计算机取证之你必须要会用的24款工具

时间:2024-03-04 09:07:06

什么是计算机取证?

计算机取证(Computer Forensics,又名计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即:获取、保存、分析、出示、提供的证据必须可信;

计算机取证在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。

为了达到更好地研究和调查目的,开发人员已经创建出了很多计算机取证工具。警察部门和调查机构可以根据各种因素选择工具,包括预算以及现有专家队伍状况等。

这些计算机取证工具主要可以分为以下几种不同类别:

  1. 磁盘和数据捕获工具;
  2. 文件查看器;
  3. 文件分析工具;
  4. 注册表分析工具;
  5. 互联网分析工具;
  6. 电子邮件分析工具;
  7. 移动设备分析工具;
  8. Mac OS分析工具;
  9. 网络取证工具;
  10. 数据库取证工具;

在接下来的文章中,我将列举一些最为流行和主流的数据取证工具。

在进一步介绍之前,需要指出的是,以下工具是以随机顺序排列,并非代表该工具的当前排名情况:

1. Digital Forensics Framework

Digital Forensics Framework(DFF)是以专用API为基础的一个开源计算机取证平台,具有GPL许可证。它是一个灵活的模块化系统,可以辅助你的数据调查取证工作,包括:访问远程或本地设备、Windows或Linux操作系统的取证、由于错误或崩溃造成的文件恢复、快速搜索文件的元数据以及其他功能等。

此外,DFF还提出了一个替代传统数字取证的解决方案,设计得更简洁,自动化。DFF接口引导用户通过一个主要的数字调查步骤,让用户选择专业模式或者非专业模式来快速进行数字调查以及执行事件响应。

下载地址:http://www.digital-forensic.org/

2. Open Computer Forensics Architecture

Open Computer Forensics Architecture(OCFA)是由荷兰国家警察局负责开发的另一种较为流行的分布式开源计算机取证框架,主要用于自动化数据取证过程。该框架建立在Linux平台上,并使用postgreSQL数据库来存储数据。

下载地址:http://sourceforge.net/projects/ocfa/

3. CAINE

工具推荐:22款最流行的计算机取证工具【2017年更新版】

CAINE(Computer Aided Investigative Environment)是用于数字取证的Linux发行版。其作为安全研究部际中心(CRIS)的数字取证项目而创建,旨在填补不同取证工具之间的互操作间隙,提供一致化的图形用户界面以在电子证据的获取和分析过程中对数字调查进行指导,为文档和报告的编写提供一个半自动化的过程。此外,该工具也是开源的。

查看更多:http://www.caine-live.net/

4. X-Ways Forensics

x-ways forensics是由德国X-ways进行研发推出的取证分析软件。它可在 Windows XP/2003/Vista/2008/7/8/8.1/2012操作系统下运行,支持32 /64 位Standard/PE/FE等版本。

此外,X-Ways Forensics 还可随身携带,能够通过U盘在任意Windows操作系统下使用,无需安装。不像其他一些取证分析工具那样,X-ways Forensics不需要使用者设置数据库等繁琐的操作,并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex和 disk editor 紧密结合,提供高效率的工作流模型, 这样计算机取证调查员就可以与使用X-Ways Investigator 的调查员共享数据,协同工作。

其主要功能包括:

  • 磁盘克隆和镜像功能,进行完整数据获取;
  • 可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件;
  • 可读取磁盘、RAIDs以及超过2TB大的镜像文件(超过 232 个扇区)扇区最大为8KB;
  • 内置解析磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE、RAID 6、Linux软件磁盘阵列、windows动态磁盘以及LVM2逻辑卷管理器;
  • 自动识别丢失的/已删除的分区;
  • 支持 FAT12、FAT16、FAT32、exFAT、TFAT、NTFS、Ext2、Ext3、Ext4、Next3、CDFS/ISO9660/Joliet、UDF文件系统;
  • 查看并完整获取内存转储,并能获取虚拟内存中的运行进程;
  • 使用多种数据恢复技术,能快速发现需要恢复的数据,并支持碎片级数据恢复; ……

查看更多:http://www.x-ways.net/forensics/

5. SANS Investigative Forensics Toolkit – SIFT

工具推荐:22款最流行的计算机取证工具【2017年更新版】

SIFT是一个多用途的取证操作系统,内置数字取证过程中所需的所有必要工具。它建立在Ubuntu上,具有许多与数字取证有关的工具。今年早些时候,SIFT 3.0发布,它分为免费和收费两种版本,并包含免费的开源取证工具。

下载地址:http://digital-forensics.sans.org/community/downloads

6. EnCase

Encase是Guidance Software公司研发的取证产品,该工具拥有强大的脚本功能,支持二次开发。可增强取证分析的针对性,使个人技能得到较大程度的发挥,是*执法机构常用的取证工具,也被广泛的运用与司法、军队、公司监察等部门。

