工具推荐:22款最流行的计算机取证工具【2017年更新版】
什么是計(jì)算機(jī)取證?
計(jì)算機(jī)取證(Computer Forensics,又名計(jì)算機(jī)取證技術(shù)、計(jì)算機(jī)鑒識、計(jì)算機(jī)法醫(yī)學(xué))是指運(yùn)用計(jì)算機(jī)辨析技術(shù),對計(jì)算機(jī)犯罪行為進(jìn)行分析以確認(rèn)罪犯及計(jì)算機(jī)證據(jù),并據(jù)此提起訴訟。也就是針對計(jì)算機(jī)入侵與犯罪,進(jìn)行證據(jù)獲取、保存、分析和出示。計(jì)算機(jī)證據(jù)指在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄物。從技術(shù)上而言。計(jì)算機(jī)取證是一個對受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解,以對入侵事件進(jìn)行重建的過程。可理解為“從計(jì)算機(jī)上提取證據(jù)”即:獲取、保存、分析、出示、提供的證據(jù)必須可信;
計(jì)算機(jī)取證在打擊計(jì)算機(jī)和網(wǎng)絡(luò)犯罪中作用十分關(guān)鍵,它的目的是要將犯罪者留在計(jì)算機(jī)中的“痕跡”作為有效的訴訟證據(jù)提供給法庭,以便將犯罪嫌疑人繩之以法。因此,計(jì)算機(jī)取證是計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉科學(xué),被用來解決大量的計(jì)算機(jī)犯罪和事故,包括網(wǎng)絡(luò)入侵、盜用知識產(chǎn)權(quán)和網(wǎng)絡(luò)欺騙等。
為了達(dá)到更好地研究和調(diào)查目的,開發(fā)人員已經(jīng)創(chuàng)建出了很多計(jì)算機(jī)取證工具。警察部門和調(diào)查機(jī)構(gòu)可以根據(jù)各種因素選擇工具,包括預(yù)算以及現(xiàn)有專家隊(duì)伍狀況等。
這些計(jì)算機(jī)取證工具主要可以分為以下幾種不同類別:
磁盤和數(shù)據(jù)捕獲工具; 文件查看器; 文件分析工具; 注冊表分析工具; 互聯(lián)網(wǎng)分析工具; 電子郵件分析工具; 移動設(shè)備分析工具;?Mac?OS分析工具; 網(wǎng)絡(luò)取證工具; 數(shù)據(jù)庫取證工具;在接下來的文章中,我們將列舉一些最為流行和主流的數(shù)據(jù)取證工具。在進(jìn)一步介紹之前,需要指出的是,以下工具是以隨機(jī)順序排列,并非代表該工具的當(dāng)前排名情況:
22款計(jì)算機(jī)取證工具
1. Digital Forensics Framework
Digital Forensics Framework(DFF)是以專用API為基礎(chǔ)的一個開源計(jì)算機(jī)取證平臺,具有GPL許可證。它是一個靈活的模塊化系統(tǒng),可以輔助你的數(shù)據(jù)調(diào)查取證工作,包括:訪問遠(yuǎn)程或本地設(shè)備、Windows或Linux操作系統(tǒng)的取證、由于錯誤或崩潰造成的文件恢復(fù)、快速搜索文件的元數(shù)據(jù)以及其他功能等。
此外,DFF還提出了一個替代傳統(tǒng)數(shù)字取證的解決方案,設(shè)計(jì)得更簡潔,自動化。DFF接口引導(dǎo)用戶通過一個主要的數(shù)字調(diào)查步驟,讓用戶選擇專業(yè)模式或者非專業(yè)模式來快速進(jìn)行數(shù)字調(diào)查以及執(zhí)行事件響應(yīng)。
下載地址:http://www.digital-forensic.org/
2. Open Computer Forensics Architecture
Open Computer Forensics Architecture(OCFA)是由荷蘭國家警察局負(fù)責(zé)開發(fā)的另一種較為流行的分布式開源計(jì)算機(jī)取證框架,主要用于自動化數(shù)據(jù)取證過程。該框架建立在Linux平臺上,并使用postgreSQL數(shù)據(jù)庫來存儲數(shù)據(jù)。
