打算机取证是与打算机和网络犯罪有关的,一门非常主要的打算机学科分支。在早前,打算机只用于天生数据,但现在已扩展到与数字数据干系的所有设备。打算机取证的目标是通过利用数字资料的证据来进行犯罪调查,以找出网络干系罪过的紧张任务人。
为了更好的用于研究和调查,开拓职员创建了多样的打算机取证工具。公安部门和调查机构可以根据自身情形,如预算和现有专家军队等成分,来选取得当的取证工具。
这些电脑取证工具,也被分为了不同的种别:
磁盘和数据捕获工具
文件查看器
文件剖析工具
注册表剖析工具
互联网剖析工具
电子邮件剖析工具
移动设备剖析工具
Mac OS剖析工具
网络取证工具
数据库取证工具
在本文中,我将为大家罗列一些当前盛行的打算机取证工具。这里须要解释的是,本文中工具因此随机顺序添加的,并不代表工具的排名。
1. Digital Forensics Framework
数字取证框架是另一个专门用于数字取证的盛行平台。该工具是开源的,并具有GPL容许证。它同时适用于专业或非专业职员,大略易用。它可以用于数字监管链,访问远程或本地设备,Windows或Linux操作系统的取证,规复隐蔽已删除的文件,快速搜索文件的元数据以及其他各种功能。
下载:http://www.digital-forensic.org/
2. Open Computer Forensics Architecture
开放式打算机取证架构(OCFA)是另一种盛行的分布式开源打算机取证框架。该框架建立在Linux平台上,并利用postgreSQL数据库存储数据。
它由荷兰国家警察局创建,用于自动化数字取证过程。它可以根据GPL容许证下载。
下载:http://sourceforge.net/projects/ocfa/
3. CAINE
CAINE(打算机赞助调查***是用于数字取证的Linux发行版。它供应了一种以用户友好的办法将现有软件工具集成为软件模块的环境。这个工具是开源的。
阅读更多:http://www.caine-live.net/
4. X-Ways Forensics
X-ways Forensics是由德国X-ways出品的一个法证剖析软件,它实在是Winhex的一个法证授权版,跟Winhex界面完备一样。它可以运行在所有可用的Windows版本上。下面是它的一些紧张功能:
磁盘克隆和镜像功能,进行完全数据获取
可剖析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完全目录构造,支持分段保存的镜像文件
支持磁盘,RAID,扇区大小为8KB最大2TB的镜像的完备访问
支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列
自动识别丢失/删除的分区
支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统
无需修正原始硬盘或镜像纠正分区表或文件系统数据构造来解析文件系统
察看并获取 RAM和虚拟内存中的运行进程
多种数据规复功能,可对特定文件类型规复
基于GREP符号掩护文件头署名数据库
支持20种数据类型阐明
利用模板查看和编辑二进制数据构造
数据擦除功能,可彻底打消存储介质中残留数据
可从磁盘或镜像文件中网络残留空间、空余空间、分区空隙中信息
创建证据文件中的文件和目录列表
能够非常大略地创造并剖析ADS数据(NTFS交流数据流)
支持多种哈希打算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)
强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词
在NTFS卷中为文件记录数据构造自动加色
书签和注释
可以运行在Windows FE中等Windows环境
合营F-Response可进行远程打算机剖析等
完全先容请点击:http://www.x-ways.net/forensics/
5. SANS数字取证工具包 – SIFT
SIFT是SANS推出的数字取证工具包,SIFT以VMware虚拟映像的形式发布,里面集成了数字取证剖析所有必须的工具。适用于Expert Witness Format (E01), Advanced Forensic Format (AFF),和 raw (dd) evidence formats。 今年早些时候,SIFT 3.0发布。
在resource.infosecinstitute.com上的一篇文章中,我们已经详细先容了SIFT。你可以阅读关于SIFT的这些帖子,以理解更多有关SIFT取证平台的信息。
下载:http://digital-forensics.sans.org/community/downloads
