sift workstation что это
КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА
COMPUTER FORENSICS AND INVESTIGATIONS
SANS Investigative Forensic Toolkit (SIFT) Workstation
SANS Investigative Forensic Toolkit (SIFT) Workstation
Поддерживает следующие образы: Encase, AFF, raw (dd);
Поддерживает следующие файловые системы: FAT, NTFS, HFS, UFS, Ext2/3.
Предустановленное ПО включает в себя:
The Sleuth Kit (TSK)
ssdeep
md5deep
Foremost/Scalpel
Wireshark
HexEditor
Vinetto
Pasco
Rifiuti
Volatility Framework (фреймворк для анализа содержимого копий оперативной памяти)
DFLabs PTK (графическая оболочка для TSK)
Autopsy (графическая оболочка для TSK)
Примечательно, что существует возможность безопасного монтирования исследуемых файловых систем с их последующим анализом на любом компьютере компьютере под управлением Windows в сети.
Спасибо. Интересная информация. Надо будет поковырять.
Только с моим медленным каналом слить с него крайне проблематично.
Digital Evidences is the international board about digital evidences.
Re: SANS Investigative Forensic Toolkit (SIFT) Workstation
Re: SANS Investigative Forensic Toolkit (SIFT) Workstation
Re: SANS Investigative Forensic Toolkit (SIFT) Workstation
Re: SANS Investigative Forensic Toolkit (SIFT) Workstation
Re: SANS Investigative Forensic Toolkit (SIFT) Workstation
Re: SANS Investigative Forensic Toolkit (SIFT) Workstation
Re: SANS Investigative Forensic Toolkit (SIFT) Workstation
Digital Evidences is the international board about digital evidences.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0
| Разработчики) | Роб Ли Харбингерс, ООО |
|---|---|
| изначальный выпуск | 13 декабря 2008 г. ( 2008-12-13 ) |
| Репозиторий | github.com/sans-dfir/sift |
| Операционная система | Ubuntu |
| Доступно в | английский |
| Тип | Компьютерная криминалистика |
| Интернет сайт | digital-forensics.sans.org |
СОДЕРЖАНИЕ
Использовать
Этот инструментарий позволяет безопасно проверять необработанные диски, несколько файловых систем и форматы доказательств. Он устанавливает строгие инструкции по проверке доказательств (только для чтения), проверяя, что доказательства не изменились.
Поддержка файловой системы
Поддержка изображений доказательств
Программного обеспечения
Функции
1) Ubuntu LTS 16.04 База
2) 64-битная базовая система
3) Обновление и настройка пакета Auto-DFIR.
4) Устройство VMware, готовое к судебной экспертизе.
5) Перекрестная совместимость между Windows и Linux.
6) Выбор: установить отдельно через (.iso) или использовать VMware player / Workstation.
10 лучших известных средств судебной экспертизы, работающих на Linux
Сейчас те дни,в которых компьютерная или цифровая судебная экспертиза очень важна из-за преступлений, связанных с компьютером, Интернетом и мобильными телефонами.
Для проведения цифрового судебного расследования необходимы инструменты для извлечения необходимой информации с устройств.
Существует несколько коммерческих инструментов для судебно-медицинской экспертизы, однако для покупки требуется огромная сумма.
Сообщество разработчиков с открытым исходным кодом также внесло свой вклад в эту область, и есть несколько инструментов с открытым исходным кодом для цифровой судебной области.
Прежде чем исследовать известные инструменты для цифровой судебной экспертизы, следующие дистрибутивы Linux также содержат множество бесплатных судебных инструментов.
1) SIFT (SANS Investigative Forensic Toolkit)
Международная команда экспертов по судебно-медицинской экспертизе, инструкторы SANS, создала workstation SANS Inident Forenic Toolkit (SIFT) для реагирования на инциденты и использования цифровой криминалистики. Судебная система SIFT свободно доступна для всего сообщества.
Бесплатный инструментарий SIFT, который может соответствовать любой современной реакции на инцидент и судебно-медицинский инструментарий, который используется в курсах SANS.
Особенности дистрибутива SIFT следующие:
Базируется на Ubuntu LTS 14.04
32-битная базовая система
Свежие судебно-медицинские инструменты и методы
VMware Appliance готова к судебной экспертизе
Кросс-совместимость между Linux и Windows
Возможность установки автономного через (.iso) или использования через VMware Player / Workstation /
2) CAINE ( Computer Aided INvestigative Environment )
CAINE – это прямой дистрибутив Linux, созданный в качестве проекта Digital Forensics.
CAINE предлагает полную судебную среду, которая организована для интеграции существующих программных средств в виде программных модулей и обеспечения графического интерфейса.
взаимодействующая среда, которая поддерживает цифровог четыры этапа цифрового расследования
удобный графический интерфейс
содержит инструменты с открытым исходным кодом
3) KALI (formerly Backtrack)
Kali Linux – это проект с открытым исходным кодом, который поддерживается и финансируется компанией Offensive Security, поставщиком услуг по обучению и защите от проникновения в мир мирового класса.
Kali Linux – это первый выбор тестера проникновения и безопасности.