该工具可以快速收集各种设备的数据,挖掘潜在的证据,此外,它还可以根据证据生成报告。不过,该工具属于付费版本,费用为995美元。

查看更多:https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx

7. Registry Recon

Registry Recon是一款非常流行的注册表分析工具。它能够从证据中提取注册表信息,然后重建注册表representation。它还可以从当前和以前的Windows安装中重建注册表。
需要注意的是,该工具也属于付费工具,费用为399美元。

查看更多:http://arsenalrecon.com/apps/recon/

8. The Sleuth Kit

Sleuth Kit是一款基于Unix和Windows的工具,可以帮助您对计算机进行取证分析。此外,它还配备了各种有助于数字取证的工具,这些工具具有分析磁盘映像、对文件系统进行深入分析以及其他各种功能。

查看更多:http://www.sleuthkit.org/

9. Llibforensics

Llibforensics是数字取证应用程序库,它是在Python中开发的,并附带各种演示工具来从各种类型的证据中提取信息。

查看更多:http://code.google.com/p/libforensics/

10. Volatility

Volatility是开源的Windows、Linux、MaC以及Android的内存取证分析工具,主要用于事件响应和恶意软件分析。它由python编写而成,使用该工具,你可以从运行进程、网络套接字、网络连接、DLL和注册表配置单元中提取信息。此外,它还支持从Windows故障转储文件和休眠文件中提取信息。

最重要的是,该工具是免费的。

查看更多:http://code.google.com/p/volatility/

11. WindowsSCOPE

WindowsSCOPE是另一款用于分析易失性存储器(volatile memory)的内存取证和逆向工程工具。它主要用于恶意软件的逆向工程,此外,它提供分析Windows内核、驱动程序、DLL、虚拟和物理内存等功能。

查看更多:http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart

12. The Coroner’s Toolkit

The Coroner’s Toolkit(TCT)也是一款很好的数字取证分析工具。它可以运行在几个与Unix相关的操作系统下,它还可以用于帮助分析计算机灾难和数据恢复。

查看更多:http://www.porcupine.org/forensics/tct.html

13. Oxygen Forensic Suite

工具推荐:22款最流行的计算机取证工具【2017年更新版】

Oxygen Forensic Suite是一款优秀的手机取证软件,并不是只针对非智能手机、智能手机、平板的逻辑分析,对于物理提取及分析也有独特的方法。

它采用底层的通讯协议,支持对手机基本信息、SIM卡信息、联系人列表、组信息、快速拨号、通话记录、短消息、短信中心时间戳、日历、 待办事项、文本便签、照片、视频、音频、LifeBlog 数据 (所有活动,包含地理信息)、Java 程序、手机内存和闪存卡中的文件系统数据、GPRS 和 Wi-Fi 使用记录、 录音文件等信息的获取与恢复。

查看更多:http://www.oxygen-forensic.com/en/features

14. Bulk Extractor

Bulk Extractor也是一款非常重要和流行的数字取证工具。它可以扫描文件的磁盘映像、文件本身以及目录来提取有用的信息。在这一过程中,它会忽略文件系统结构,因此它要比其他类似的工具扫描速度快。

它主要被情报和执法机构用于解决网络犯罪等问题方面。

下载地址:http://digitalcorpora.org/downloads/bulk_extractor/

15. Xplico

Xplico是一个开源的网络取证分析工具。它基本功能是从使用Internet和网络协议的应用程序中提取有用的数据。它支持大多数流行协议,包括HTTP、IMAP、POP、SMTP、SIP、TCP、UDP、TCP等。该工具的输出数据存储在MySQL数据库或SQLite数据库中。此外,它也支持IPv4和IPv6。

查看更多:http://www.xplico.org/about

16. Mandiant RedLine

Mandiant RedLine是用于内存和文件分析的流行工具。它从内存中收集有关正在运行的进程和驱动程序的信息,并收集文件系统元数据,注册表数据,事件日志,网络信息,服务,任务和Internet历史记录,以帮助构建整体威胁评估配置文件。

当启动RedLine时,将需选择收集数据或分析数据。除非你已经有了一个内存转储文件可用,否则需要创建一个收集器从机器收集数据,直至完成。一旦你有一个内存转储文件,就可以开始分析了。

查看更多:https://www.mandiant.com/resources/download/redline

17. Computer Online Forensic Evidence Extractor (COFEE)

Computer Online Forensic Evidence Extractor (COFEE)是一款微软免费提供给国际刑警组织使用的证据提取工具,微软是这样描述的COFEE的:

有了COFEE,没有合适的计算机取证能力的执法机构可以轻松、可靠而且高效地收集现场证据。一个只有最基础的计算机知识的人也可以在不超过10分钟的时间里学会如何使用配置好的COFEE设备,执法人员可以像专家一样收集重要的犯罪证据,其复杂程度就像将USB插入计算机那样。