6. EnCase
EnCase是另一款盛行的多用场取证平台,具有许多不错的取证工具。该工具可以快速网络各种设备的数据,挖掘潜在的证据。它还会根据网络的证据天生相应的报告。
该工具并不免费。 授权用度为995美元。
阅读更多关于EnCase的信息:https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx
7. Registry Recon
Registry Recon是一款盛行的注册表剖析工具。它可以从证据中提取注册表信息,然后重修注册表。它还可以从当前和之前的Windows安装重修注册表。
阅读更多:http://arsenalrecon.com/apps/recon/
8. The Sleuth Kit
Sleuth Kit是一个基于Unix和Windows的工具,可帮助你对打算机进行取证剖析。它配备了各种有助于数字取证的工具。这些工具有助于剖析磁盘映像,对文件系统进行深入剖析以及其他各种功能。
阅读更多:http://www.sleuthkit.org/
9. Llibforensics
Libforensics是一个是专门用于获取和剖析数字取证的数字取证运用程序库。它是由Python开拓的,并附带各种演示工具以便从各种类型的证据中提取信息。
阅读更多:http://code.google.com/p/libforensics/
10. Volatility
Volatility是一个内存取证框架。紧张用于事宜相应和恶意软件剖析。利用此工具,你可以从正在运行的进程,网络套接字,网络连接,DLL和注册表蜂巢提取信息。它还支持从Windows故障转储文件和休眠文件中提取信息。此工具根据GPL容许证免费供应。
阅读更多:http://code.google.com/p/volatility/
11. WindowsSCOPE
WindowsSCOPE是用于剖析易失落性存储器的另一种内存取证和逆向工程工具。它紧张用于恶意软件的逆向工程。它供应了剖析Windows内核,驱动程序,DLL,虚拟和物理内存的功能。
阅读更多:http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart
12. The Coroner’s Toolkit
Coroner工具包或TCT也是一个非常好用的数字取证剖析工具。它运行在几个与Unix干系的操作系统下。它可用于打算机灾害剖析和数据规复。
阅读更多:http://www.porcupine.org/forensics/tct.html
13. Oxygen Forensic Suite
Oxygen取证套件紧张用于手机上的证据网络。Oxygen会为我们网络设备的各种信息(包括制造商,操作系统,IMEI号码,序列号),联系人,(电子邮件,短信,彩信),还可以规复已删除的,通话记录和日历信息。
阅读更多:http://www.oxygen-forensic.com/en/features
14. Bulk Extractor
Bulk Extractor(批量提取器)也是一款主要和盛行的取证工具。它会扫描文件的磁盘映像,文件或目录以提取有用的信息。由于在这个过程中,它忽略了文件系统构造,以是它比其他同类型的工具实行速率要快许多。情报和司法机构基本上都会用这款工具,来办理一些网络犯罪问题。
下载:http://digitalcorpora.org/downloads/bulk_extractor/
15. Xplico
Xplico是一款开源的网络取证剖析工具。紧张用于,从利用Internet和网络协议的运用程序中提取有用的数据。它支持大多数盛行的协议,包括HTTP,IMAP,POP,SMTP,SIP,TCP,UDP,TCP等。该工具的输出数据,会被存储在MySQL数据库的SQLite数据库中。同时,它也支持IPv4和IPv6。
阅读更多:http://www.xplico.org/about
16. Mandiant RedLine
Mandiant RedLine是一款盛行的,用于内存和文件剖析的工具。Mandiant RedLine紧张网络有关在主机上运行的进程信息,内存中的驱动程序,并网络其他数据,如元数据,注册表数据,任务,做事,网络信息和Internet历史记录,并终极构建适当的报告。
阅读更多:https://www.mandiant.com/resources/download/redline
17. Computer Online Forensic Evidence Extractor (COFEE)