下載地址:http://sourceforge.net/projects/ocfa/
3. CAINE
CAINE(Computer Aided Investigative Environment)是用于數(shù)字取證的Linux發(fā)行版。其作為安全研究部際中心(CRIS)的數(shù)字取證項(xiàng)目而創(chuàng)建,旨在填補(bǔ)不同取證工具之間的互操作間隙,提供一致化的圖形用戶界面以在電子證據(jù)的獲取和分析過程中對數(shù)字調(diào)查進(jìn)行指導(dǎo),為文檔和報(bào)告的編寫提供一個半自動化的過程。此外,該工具也是開源的。
查看更多:http://www.caine-live.net/
4. X-Ways Forensics
x-ways forensics是由德國X-ways進(jìn)行研發(fā)推出的取證分析軟件。它可在 Windows XP/2003/Vista/2008/7/8/8.1/2012操作系統(tǒng)下運(yùn)行,支持32 /64 位Standard/PE/FE等版本。
此外,X-Ways Forensics 還可隨身攜帶,能夠通過U盤在任意Windows操作系統(tǒng)下使用,無需安裝。不像其他一些取證分析工具那樣,X-ways Forensics不需要使用者設(shè)置數(shù)據(jù)庫等繁瑣的操作,并且超小化的安裝包可以在數(shù)秒內(nèi)下載并安裝。它可以與WinHex hex和 disk editor 緊密結(jié)合,提供高效率的工作流模型, 這樣計(jì)算機(jī)取證調(diào)查員就可以與使用X-Ways Investigator 的調(diào)查員共享數(shù)據(jù),協(xié)同工作。
其主要功能包括:
磁盤克隆和鏡像功能,進(jìn)行完整數(shù)據(jù)獲取; 可分析?RAW/dd/ISO/VHD/VMDK?格式原始數(shù)據(jù)鏡像文件中的完整目錄結(jié)構(gòu),支持分段保存的鏡像文件; 可讀取磁盤、RAIDs以及超過2TB大的鏡像文件(超過?232?個扇區(qū))扇區(qū)最大為8KB; 內(nèi)置解析磁盤陣列JBOD、RAID?0、RAID?5、RAID?5EE、RAID?6、Linux軟件磁盤陣列、windows動態(tài)磁盤以及LVM2邏輯卷管理器; 自動識別丟失的/已刪除的分區(qū); 支持?FAT12、FAT16、FAT32、exFAT、TFAT、NTFS、Ext2、Ext3、Ext4、Next3、CDFS/ISO9660/Joliet、UDF文件系統(tǒng); 察看并完整獲取內(nèi)存轉(zhuǎn)儲,并能獲取虛擬內(nèi)存中的運(yùn)行進(jìn)程; 使用多種數(shù)據(jù)恢復(fù)技術(shù),能快速發(fā)現(xiàn)需要恢復(fù)的數(shù)據(jù),并支持碎片級數(shù)據(jù)恢復(fù); ……查看更多:http://www.x-ways.net/forensics/
5. SANS Investigative Forensics Toolkit – SIFT
SIFT是一個多用途的取證操作系統(tǒng),內(nèi)置數(shù)字取證過程中所需的所有必要工具。它建立在Ubuntu上,具有許多與數(shù)字取證有關(guān)的工具。今年早些時候,SIFT 3.0發(fā)布,它分為免費(fèi)和收費(fèi)兩種版本,并包含免費(fèi)的開源取證工具。
下載地址:http://digital-forensics.sans.org/community/downloads
6. EnCase
Encase是Guidance Software公司研發(fā)的取證產(chǎn)品,該工具擁有強(qiáng)大的腳本功能,支持二次開發(fā)。可增強(qiáng)取證分析的針對性,使個人技能得到較大程度的發(fā)揮,是政府執(zhí)法機(jī)構(gòu)常用的取證工具,也被廣泛的運(yùn)用與司法、軍隊(duì)、公司監(jiān)察等部門。
