Black Hat สำหรับวิเคราะห์หน่วยความจำแบบ Volatile อย่างแรมโดยเฉพาะ ที่ปกติข้อมูลจะหายไปเมื่อปิดหรือรีสตาร์ทเครื่อง

4. Sleuth Kit (+Autopsy)

เป็นชุดรวมทูลที่อยู่ในรูปคอมมานด์ไลน์ ที่เปิดให้ผู้ใช้ตรวจสอบอิมเมจของดิสก์บนอุปกรณ์ของเหยื่อ พร้อมกู้ไฟล์ที่เสียหาย นิยมนำมาใช้คู่กับทูลฟอเรนสิกตัวอื่น เช่น การใช้ Autopsy ร่วมกับ Sleuth Kit เพื่อใช้ในรูป GUI ในการตรวจสอบฮาร์ดดิสก์และสมาร์ทโฟน เป็นต้น

5. CAINE (Computer Aided Investigative Environment)

พัฒนาสำหรับทำงานบนลีนุกซ์ โดยอยู่ในรูปซีดีที่รวมฮิตทูลย่อยๆ ที่มีประโยชน์มากมาย ซึ่งเวอร์ชั่นล่าสุดถูกสร้างบน Ubuntu Linux LTS, MATE,และ LightDMจึงเหมาะกับผู้ที่คุ้นเคยกับโอเอสเหล่านี้เป็นอย่างดี

6. Xplico

เป็นทูลแบบโอเพ่นซอร์สที่สามารถกู้เนื้อหาข้อมูลจนเป็นรูปร่างสมบูรณ์ได้จากทูลที่ดูดแพ๊กเก็ตข้อมูลอย่าง Wireshark หรือ Ettercap เป็นต้น ซึ่งรองรับโปรโตคอลมากมายทั้ง HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv4, IPv6

7. X-Ways Forensics

เป็นทูลชั้นสูงที่แก้ปัญหาการเขมือบทรัพยากรอย่างหนัก และทำงานเป็นเต่าคลานของทูลตัวอื่น ด้วยการทำงานอย่างรวดเร็วไม่หน่วงเครื่อง สามารถกู้ไฟล์ที่โดนลบ พร้อมฟีเจอร์อื่นมากมาย มีอินเทอร์เฟซที่ใช้งานง่าย อยู่ในรูป Portable ที่พกพาในรูปธัมม์ไดรฟ์ได้อย่างสะดวก โดยไม่ต้องมีการติดตั้งบนระบบเพิ่มเติม

ที่มา : Hackread