打算机在线法庭科学证据提取器,是专为打算机取证专家开拓设计的一款工具包。该工具由Microsoft开拓,用于从Windows系统网络证据。它可以被安装在USB驱动器或外部硬盘上。取证职员只需将USB插入目标打算机中,即可进行实时的剖析。COFEE包含了超过150个信息网络、密码破解、网络嗅探等工具。而且它的剖析速率也非常的快,大概在20分钟旁边就可以完成对目标系统的完全剖析。对付司法机构,此外,Microsoft还为利用该工具的司法机构,供应免费的技能支持。
官方站点:https://cofee.nw3c.org/
18. P2 eXplorer
P2 eXplorer 这款取证图像挂载工具的设计旨在帮助调查员管理和调查证据。利用 P2 eXplorer,您可以将取证图像作为只读确当地逻辑磁盘和物理磁盘进行挂载。一旦挂载完毕,您可以利用 Windows Explorer 浏览图像内容,或将其加载到您的取证调查剖析工具中。由于将图像作为物理磁盘挂载,您可以查看已删除的数据、以及未分配的图像空间。
它可以一次安装多个图像。 它支持大多数图像格式,包括EnCasem,safeBack,PFR,FTK DD,WinImage,以及来自Linux DD的RAW图像,和VMWare图像。
此工具有收费和免费版本,收费版本须要支付$199,免费版本的部分功能将无法利用。
阅读更多:https://www.paraben.com/p2-explorer.html
19. PlainSight
PlainSight是一个基于Knoppix(Linux发行版)的Live CD,它许可用户实行数字取证任务,如查看互联网历史记录,数据刻画,USB设备利用信息网络,检讨物理内存转储,提取哈希密码等。
此工具是免费的。
阅读更多:http://www.plainsight.info/index.html
20. XRY
XRY是Micro Systemation开拓的移动取证工具。它用于剖析和规复来自移动设备的关键信息。该工具附带硬件设备和软件。硬件将手机连接到PC,软件对设备进行剖析并提取数据。它旨在规复数据以用于取证剖析。
该工具的最新版本可以规复来自Android,iPhone和BlackBerry等各种智好手机的数据。它还可以网络已删除的数据,如通话记录,图像,短信和短信。
阅读更多:http://www.msab.com/xry/what-is-xry
21. HELIX3
HELIX3是一个基于Linux的Live CD,用于事宜相应构建,打算机取证和电子创造方案。它包含了一堆开源工具,从十六进制编辑器到数据刻画软件到密码破解工具等。
把稳:你须要的HELIX3版本是2009R1。此版本是HELIX由商业供应商接管之前可用的末了一个免费版本。HELIX3 2009R1本日仍旧有效,并为数字取证工具包供应有用的补充。
当利用HELIX3引导时,会讯问是要加载GUI环境还是将HELIX3安装到磁盘。如果选择直接加载GUI环境(推举),将涌现一个基于Linux的屏幕,你可以选择运行捆绑工具的图形化版本。
Helix3 2008R1可以在这里下载到:https://e-fenseinc.sharefile.com/d/sda4309a624d48b88
企业版下载:http://www.e-fense.com/h3-enterprise.php
22. Cellebrite UFED
Cellebrite UFED取证产品是一款独立的既适宜在犯罪现场也适宜在实验室利用的设备。Cellebrite UFED能够从环球1200多款手机中提取主要数据如电话簿、图片、视频、文本短信息、通话记录、ESN和IMEI信息。UFED支持CDMA, GSM, IDEN和TDMA技能,并兼容所有的无线载波旗子暗记。Cellebrite UFED支持目前市场上95%的掌中设备,包括手机和PDA(Palm OS,Microsoft, Blackberry, Symbian)。不须要打算机的合营,方便在现场利用,通过大略操作就可以存储上百条电话簿和联系人信息到一张SD卡或者USB 中。
Cellebrite UFED支持所有已知手机设备的接口,包括串口、USB接口、红外和蓝牙。提取的数据可以带回实验室利用报告/剖析工具进行查看和校验。现场提取数据担保在犯罪分子有机会毁坏手机或打消数据之前,保存和查看手机里的信息。
更多信息:http://www.cellebrite.com/Mobile-Forensics
总结
以上列举的都是些司法机构在进行网络犯罪调查时,常用到的数字取证工具。本文我为大家先容了各种类型的工具,如如高等,免费,开源类的,针对打算机的取证,以及针对手机的取证等。如果你想学习或正在学习取证干系的知识,我建议大家可以下载以上列举的这些工具,进行深入的研究与学习。这将会有助于提高你的学习效率。
除了本文列举的这些工具,实在市情上还有很多类似的精良的工具。这须要大家自己去试验和挖掘。
