Ferramentas Forenses Gratuitas – TOP 10

TOP 10 Ferramentas Gratuitas em Forense Digital

Introdução

O uso de ferramentas forenses gratuitas de perícia digital pode ser crucial para a obtenção de informações e evidências digitais em casos que envolvem crimes cibernéticos, fraude eletrônica, roubo de propriedade intelectual e outras atividades ilícitas que ocorrem no mundo digital.

A seguir, serão apresentadas as principais ferramentas gratuitas que podem ser utilizadas durante uma perícia digital.

1. Volatility

O Volatility Framework é uma coleção de ferramentas forenses gratuitas, de código livre e gratuita, para análise de memória RAM.

Normalmente utilizada em ambientes Linux, e já presente em algumas distribuições de Linux voltados para a área de segurança, a ferramenta também permite o uso em máquinas de Sistema Operacional Windows.

A versão vigente atualmente é a Volatility 3 Framework v2.4.0. 

O Volatility Framework possui uma vasta gama de plug-ins, e sozinho ou com o auxílio destes, consegue extrair informações importantes, tais como, mas não limitado a:

  • Lista de processos;
  • Rastro de malwares;
  • Conexões de IPs (ativas ou finalizadas);
  • Payloads.

O Volatility 3 Framework, pode ser adquirido em https://www.volatilityfoundation.org/releases-vol3 ou em https://github.com/volatilityfoundation/volatility 

Saiba tudo sobre técnicas avançadas de Análise Forense em Memória através do treinamento pioneiro da Academia de Forense Digital, ministrado pelo Prof. Renan Cavalheiro: Forense em Memória

2. FTK Imager

O FTK Imager é uma das melhores ferramentas forenses gratuitas de visualização de dados e imagens, usada para adquirir dados (evidências) de maneira forense sólida.

A ferramenta cria cópias de dados sem fazer alterações na evidência original.

A versão mais recente agora suporta o formato AFF4, bem como suporta a execução em uma unidade portátil. 

O FTK Imager permite:

  • Criar imagens forenses de discos rígidos locais, CDs e DVDs, pen drives ou outros dispositivos USB, pastas inteiras ou arquivos individuais de vários lugares dentro da mídia;
  • Visualizar o conteúdo de imagens forenses armazenadas na máquina local ou em uma unidade de rede;
  • Criar hashes de arquivos para verificar a integridade dos dados, usando uma das duas funções hash disponíveis no FTK Imager: Message Digest 5 (MD5) e Secure Hash Algorithm (SHA-1).
  • E muito mais! 
Figura 1 - Tela inicial do FTK Imager
Figura 1 – Tela inicial do FTK Imager

O software FTK Imager, pode ser adquirido em https://www.exterro.com/ftk-imager 

Saiba mais sobre esta incrível ferramenta neste artigo: FTK Imager: Principais funções de uma das ferramentas forenses mais populares da última década

3. The Sleuth Kit (“TSK”)

O Sleuth Kit é um kit de ferramentas forenses gratuitas, voltado para a análise de Sistemas de arquivos e discos Microsoft e UNIX.

O Sleuth Kit permite que os investigadores identifiquem e recuperem evidências de imagens adquiridas durante a resposta a incidentes ou de sistemas ao vivo.

O Sleuth Kit é uma ferramenta de código aberto, que permite que os investigadores verifiquem as ações da ferramenta ou realizem personalizações para necessidades específicas.

Algumas das ferramentas incluídas no Sleuth Kit são:

  • ils: lista todas as entradas de metadados, como um Inode;
  • blkls: exibe blocos de dados dentro de um sistema de arquivos;
  • fls: lista nomes de arquivos alocados e não alocados, dentro de um sistema de arquivos;
  • fsstat: exibe informações estatísticas do sistema de arquivos sobre uma imagem ou mídia de armazenamento;
  • ffind: procura por nomes de arquivos que apontam para uma entrada de metadados específica;
  • mactime: cria uma linha do tempo de todos os arquivos com base em seus tempos de MAC;
  • disk_stat: descobre a existência de uma Área Protegida do Host.

O Sleuth Kit pode ser usado por meio das ferramentas forenses  de linha de comando incluídas ou como uma biblioteca incorporada em uma ferramenta forense digital separada.

Sendo a ferramenta mais poderosa já desenvolvida no mundo da Computação Forense, utilizada por trás de grandes softwares, tais como o Autopsy, IPED e muitas outras.

O Sleuthkit pode ser adquirido em https://www.sleuthkit.org/sleuthkit/download.php

4. Autopsy Forensics

O Autopsy é uma das ferramentas forenses gratuitas e é a interface gráfica oficial do Sleuth Kit, sendo um programa para realizar perícia digital, fácil de usar e baseado em GUI, que permite analisar com eficiência discos rígidos e smartphones.

Ele possui uma arquitetura de plug-in que permite encontrar módulos complementares ou desenvolver módulos personalizados em Java ou Python.  

