Инструменты для проведения расследований

AntonyNOP

Cyber Security

Образы ОС для расследования инцидентов и анализа вредоносного ПО с уже предустановленными утилитами (Free):

SIFT – от института SANS, на базе ОС Ubuntu (версии ОС обновляются и поддерживаются).
FLARE VM by Mandiant – на базе ОС Windows 7 & Windows 10+, в проекте поставляется скрипт который позволяет подготовить ОС, загрузить полезные утилиты, для исследования вредоносного ПО, проведения расследования на базе Windows.
Kali – известная многим ОС Kali не только годна для пентеста, но также имеет Forensics Mode.
REMnux – образ от комьюнити экспертов по анализу вредоносного ПО на базе ОС Ubuntu (версии ОС обновляются и поддерживаются), идеально подходит для анализа вредоносного ПО, уже предустановлены все необходимые утилиты.

Исследование сетевого трафика на наличие артефактов

NetworkMiner – есть триалка, очень удобная утилита по анализу дампа трафика.
WireShark - бесплатная и, пожалуй, лучший софт для анализа в оффлайн/онлайн режиме.
naft-gfe.py – позволяет извлекать дамп трафика в формате .PCAP из дампов оперативной памяти для дальнейшего анализа.
Ethscan (by Jamaal) – плагин для Volatility, позволяет извлекать сетевой трафик в формате pcap и анализировать его.
netstat.exe – нативная утилита для динамического анализа активности.
TCPView.exe - для динамического анализа активности.

Работа с дампами оперативной памяти

FTK Imager - софт для сбора и анализа артефактов в Windows (Есть Demo)
BelkaSoft RAM Capturer – снятие дампа оперативной памяти (Есть Demo)
Winpmem – снятие дампов оперативной памяти (для Rekall)
DumpIt – снятие дампа оперативной памяти (free)

Исследование содержимого дампа оперативной памяти

Volatility – одно из лучших средств для анализа дампа оперативной памяти (скомпилированный исполняемый файл).
Vol.py - одно из лучших средств для анализа дампа оперативной памяти, реализация на Python2.
Rekall – аналог Volatility.
WindowsSCOPE – есть триал версия.
Redline (by Mandiant - free)

Исследование файлов реестра

Registry Viewer 2.0.0 by Access Data https://accessdata.com/product-download/registry-viewer-2-0-0 (есть триал-версия)
Registry Explorer/RECmd https://ericzimmerman.github.io/#!index.md (бесплатная утилита by Eric Zimmerman)
Registry Recon https://arsenalrecon.com/products/ (commercial)
RegRipper3.0 https://github.com/keydet89/RegRipper3.0 (OpenSource)

Исследование файловой системы

Сравнение результатов парсинга MFT:

MFT-Parser http://az4n6.blogspot.com/2015/09/whos-your-master-mft-parsers-reviewed.html

MFTEcmd – MFT Parser by Eric Zimmerman:

https://binaryforay.blogspot.com/2018/06/introducing-mftecmd.html

MFTExtractor – написанный на go parser MFT:

https://github.com/aarsakian/MFTExtractor

NTFS journal parser: http://strozfriedberg.github.io/ntfs-linker/
NTFS USN Journal parser https://github.com/PoorBillionaire/USN-Journal-Parser
RecuperaBit – Реконструирование и восстановление данных NTFS data

https://github.com/Lazza/RecuperaBit

Python-ntfs – NTFS analysis https://github.com/williballenthin/python-ntfs
Exiftool - показывает метаданные файлов (GEO, Timestamps and so on)

Централизованный сбор артефактов (Triage) c ОС Linux

CatScale - проект впервые представлен в 2019 году на SANS DFIR Summit, в текущее время активно поддерживается и развивается. Инструментарий позволяет собрать большинство необходимых для расследований артефактов в *nix.
Velociraptor - ещё один фреймворк для сбора артефактов с разных ОС, кроме возможности удаленно собирать артефакты, имеет удобный веб-интерфейс и даже public API.
Google Rapid Response - позволяет развернуть клиент серверную архитектуру для централизованного сбора артефактов с хостов и проведения расследования.
TuxResponse - более простая реализация инструмента для траижа.
UAC - Bash-скрипт для сбора артефактов.
Unix_Collector - ещё один bash-скрипт для сбора базовых артефактов.

Централизованный сбор артефактов (Triage) c ОС Linux

CyLR — Live Response Collection tool by Alan Orlikoski and Jason Yegge, довольно быстрый сбор необходимых артефактов без использования Win API, на выходе zip файл.
KAPE - Live Response Collection tool by Eric Zimmerman and team, содержит различные шаблоны для триажа. Является одной из самых популярных утилит для сбора артефактов с Windows систем.

EDD - Encrypted Disk Detector by Magnet Forensics, бесплатная утилита для проверки шифрования диска.

Рекомендуемая литература по компьютерной криминалистике:

The Art of Memory Forensics by Michael Hale Ligh, Andrew Case, Jamie Levy, Aaron Walters;
File System Forensics Analysis by Brian Carrier;
Windows Registry Forensics Advanced Digital Forensic Analysis of the Windows Registry by Harlan Carvey;
Windows Forensics Analysis by Harlan Carvey;
Digital Forensics and Incident Response by Gerard Johansen;
INCIDENT RESPONSE & COMPUTER FORENSICS, SECOND EDITION by Kevin Mandia, Chris Prosise & Matt Pepe;
FORENSIC ANALYSIS OF UNALLOCATED SPACE IN WINDOWS REGISTRY HIVE FILES by Jolanta Thomassen (диссертация);

Мои статьи в этом блоге и на habr.com =)