【文件属性】：
文件名称：集成取证工具箱介绍-infor企业资产管理（infor eam）解决方案概览
文件大小：7.41MB
文件格式：PDF
更新时间：2021-06-22 06:37:53
日志分析 2.4 集成取证工具箱介绍 在 2.3 节中提到的 TCT 和 Forensix 工具对普通 Linux 用户来说不太容易安装，本节将 为大家介绍几款应用简便的集成取证工具。 2.4.1 用光盘系统取证 十多年前就出现了一张软盘的操作系统（比如 MenuetOS、TriangleOS 等），由于这种系 统自身体积很小，占用系统资源少， 关键的是它本身是非常“干净”的系统，在解决故障 分析及取证时非常有用，随后被扩展成为光盘操作系统和 U 盘迷你操作系统，比如基于 Knoppix Linux、Xubuntu、Lubuntu Linux 等发行版的若干版本的 LiveCD。安全专家们将 The Coroner's Toolkit（TCT）、Sleuth Kit、Autopsy Forensic Browser，以及 FLAG（Forensics Log Analysis GUI）、各种 WiFi 嗅探分析工具等流行的开源软件植入其中，就成了现在的安全取 证工具包，比较流行的有 BackTrack，DEFT 等 LiveCD。维护过 Windows 系统的朋友，一定 知道深山红叶袖珍等 PE 系统。和它类似的是 DEFT 工具箱。DEFT（数字证据及取证工具 箱）是一份定制的 Ubuntu 自启动运行 Linux 光盘发行版，它包含了 佳的硬件检测，以及 一些专用于应急响应和计算机取证的 好的开源应用软件。 下面介绍几个常用集成取证工具：DEFT Live CD、BackTrack Linux 以及 Helix LiveCD。三者都叫 LiveCD，它们并非像其他系统一样为安装在硬盘上而生。刻录在光盘上 的主要好处是不会被修改，但带来的不足是补丁、插件及漏洞库不能及时更新，与此同时开 发者推出了速度更快的 U 盘启动版本。 （1）DEFT Linux 发行版是一款专注于事件响应和计算机取证的发行版，易于使用，硬 件检测极佳，它刚刚发布了 新的 DEFT Linux 8.2。DEFT Linux 基于 Lubuntu，Kernel 2.6.38，DEFT Extra 3.0，它利用 Wine 在 Linux 中运行 Windows 上的免费计算机取证工具。 主要的计算机取证工具包括：Aleuthkit、Autopsy。 网址：http://www.deftlinux.net/