該工具可以快速收集各種設(shè)備的數(shù)據(jù),挖掘潛在的證據(jù),此外,它還可以根據(jù)證據(jù)生成報(bào)告。不過,該工具屬于付費(fèi)版本,費(fèi)用為995美元。
查看更多:https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx
7. Registry Recon
Registry Recon是一款非常流行的注冊表分析工具。它能夠從證據(jù)中提取注冊表信息,然后重建注冊表representation。它還可以從當(dāng)前和以前的Windows安裝中重建注冊表。
需要注意的是,該工具也屬于付費(fèi)工具,費(fèi)用為399美元。
查看更多:http://arsenalrecon.com/apps/recon/
8. The Sleuth Kit
Sleuth Kit是一款基于Unix和Windows的工具,可以幫助您對計(jì)算機(jī)進(jìn)行取證分析。此外,它還配備了各種有助于數(shù)字取證的工具,這些工具具有分析磁盤映像、對文件系統(tǒng)進(jìn)行深入分析以及其他各種功能。
查看更多:http://www.sleuthkit.org/
9. Llibforensics
Llibforensics是數(shù)字取證應(yīng)用程序庫,它是在Python中開發(fā)的,并附帶各種演示工具來從各種類型的證據(jù)中提取信息。
查看更多:http://code.google.com/p/libforensics/
10. Volatility
Volatility是開源的Windows、Linux、MaC以及Android的內(nèi)存取證分析工具,主要用于事件響應(yīng)和惡意軟件分析。它由python編寫而成,使用該工具,你可以從運(yùn)行進(jìn)程、網(wǎng)絡(luò)套接字、網(wǎng)絡(luò)連接、DLL和注冊表配置單元中提取信息。此外,它還支持從Windows故障轉(zhuǎn)儲文件和休眠文件中提取信息。
最重要的是,該工具是免費(fèi)的。
查看更多:http://code.google.com/p/volatility/
11. WindowsSCOPE
WindowsSCOPE是另一款用于分析易失性存儲器(volatile memory)的內(nèi)存取證和逆向工程工具。它主要用于惡意軟件的逆向工程,此外,它提供分析Windows內(nèi)核、驅(qū)動程序、DLL、虛擬和物理內(nèi)存等功能。
查看更多:http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart
12. The Coroner’s Toolkit
The Coroner’s Toolkit(TCT)也是一款很好的數(shù)字取證分析工具。它可以運(yùn)行在幾個與Unix相關(guān)的操作系統(tǒng)下,它還可以用于幫助分析計(jì)算機(jī)災(zāi)難和數(shù)據(jù)恢復(fù)。
查看更多:http://www.porcupine.org/forensics/tct.html
13. Oxygen Forensic Suite
Oxygen?Forensic?Suite是一款優(yōu)秀的手機(jī)取證軟件,并不是只針對非智能手機(jī)、智能手機(jī)、平板的邏輯分析,對于物理提取及分析也有獨(dú)特的方法。
它采用底層的通訊協(xié)議,支持對手機(jī)基本信息、SIM卡信息、聯(lián)系人列表、組信息、快速撥號、通話記錄、短消息、短信中心時間戳、日歷、 待辦事項(xiàng)、文本便簽、照片、視頻、音頻、LifeBlog 數(shù)據(jù) (所有活動,包含地理信息)、Java 程序、手機(jī)內(nèi)存和閃存卡中的文件系統(tǒng)數(shù)據(jù)、GPRS 和 Wi-Fi 使用記錄、 錄音文件等信息的獲取與恢復(fù)。
查看更多:http://www.oxygen-forensic.com/en/features
14. Bulk Extractor