Он имеет инструменты безопасности для разных целей.
Средства Open Source для анализа мобильных, сетевых и операционных систем доступны в Kali Linux.
4) DEFT linux ( Digital Evidence & Forensics Toolkit )
DEFT – это дистрибутив, созданный для компьютерной криминалистики, с целью запуска лайв на системах без вмешательства или искажения устройств (жестких дисков, pendrives).
Он основан на GNU Linux и может работать в прямом эфире (через CD / DVD или USB-накопитель), установлен или запущен как виртуальная машина на VMware / Virtualbox.
DEFT сопряжен с DART (известный как Digital Advanced Response Toolkit), системой судебной экспертизы, которая может работать в Windows и содержит лучшие инструменты для судебной экспертизы и реагирования на инциденты.
5) Martiux
Это полнофункциональный дистрибутив безопасности на основе Debian, состоящий из мощной группы из более чем 300 открытых исходных кодов и бесплатных инструментов, которые могут использоваться для различных целей, включая, помимо прочего, тестирование на проникновение, этический хакинг, администрирование системы и сети, кибер криминалистические исследования, тестирование безопасности, анализ уязвимости и многое другое.
Это дистрибутив, предназначенный для энтузиастов и профессионалов в области безопасности, хотя его можно использовать как стандартную систему по умолчанию.
Matriux предназначен для работы в среде Live, такой как CD / DVD или USB-накопитель, или его можно легко установить на ваш жесткий диск за несколько шагов.
Matriux также включает в себя набор средств компьютерной криминалистики и восстановления данных, которые могут использоваться для судебного анализа и поиска данных.
6) Santoku
Santoku посвящена мобильной криминалистике, анализу и безопасности и упакован в удобную платформу с открытым исходным кодом.
Его поддерживает фирма «nowsecure».
7) Volatility
Анализ памяти стал одной из самых важных тем для будущего цифровых исследований, и Volatility стала самой широко используемой в мире платформой для судебной экспертизы.
Это хорошо известная инфраструктура памяти для анализа инцидентов и анализа вредоносных программ, которая позволяет извлекать цифровые данные из дампов энергозависимой памяти (ОЗУ).
Volatility использовалась в некоторых наиболее важных исследованиях прошлого десятилетия.
Используя Volatility, вы можете извлекать информацию о запущенных процессах, открывать сетевые сокеты и сетевые подключения, загружать DLL для каждого процесса, кэширование реестра, идентификаторы процессов и т. д.
Он стал незаменимым инструментом цифрового расследования, которым пользуются сотрудники правоохранительных органов, военных, научных кругов и коммерческих исследователей во всем мире. Структура Volatility поддерживает как Windows, так и платформу linux для судебного расследования.
8) Linux “dd” утилита
Утилита «dd» идет по умолчанию в большинство дистрибутивов Linux, доступных сегодня (например, Ubuntu, Fedora).
Этот инструмент может использоваться для различных цифровых криминалистических задач, таких как судебное протирание диска (обнуление диска) и создание необработанного образа диска.
Перед использованием этого инструмента в реальном мире рекомендуется экспериментировать в безопасной среде.
9) Sleuth kit (Autopsy)
Sleuth Kit представляет собой инструментарий для цифровой криминалистики с открытым исходным кодом, который может использоваться для глубокого анализа различных файловых систем (FAT, NTFS, EXT2 / 3 и т. д. и необработанных изображений).
Autopsy – это графический интерфейс, который предназначен для Sleuth Kit (инструмент командной строки).
Он включает в себя такие функции, как анализ сроков, фильтрация хешей, анализ файловой системы и поиск по ключевым словам с возможностью добавления других модулей для расширенной функциональности.
10) Xplico
Xplico – это инструмент для криминалистического анализа с открытым исходным кодом.
Он в основном используется для извлечения полезных данных из приложений, которые используют интернет-и сетевые протоколы.
Он поддерживает большинство популярных протоколов, включая HTTP, IMAP, POP, SMTP, SIP, TCP, UDP, TCP и другие.
Выходные данные инструмента хранятся в базе данных SQLite базы данных MySQL.
Он также поддерживает IPv4 и IPv6.
Он уже доступен в дистрибутивах Kali Linix, DEFT, Security Onion и Matriux.
В этой статье рассказывается о вкладе опен соурса в цифровую криминалистическую область.
Обсуждаются бесплатные и наиболее известные инструменты, относящиеся к разной области цифровой судебной экспертизы.
В списке перечислены несколько дистрибутивов Linux, которые содержат множество бесплатных инструментов для судебной экспертизы.
SIFT (SANS Investigative Forensic Toolkit) — ОС для криминалистического анализа
SANS Investigative Forensic Toolkit (SIFT) Workstation — это готовая к работе операционная система со всеми необходимыми утилитами для проведения криминалистического анализа. Предназначена для запуска в VMWare.
Поддерживает следующие образы: Encase, AFF, raw (dd);
Поддерживает следующие файловые системы: FAT, NTFS, HFS, UFS, Ext2/3.
Примечательно, что существует возможность безопасного монтирования исследуемых файловых систем с их последующим анализом на любом компьютере компьютере под управлением Windows в сети.
Пакет включает в себя:
The Sleuth Kit (TSK)
ssdeep
md5deep
Foremost/Scalpel
Wireshark
HexEditor
Vinetto
Pasco
Rifiuti
Volatility Framework (фреймворк для анализа содержимого копий оперативной памяти)
DFLabs PTK (графическая оболочка для TSK)
Autopsy (графическая оболочка для TSK)
Инструкция:
SIFT Login/Password:
After downloading the toolkit, use the credentials below to gain access.
Login «sansforensics»
Password «forensics»
$ sudo su —
Use to elevate privileges to root while mounting disk images.
PTK login:
Login «admin»
Password «forensics»
Host Machine Connectivity
Access from a Windows Machine
Filesystem Shares \\SIFTWORKSTATION
or use ifconfig and connect to eth0 IP Address listed (e.g. \\192.1368.1.12)
/mnt — Mount point for read-only examination of digital forensic evidence
/cases — Directory to store evidence
Язык интерфейса: English
Пароль на архив:
Скачать бесплатно
SIFT (SANS Investigative Forensic Toolkit)
SIFT Workstation
Option 1: SIFT Workstation VM Appliance
Click the ‘Login to Download’ button and input (or create) your SANS Portal account credentials to download the virtual machine. Once you have booted the virtual machine, use the credentials below to gain access.
Having trouble downloading SIFT?
If you are having trouble downloading the SIFT Workstation VM, please contact sift-support@sans.org and include the URL you were given, your public IP address, browser type, and if you are using a proxy of any kind.
Option 2A: SIFT Easy Installation on Native Ubuntu System
Option 2B: SIFT Easy Installation on Microsoft Windows using Windows Subsystem for Linux
Why SIFT?
The SIFT Workstation is a collection of free and open-source incident response and forensic tools designed to perform detailed digital forensic examinations in a variety of settings. It can match any current incident response and forensic tool suite. SIFT demonstrates that advanced incident response capabilities and deep-dive digital forensic techniques can be accomplished using cutting-edge open-source tools that are freely available and frequently updated.
Who Created the SIFT?
Rob Lee created the original SIFT Workstation in 2007 to support forensic analysis in the SANS FOR508 class. Over the years, he and a small team have continually updated the SIFT Workstation for use in class, as well as for the wider community as a public resource. With over 125,000 downloads to date, the SIFT Workstation continues to be one of the most popular open-source incident-response and digital forensic offerings available.
Offered as an open source and free project, the SIFT Workstation is used in the following incident response courses at SANS:
«Even if SIFT were to cost tens of thousands of dollars, it would still be a very competitive product,» says Alan Paller, director of research at SANS. «At no cost, there is no reason it should not be part of the portfolio in every organization that has skilled incident responders.»
«The SIFT Workstation has quickly become my вЂgo to’ tool when conducting an exam. The powerful open source forensic tools in the kit on top of the versatile and stable Linux operating system make for quick access to most everything I need to conduct a thorough analysis of a computer system,» said Ken Pryor, GCFA, who has run countless cases supporting a variety of forensic and incident response priorities.
Key new SIFT Workstation features include:
SIFT Workstation Capabilities
A key tool during incident response, helping incident responders identify and contain advanced threat groups. The SIFT provides robust capabilities for analyzing file systems, network evidence, memory images, and more.
File system support
Evidence Image Support
Incident Response Support
Software Includes:
SIFT Workstation and REMnux Compatibility
REMnuxВ® is a Linux toolkit for reverse-engineering and analyzing malicious software. REMnux provides a curated collection of free tools created by the community. Analysts can use it to investigate malware without having to find, install, and configure the tools. REMnux is used in SANS FOR610: Reverse Engineering Malware.
REMnux can be added into a SIFT Workstation installation. To install REMnux, first install the SIFT Workstation using the instructions found above. Then, follow these instructions to add the REMnux components.
SIFT Workstation How-Tos and Resources
Reporting Issues
Please report all issues, bugs, and feature requests to the GitHub project page, located here:
SIFT Workstation Testimonials
SIFT workstation is playing an essential role for the Brazilian national prosecution office, especially due to Brazilian government budgetary constraints. Its incident response and forensic capabilities are bundled in a way that allows an investigation to be conducted much faster than it would take if not having the right programs grouped on such a great Linux distribution. The new version, which will be bootable, will be even more helpful. I’d highly recommend SIFT for government agencies or other companies as a first alternative, for acquisition and analysis, from the pricey forensics software available on the market.
— Marcelo Caiado, M.Sc., CISSP, GCFA, EnCE
What I like the best about SIFT is that my forensic analysis is not limited because of only being able to run an incident response or forensic tool on a specific host operating system. With the SIFT VM Appliance, I can create snapshots to avoid cross-contamination of evidence from case to case, and easily manage system and AV updates to the host OS on my forensic workstation. Not to mention, being able to mount forensic images and share them as read-only with my host OS, where I can run other forensic tools to parse data, stream-lining the forensic examination process.