简单地说,COFEE就是一种是形似U盘的提取工具,COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具,可以快速绕过所有Windows的安全措施,并破解系统密码、显示网络浏览的历史,对电脑系统进行深入地搜索来获取证据。

官网地址:https://cofee.nw3c.org/

18. P2 eXplorer

P2 eXplorer是一款取证图像安装工具,旨在帮助调查人员检查案件。利用该图像,您可以将取证图像作为只读本地和物理光盘,然后使用文件浏览器浏览图像的内容。您也可以轻松查看已删除的数据和图像的未分配空间。

它可以一次安装多个图像,它支持大多数图像格式,包括EnCasem、safeBack、PFR、FTK DD、WinImage、来自Linux DD的RAW图像以及VMWare图像等。此外,它还支持逻辑和物理映像类型。

该工具价格为199美元,当然你也可以免费获取该工具的有限功能版本。

查看更多:https://www.paraben.com/p2-explorer.html

19. PlainSight

PlainSight是一个基于Knoppix(Linux发行版)的Live CD(自生系统),它允许用户执行数字取证任务,如查看互联网历史记录,数据刻画,USB设备使用信息收集,检查物理内存转储,提取哈希密码等。

当进入PlainSight时,会弹出一个窗口,要求选择是要执行扫描,加载文件还是运行向导,你需要输入选择以开始数据提取和分析过程。该工具是免费的。

查看更多:http://www.plainsight.info/index.html

20. XRY

XRY是Micro Systemation开发的移动取证工具。它用于分析和恢复来自移动设备的关键信息。该工具附带一个硬件设备和软件,硬件可以将手机连接到PC,软件可以对设备进行分析并提取数据。其设计初衷是恢复数据进行取证分析。
该工具的最新版本可以恢复来自Android、iPhone以及BlackBerry等各种智能手机的数据。此外,它还可以收集删除的数据,如通话记录、图像、短信和文本信息等。

查看更多:http://www.msab.com/xry/what-is-xry

21. HELIX3

工具推荐:22款最流行的计算机取证工具【2017年更新版】

HELIX3是一款基于live CD(自生系统)的数字取证套件,主要用于事件响应。它配有许多开源数字取证工具,包括十六进制编辑器、数据雕刻以及密码破解工具。
该工具可以从物理内存、网络连接、用户帐户、执行进程和服务、Windows Fegistry、聊天日志、屏幕截图、SAM文件、应用程序、驱动程序、环境变量和Internet历史记录中收集数据。然后根据报告对数据进行分析和评估,以生成符合要求的结果。

免费版本下载地址:https://e-fenseinc.sharefile.com/d/sda4309a624d48b88

企业版下载地址:http://www.e-fense.com/h3-enterprise.php

22. Cellebrite UFED

Cellebrite公司的UFED解决方案提供了一个统一的工作流程,允许审查员、调查员和第一响应者在保障移动数据的速度和准确性的情况下,来收集、保护和采取行动。

UFED Pro系列是专为需要最全面、最新的移动数据提取和解码支持的法医审查员和调查员而设计,可用于处理新数据源的涌入。UFED Field系列旨在统一现场和实验室之间的工作流程,使其可以通过车载工作站、笔记本电脑、平板电脑或位于车站的安全自助服务亭查看,访问和共享移动数据。

查看更多:http://www.cellebrite.com/Mobile-Forensics 

23.Volatility Framework

Volatility Framework 是黑帽独家发布的一个框架,与高级内存分析及取证直接相关。后者基本上就是分析受害系统中的易变内存。易变内存或易变数据是频繁刷新的数据,就是在重启系统时可能丢失的那些数据。对此类数据的分析可以采用 Volatility Framework 进行。该框架向世界引入了使用RAM(易变内存)数据监视运行时进程和任意系统状态的强大力量。

该框架也为数字调查员提供了高效进行取证研究的独特平台。国家司法机构、国防力量或全球任意商业调查机构都使用该工具。

查看更多:https://github.com/volatilityfoundation/volatility

24.Sleuth Kit (+Autopsy):一个用来分析磁盘映像和恢复文件的开源取证工具

命令行接口是与计算机程序互操作的一种模式。命令行模式下,用户/客户端向程序发送连续的文本行,也就是编程语言中的指令。

Sleuth Kit 就是此类命令行接口/工具的集合。该工具可以检查受害设备的磁盘镜像,恢复出被破坏的文件。Sleuth Kit 一般与其他很多开源或商业取证工具一起用在Autopsy数字取证平台中。

Autopsy也是 Sleuth Kit 的图形用户接口,可令硬盘和智能手机分析工作更加高效。

查看更多:https://linux.cn/article-5541-1.html

以上就是本次关于24款计算机取证工具的全部介绍,你还有什么好的取证工具想要推荐上榜,欢迎留言评论

 

部分图文来自互联网,如有侵权,欢迎留言