Alguns dos módulos fornecem:

  • Análise da Linha do Tempo: Interface gráfica avançada de visualização de eventos (vídeo tutorial incluído);
  • Filtragem de hash: Sinalize arquivos ruins conhecidos e ignore os bons conhecidos;
  • Pesquisa de palavras-chave: Pesquisa de palavras-chave indexadas para encontrar arquivos que mencionam termos relevantes;
  • Artefatos da Web: Extraia histórico, favoritos e cookies do Firefox, Chrome e IE;
  • Data Carving – Recupere arquivos excluídos do espaço não alocado usando o PhotoRec;
  • Multimídia: Extraia EXIF de fotos e assista a vídeos;
  • Indicadores de Comprometimento: Digitalize um computador usando STIX.
Figura 2 - Tela inicial do Autopsy Forensics
Figura 2 – Tela inicial do Autopsy Forensics

O Autopsy Forensics, pode ser adquirido em https://www.autopsy.com/download

Saiba tudo sobre esta super ferramenta no Treinamento: Autopsy Forensics – do Zero ao Avançado, ministrado na Academia de Forense Digital pelo Prof. Renan Cavalheiro

5. IPED Digital Forensics

O IPED (Indexador e Processador de Evidências Digitais), ou ainda, IPED Digital Forensics Tool, é um software de código aberto e um das ferramentas forenses gratuitas

Desenvolvido no Brasil por peritos forenses digitais da Polícia Federal, para a investigação na Operação Lava Jato. 

O software permite:

  • Análise integrada das informações armazenadas nos dispositivos digitais apreendidos;
  • Recuperação de arquivos deletados;
  • Identificação de criptografia;
  • Localização de palavras;
  • Reconhecimento óptico de caracteres;
  • Detecção de nudez;
  • Cruzamento de informações;
  • Rastreamento de localização;
  • Entre outras funcionalidades.

Atualmente, o IPED usa a Biblioteca Sleuth Kit apenas para decodificar imagens de disco e sistemas de arquivos, portanto, os mesmos formatos de imagem são suportados: RAW/DD, E01, ISO9660, AFF, VHD, VMDK.

Há também suporte para os formatos EX01, VHDX, UDF(ISO), AD1 (AccessData) e UFDR (Cellebrite).

Com uma interface simples e intuitiva, o software pode ser executado em Windows, Linux e Mac OS, possui alta escalabilidade, que possibilita utilizar em número ilimitado de computadores, portabilidade, arquitetura multihread e processamento em batch, ajudando na análise de grandes volumes de dados em qualquer dia e horário da semana. 

Figura 3 - Tela de processamento do IPED - ferramenta forenses gratuita
Figura 3 – Tela de processamento do IPED – ferramenta forenses gratuita

O software IPED pode ser adquirido em https://github.com/sepinf-inc/IPED 

Saiba tudo sobre esta importante ferramenta através do Treinamento IPED Forensics – do Zero ao Avançado, ministrado na Academia de Forense Digital pelo Prof. Renan Cavalheiro

6. Avilla Forensics

O Avilla Forensics é uma das ferramentas forenses gratuita utilizada para extração de dados em Smartphones Android, iPhone, Tablets entre outros tipos de dispositivos moveis.

Essa ferramenta foi desenvolvida em 2021, pelo brasileiro DANIEL AVILLA, que é Policial Civil do Estado de São Paulo. 

Utilizando a ferramenta Avilla Forensics, é possível realizar a análise profunda de mais de 15 (quinze) aplicativos, entre eles: 

  • WhatsApp
  • Telegram
  • Instagram
  • TikTok
  • Tinder
  • Snapchat

Também é possível analisar diversas outras informações de dispositivos moveis, tais como a última vez que o dispositivo foi ligado ou desligado, seus contatos salvos, mensagens de textos armazenadas, o código IMEI (Identificação Internacional de Equipamento Móvel) do dispositivo, além de fotos, vídeos, localizações salvas no GPS e entre outras informações. 

O software Avilla Forensics, pode ser adquirido em https://github.com/AvillaDaniel/AvillaForensics

Figura 4 - Tela principal do Avilla Forensics - ferramenta forenses gratuita
Figura 4 – Tela principal do Avilla Forensics – ferramenta forenses gratuita

Participe do Treinamento Oficial da ferramenta Avilla Forensics na Academia de Forense Digital, treinamento ministrado pelo Prof. Daniel Avilla, desenvolvedor da ferramenta

7. Cellebrite Reader

Cellebrite Reader é uma das ferramentas forenses gratuitas de análise da Empresa Israelense de alta tecnologia Cellebrite, e foi fundada em 1999, há 24 anos, com sede principal em Petah Tikva – Israel.

Tendo como missão da empresa, transformar a forma como gerenciam a Inteligência Digital em investigações, para proteger e salvar vidas, acelerar a justiça e garantir a privacidade dos dados. 