Bulk Extractor也是一款非常重要和流行的數(shù)字取證工具。它可以掃描文件的磁盤映像、文件本身以及目錄來提取有用的信息。在這一過程中,它會忽略文件系統(tǒng)結(jié)構(gòu),因此它要比其他類似的工具掃描速度快。
它主要被情報(bào)和執(zhí)法機(jī)構(gòu)用于解決網(wǎng)絡(luò)犯罪等問題方面。
下載地址:http://digitalcorpora.org/downloads/bulk_extractor/
15. Xplico
Xplico是一個開源的網(wǎng)絡(luò)取證分析工具。它基本功能是從使用Internet和網(wǎng)絡(luò)協(xié)議的應(yīng)用程序中提取有用的數(shù)據(jù)。它支持大多數(shù)流行協(xié)議,包括HTTP、IMAP、POP、SMTP、SIP、TCP、UDP、TCP等。該工具的輸出數(shù)據(jù)存儲在MySQL數(shù)據(jù)庫或SQLite數(shù)據(jù)庫中。此外,它也支持IPv4和IPv6。
查看更多:http://www.xplico.org/about
16. Mandiant RedLine
Mandiant RedLine是用于內(nèi)存和文件分析的流行工具。它從內(nèi)存中收集有關(guān)正在運(yùn)行的進(jìn)程和驅(qū)動程序的信息,并收集文件系統(tǒng)元數(shù)據(jù),注冊表數(shù)據(jù),事件日志,網(wǎng)絡(luò)信息,服務(wù),任務(wù)和Internet歷史記錄,以幫助構(gòu)建整體威脅評估配置文件。
當(dāng)啟動RedLine時,將需選擇收集數(shù)據(jù)或分析數(shù)據(jù)。除非你已經(jīng)有了一個內(nèi)存轉(zhuǎn)儲文件可用,否則需要創(chuàng)建一個收集器從機(jī)器收集數(shù)據(jù),直至完成。一旦你有一個內(nèi)存轉(zhuǎn)儲文件,就可以開始分析了。
查看更多:https://www.mandiant.com/resources/download/redline
17. Computer Online Forensic Evidence Extractor (COFEE)
Computer Online Forensic Evidence Extractor (COFEE)是一款微軟免費(fèi)提供給國際刑警組織使用的證據(jù)提取工具,微軟是這樣描述的COFEE的:
有了COFEE,沒有合適的計(jì)算機(jī)取證能力的執(zhí)法機(jī)構(gòu)可以輕松、可靠而且高效地收集現(xiàn)場證據(jù)。一個只有最基礎(chǔ)的計(jì)算機(jī)知識的人也可以在不超過10分鐘的時間里學(xué)會如何使用配置好的COFEE設(shè)備,執(zhí)法人員可以像專家一樣收集重要的犯罪證據(jù),其復(fù)雜程度就像將USB插入計(jì)算機(jī)那樣。
簡單地說,COFEE就是一種是形似U盤的提取工具,COFEE包含了超過150個信息收集、密碼破解、網(wǎng)絡(luò)嗅探等工具,可以快速繞過所有Windows的安全措施,并破解系統(tǒng)密碼、顯示網(wǎng)絡(luò)瀏覽的歷史,對電腦系統(tǒng)進(jìn)行深入地搜索來獲取證據(jù)。
官網(wǎng)地址:https://cofee.nw3c.org/
18. P2 eXplorer
P2 eXplorer是一款取證圖像安裝工具,旨在幫助調(diào)查人員檢查案件。利用該圖像,您可以將取證圖像作為只讀本地和物理光盤,然后使用文件瀏覽器瀏覽圖像的內(nèi)容。您也可以輕松查看已刪除的數(shù)據(jù)和圖像的未分配空間。
它可以一次安裝多個圖像,它支持大多數(shù)圖像格式,包括EnCasem、safeBack、PFR、FTK DD、WinImage、來自Linux DD的RAW圖像以及VMWare圖像等。此外,它還支持邏輯和物理映像類型。
該工具價(jià)格為199美元,當(dāng)然你也可以免費(fèi)獲取該工具的有限功能版本。
查看更多:https://www.paraben.com/p2-explorer.html
