DFF (Digital Forensics Framework – цифровой криминалистический фреймворк)
Описание DFF
DFF (Digital Forensics Framework – цифровой криминалистический фреймворк) — это криминалистическая компьютерная платформа с открытым исходным кодом, он построен поверх отдельных API. DFF предназначен прийти на замену устаревающим цифровым криминалистическим решениями, используемым сегодня. Созданный для простого использования и автоматизации, интерфейс DFF проводит пользователя через главные шаги цифрового расследования, поэтому он может использоваться как профессионалами, так и не экспертами для быстрого и простого совершения цифровых расследований и реагирования на инциденты.
DFF способен выполнять быстрый анализ диска и быстро меняющейся памяти, глубокое исследование компьютеров или смартфонов. DFF использует технологии блоковой записи, чтобы обезопасить доказательства и сохранить целостность медиа.
Мощный интегрированный поисковый движок позволяет быстро обнаружить артефакты в документах, мультимедиа и почтовых ящиках.
DFF способен агрегировать различные информационные источники, из волатильной памяти, системных / дисков хранилища до съёмных медиа… Это позволяет вам иметь завершённый взгляд на систему и пользовательскую активность, а также взаимодействовать с другими обнаружениями угроз и анализами систем.
Возможности:
- Сохранение доказательств
- Запись логических блоков
- Анализ сырых форматов
- Совместимость с файловым форматом Encase EWF
- Совместимость с файловым форматом AFF
- Отслеживаемость (цепочек хранения)
- Расчёт криптографических хешей
- Быстрое сокращение и сортировка данных
- Выявление сигнатур файлов
- Продвинутый движок фильтрации и поиска
- Реконструкция томов и файловой системы
- Выявление и монтирование разделов
- Формат виртуального диска VMDK
- FAT 12/16/32 (Thumbdrive)
- NTFS с ADS и поддержкой сжатия (Microsoft Windows)
- HFS HFS+ HFSx файловые системы (OS X & iphone)
- Ext2/3/4 файловые системы (GNU/Linux и Android)
- Анализ мультимедиа
- Галерейный просмотр
- Создатель миниатюр видео
- Выделение метаданных EXIF
- Анализ Windows OS
- Парсер файлов LNK
- Анализ Prefetch
- Анализ регистра
- Почтовые ящики Microsoft Outlook PST
- Анализ памяти
- Интеграция фреймворка Volatility
- Графическая реконструкция дерева процессов (смесь pstree и psxview)
- Информация о процессах (подключения, procdump)
- VAD доступ с RWX страницами помеченными как подозрительные
- Анализ документов
- Выделенные просмоторщики (PDF, Тексты, Вэб)
- Выделение метаданных офисных документов, текста и встроенных изображений
Домашняя страница: http://www.arxsys.fr/discover/
Автор: ArxSys S.A.S.
Лицензия: GPLv2
Справка по DFF
Использование:
dff [опции]
Опции:
-v --version показать текущую версию -g --graphical запустить графический интерфейс -b --batch=ИМЯ_ФАЙЛА выполнить batch содержащийся в ИМЯ_ФАЙЛА -l --language=ЯЗЫК использовать ЯЗЫК как язык интерфейса -h --help показать справку -d --debug перенаправление ввода-вывода в системную консоль --verbosity=УРОВЕНЬ установить уровень вербальности при отладке [0-3] -c --config=ПУТЬ-ДО-ФАЙЛА использовать конфигурационный файл из ПУТЬ-ДО-ФАЙЛА
Руководство по DFF
Страница man присутствует, но практически полностью повторяет справку.
Примеры запуска DFF
Запуск графического интерфейса
sudo dff-gui
Запуск консольной версии
sudo dff
Установка DFF
Программа предустановлена в Kali Linux.
Информация об установке в другие операционные системы будет добавлена позже.
Comments are Closed