A principal linha de produto da empresa é o sistema UFED (Dispositivo Universal de Extração Forense), ferramenta a qual se destina ao setor de investigação digital, muito utilizada por autoridades policiais (Polícia Civil, Polícia Federal e Institutos de Criminalísticas). 

O Cellebrite Reader foi criado para ser uma solução de colaboração com uma maneira fácil de exportar dados de interesse, e fornecê-los aos investigadores de sua equipe que desejam dar uma olhada mais de perto, e fornecer feedback sobre as coisas que você precisa esculpir ou descobrir profundamente para que eles progridam na investigação. 

A ferramenta tem o objetivo de ser intuitivo, simples e fácil de usar, sendo capaz de realizar:

  • Pesquisas de palavras-chave;
  • Marcar arquivos;
  • Criar relatórios;
  • Examinar o sistema de arquivos e navegar por ele, e muito mais!
Figura 5 - Tela principal do Cellebrite Reader - ferramenta forenses gratuita
Figura 5 – Tela principal do Cellebrite Reader – ferramenta forenses gratuita

O software Cellebrite Reader pode ser adquirido em https://community.cellebrite.com/s/ 

Quer saber mais sobre o Cellebrite Reader? veja este artigo.

8. DFF (Digital Forensics Framework)

O Digital Forensics Framework é uma das ferramentas forenses gratuitas. É de código aberto, utilizada para análise forense disponível tanto para os sistemas Windows, quanto para sistemas Linux.

A ferramenta segue 3 (três) objetivos principais, quais sejam: modularidade, capacidade de script e genericidade. 

Entre os recursos suportados, temos:

  • Análise automatizada;
  • Suporte de leitura direta de dispositivos;
  • Suporte aos formatos de arquivo AFF, E01, Ex01, L01, Lx01, dd, bruto, bin, img;
  • Suporte aos sistemas de arquivos DOS, GPT, VMDK, Cópia de sombra de volume, NTFS, HFS+, HFSX, EXT2, EXT3, EXT4, FAT12, FAT16, FAT32;
  • Visualizadores incorporados para vídeos, imagens, pdf, texto, documentos de escritório, registro, evt, evtx, sqlite;
  • Caixas de correio do Outlook e Echange (PAB, PST, OST);
  • Extração de metadados;
  • Histórico dos navegadores;
  • Entre outras funções.

O DFF pode ser adquirido em https://github.com/arxsys/dff

9. NirSoft

O NirSoft é um site desenvolvido por Nir Sofer, que foi originalmente criado em 2001, como um site pessoal que forneceu alguns utilitários desenvolvidos para uso próprio.

No entanto, somente em 2004, após a compra do domínio nirsoft.net, que o site em tela passou a ser de uso público. 

O site nirsoft.net contém mais de 300 ferramentas forenses gratuitas para Windows, que podem lhe auxiliar durante uma perícia forense digital.

No site é possível encontra diversas categorias, tais como: 

  • Recuperação de Senhas;
  • Monitoramento de Rede;
  • Web Browser;
  • Áudio/Vídeo, Office;
  • Programação, Discos;
  • Utilitário de Sistema;
  • Entre outras funcionalidades.

Confira o site em https://www.nirsoft.net/ 

10. CAINE

CAINE – Computer Aided Investigative Environment, que em português significa “ambiente investigativo auxiliado por computador“, é uma distribuição Live CD do GNU/Linux, baseado no Ubuntu, que contém uma grande quantidade de ferramentas forenses gratuitas.

Os recursos incluem uma interface amigável e fácil de usar, além de criação de relatórios semiautomáticos e ferramentas para computação forense móvel, análise forense de rede, recuperação de dados e muito mais. 

 

Figura 6 - Ambiente gráfico da área de trabalho do CAINE Linux -ferramentas forenses gratuitas
Figura 6 – Ambiente gráfico da área de trabalho do CAINE Linux ferramentas forenses gratuitas

O CAINE pode ser adquirido em https://www.caine-live.net/ 

Conclusão 

Este projeto de pesquisa demonstrou que as ferramentas forenses gratuitas de perícia digital podem ser úteis em uma ampla gama de situações, desde a recuperação de dados perdidos até a investigação de crimes cibernéticos.


Sobre o Autor

Nome: Clóvis Pereira Aguiar Junior  (Linkedin)

MinibiografiaClóvis Pereira Aguiar Junior é servidor público na Prefeitura de Porto Velho há mais de 10 anos, com atuação voltada para tecnologias. Atualmente, atua no setor de Segurança de Redes da Superintendência Municipal de Tecnologia da Informação, Comunicação e Pesquisa. É especialista em Computação Forense e Perícia Digital e Professor de diversos cursos de Graduação e Pós-Graduação.

Treinamentos concluídos na AFD: 

    1. Threat Intelligence Starter
    2. Perito Forense Digital
    3. Forense em Dispositivos Moveis
    4. Perícias de Áudio Starter
    5. Cyber Security Starter – Modus Operandi de um Cibercriminoso
    6. Técnicas de Investigação com OSINT

Referências: