DFF (Digital Forensics Framework – цифровой криминалистический фреймворк)

Описание DFF

DFF (Digital Forensics Framework – цифровой криминалистический фреймворк) — это криминалистическая компьютерная платформа с открытым исходным кодом, он построен поверх отдельных API. DFF предназначен прийти на замену устаревающим цифровым криминалистическим решениями, используемым сегодня. Созданный для простого использования и автоматизации, интерфейс DFF проводит пользователя через главные шаги цифрового расследования, поэтому он может использоваться как профессионалами, так и не экспертами для быстрого и простого совершения цифровых расследований и реагирования на инциденты.

DFF способен выполнять быстрый анализ диска и быстро меняющейся памяти, глубокое исследование компьютеров или смартфонов. DFF использует технологии блоковой записи, чтобы обезопасить доказательства и сохранить целостность медиа.

Мощный интегрированный поисковый движок позволяет быстро обнаружить артефакты в документах, мультимедиа и почтовых ящиках.

DFF способен агрегировать различные информационные источники, из волатильной памяти, системных / дисков хранилища до съёмных медиа… Это позволяет вам иметь завершённый взгляд на систему и пользовательскую активность, а также взаимодействовать с другими обнаружениями угроз и анализами систем.

Возможности:

Сохранение доказательств
Запись логических блоков
Анализ сырых форматов
Совместимость с файловым форматом Encase EWF
Совместимость с файловым форматом AFF
Отслеживаемость (цепочек хранения)
Расчёт криптографических хешей
Быстрое сокращение и сортировка данных
Выявление сигнатур файлов
Продвинутый движок фильтрации и поиска
Реконструкция томов и файловой системы
Выявление и монтирование разделов
Формат виртуального диска VMDK
FAT 12/16/32 (Thumbdrive)
NTFS с ADS и поддержкой сжатия (Microsoft Windows)
HFS HFS+ HFSx файловые системы (OS X & iphone)
Ext2/3/4 файловые системы (GNU/Linux и Android)
Анализ мультимедиа
Галерейный просмотр
Создатель миниатюр видео
Выделение метаданных EXIF
Анализ Windows OS
Парсер файлов LNK
Анализ Prefetch
Анализ регистра
Почтовые ящики Microsoft Outlook PST
Анализ памяти
Интеграция фреймворка Volatility
Графическая реконструкция дерева процессов (смесь pstree и psxview)
Информация о процессах (подключения, procdump)
VAD доступ с RWX страницами помеченными как подозрительные
Анализ документов
Выделенные просмоторщики (PDF, Тексты, Вэб)
Выделение метаданных офисных документов, текста и встроенных изображений

Домашняя страница: http://www.arxsys.fr/discover/

Автор: ArxSys S.A.S.

Лицензия: GPLv2

Справка по DFF

Использование:

dff [опции]

Опции:

  -v      --version                  показать текущую версию
  -g      --graphical                запустить графический интерфейс
  -b      --batch=ИМЯ_ФАЙЛА	         выполнить batch содержащийся в ИМЯ_ФАЙЛА
  -l      --language=ЯЗЫК            использовать ЯЗЫК как язык интерфейса
  -h      --help                     показать справку
  -d      --debug                    перенаправление ввода-вывода в системную консоль
          --verbosity=УРОВЕНЬ        установить уровень вербальности при отладке [0-3]
  -c      --config=ПУТЬ-ДО-ФАЙЛА     использовать конфигурационный файл из ПУТЬ-ДО-ФАЙЛА