19. PlainSight
PlainSight是一個基于Knoppix(Linux發(fā)行版)的Live CD(自生系統(tǒng)),它允許用戶執(zhí)行數(shù)字取證任務(wù),如查看互聯(lián)網(wǎng)歷史記錄,數(shù)據(jù)刻畫,USB設(shè)備使用信息收集,檢查物理內(nèi)存轉(zhuǎn)儲,提取哈希密碼等。
當(dāng)進(jìn)入PlainSight時,會彈出一個窗口,要求選擇是要執(zhí)行掃描,加載文件還是運(yùn)行向?qū)?#xff0c;你需要輸入選擇以開始數(shù)據(jù)提取和分析過程。該工具是免費(fèi)的。
查看更多:http://www.plainsight.info/index.html
20. XRY
XRY是Micro Systemation開發(fā)的移動取證工具。它用于分析和恢復(fù)來自移動設(shè)備的關(guān)鍵信息。該工具附帶一個硬件設(shè)備和軟件,硬件可以將手機(jī)連接到PC,軟件可以對設(shè)備進(jìn)行分析并提取數(shù)據(jù)。其設(shè)計(jì)初衷是恢復(fù)數(shù)據(jù)進(jìn)行取證分析。
該工具的最新版本可以恢復(fù)來自Android、iPhone以及BlackBerry等各種智能手機(jī)的數(shù)據(jù)。此外,它還可以收集刪除的數(shù)據(jù),如通話記錄、圖像、短信和文本信息等。
查看更多:http://www.msab.com/xry/what-is-xry
21. HELIX3
HELIX3是一款基于live CD(自生系統(tǒng))的數(shù)字取證套件,主要用于事件響應(yīng)。它配有許多開源數(shù)字取證工具,包括十六進(jìn)制編輯器、數(shù)據(jù)雕刻以及密碼破解工具。
該工具可以從物理內(nèi)存、網(wǎng)絡(luò)連接、用戶帳戶、執(zhí)行進(jìn)程和服務(wù)、Windows Fegistry、聊天日志、屏幕截圖、SAM文件、應(yīng)用程序、驅(qū)動程序、環(huán)境變量和Internet歷史記錄中收集數(shù)據(jù)。然后根據(jù)報(bào)告對數(shù)據(jù)進(jìn)行分析和評估,以生成符合要求的結(jié)果。
免費(fèi)版本下載地址:https://e-fenseinc.sharefile.com/d/sda4309a624d48b88
企業(yè)版下載地址:http://www.e-fense.com/h3-enterprise.php
22. Cellebrite UFED
Cellebrite公司的UFED解決方案提供了一個統(tǒng)一的工作流程,允許審查員、調(diào)查員和第一響應(yīng)者在保障移動數(shù)據(jù)的速度和準(zhǔn)確性的情況下,來收集、保護(hù)和采取行動。
UFED Pro系列是專為需要最全面、最新的移動數(shù)據(jù)提取和解碼支持的法醫(yī)審查員和調(diào)查員而設(shè)計(jì),可用于處理新數(shù)據(jù)源的涌入。UFED Field系列旨在統(tǒng)一現(xiàn)場和實(shí)驗(yàn)室之間的工作流程,使其可以通過車載工作站、筆記本電腦、平板電腦或位于車站的安全自助服務(wù)亭查看,訪問和共享移動數(shù)據(jù)。
查看更多:http://www.cellebrite.com/Mobile-Forensics
以上就是本次關(guān)于22款計(jì)算機(jī)取證工具的全部介紹,你還有什么好的取證工具想要推薦上榜,歡迎給我們留言分享。
原文發(fā)布時間為:2017年6月12日 本文作者:小二郎 本文來自云棲社區(qū)合作伙伴嘶吼,了解相關(guān)信息可以關(guān)注嘶吼網(wǎng)站。 原文鏈接
總結(jié)
以上是生活随笔為你收集整理的工具推荐:22款最流行的计算机取证工具【2017年更新版】的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: PostgreSQL、Greenplum
- 下一篇: 文件上传(input为file类型)