你必須知道的全球七大頂尖取證工具!

電影電視裡常會出現計算機專家運用各種取證工具鎖定罪犯的場景，但專家們用的網絡取證工具都有哪些呢？這裡就為大家奉上全球調查人員和專業人士偏愛的7種網絡取證工具。

拷問數據，它自然會坦白。

——羅納德·考斯

網絡取證，顧名思義，就是為非法行為發生後的調查收集證據。網絡/計算機取證是數字取證科學的一個分支，為提升網絡安全而生。2002年出版的《計算機取證》一書中，計算機取證被定義為：對計算機數據的保存、鑑別、抽取、歸檔和解釋。

那麼，取證調查員幹些什麼呢？

他們基本上就是遵循一定的調查標準流程。首先，將被感染設備從網絡中物理隔離出來，給設備做個備份，並保證設備不會被外部入侵所汙染。一旦保住了設備，設備本身就留待進一步處理，而調查都是在克隆的設備上做的。

為更好地理解計算機上的東西，我們可以假設計算機是忠實的見證者，而且絕對不會騙人。除非被什麼外部人士操縱，否則網絡/計算機取證的唯一目的，就是搜索、保存並分析從受害設備上獲取到的信息，並將這些信息用作證據。

於是，這些計算機取證專業人士都用的是什麼工具呢？信息安全研究所給我們列出了一張單子，內含7種常用工具，並附有簡要描述及主要功能介紹。

1. SIFT – SANS調查取證工具包

SIFT具備檢查原始磁碟（比如直接從硬碟或其他任何存儲設備上獲取的字節級數據）、多種文件系統及證據格式的能力。該工具包基本基於Ubuntu系統，是包含了執行深度取證調查或響應調查所需工具的一張 Live CD。SIFT工具包最值得讚賞的就是：開源&免費。

SIFT堪比SANS高級事件響應課程中主打的任何現代事件響應及取證工具套裝。那麼，SIFT都支持哪些證據格式呢？從高級取證格式(AFF)到RAW(dd)證據格式都支持！

SIFT的主要特點有：

基於 Ubuntu LTS 14.04；

支持64位系統；

內存利用率更高；

自動數字取證及事件響應(DFIR)包更新及自定義設置；

最新的取證工具和技術；

可用 VMware Appliance 進行取證；

兼容Linux和Windows；

可選擇通過(.iso)鏡像文件單獨安裝或經 VMware Player/Workstation 使用ReadTheDocs上有在線文檔項目；

擴展了支持的文件系統。

https://digital-forensics.sans.org/community/downloadsdigital-forensics.sans.org

2. ProDiscover Forensic

ProDiscover Forensic 是可在給定計算機存儲磁碟上定位全部數據，同時還能保護證據並產生文檔報告的計算機/網絡安全工具。

該工具可以從受害系統中恢復任意已刪除文件並檢查剩餘空間，還可以訪問 Windows NTFS 備用數據流，預覽並搜索/捕獲（比如截屏或其他方式）硬體保護區(HPA)的進程。ProDiscover Forensic 有自己的技術來執行這些操作。

任何系統或組織中對數據的硬體防護都是非常重要的事，想突破硬體防護並不容易。ProDiscover Forensic 在扇區級讀取磁碟，因而沒有數據可以在該工具面前隱身。

ProDiscover Forensic 的主要功能有：

創建包含隱藏HPA段（專利申請中）的磁碟比特流副本供分析，可以保證原始證據不受汙染；

搜索文件或整顆磁碟（包括剩餘空間、HPA段和 Windows NT/2000/XP 備份數據流），可進行完整的磁碟取證分析；

不修改磁碟任何數據（包含文件元數據）的情況下，預覽所有文件——即便文件被隱藏或刪除；

在文件級或磁碟簇級檢查數據並交叉對比，以確保沒漏掉任何東西，即便是在磁碟剩餘空間中；

使用Perl腳本自動化調查任務。

ProDiscover® Forensic Edition — The ARC Group of NYwww.arcgroupny.com

3. Volatility Framework

Volatility Framework 是黑帽獨家發布的一個框架，與高級內存分析及取證直接相關。後者基本上就是分析受害系統中的易變內存。易變內存或易變數據是頻繁刷新的數據，就是在重啟系統時可能丟失的那些數據。對此類數據的分析可以採用 Volatility Framework 進行。該框架向世界引入了使用RAM(易變內存)數據監視運行時進程和任意系統狀態的強大力量。

該框架也為數字調查員提供了高效進行取證研究的獨特平臺。國家司法機構、國防力量或全球任意商業調查機構都使用該工具。

Volatility Framework 的主要特點有：

內聚的單一框架；

遵從開源 GPLv2 許可；

以Python語言編寫；

Windows、Linux、Mac可用；

可擴展可腳本化的API；

無可匹敵的功能集；

文件格式涵蓋全面；

快速高效的算法；

嚴謹強大的社區；

專注取證/事件響應/惡意軟體。

volatilityfoundation/volatilitygithub.com

4. Sleuth Kit (+Autopsy)

命令行接口是與電腦程式互操作的一種模式。命令行模式下，用戶/客戶端向程序發送連續的文本行，也就是程式語言中的指令。

Sleuth Kit 就是此類命令行接口/工具的集合。該工具可以檢查受害設備的磁碟鏡像，恢復出被破壞的文件。Sleuth Kit 一般與其他很多開源或商業取證工具一起用在Autopsy數字取證平臺中。

Autopsy也是 Sleuth Kit 的圖形用戶接口，可令硬碟和智慧型手機分析工作更加高效。

Autopsy功能列表：

多用戶情形：可供調查人員對大型案件進行協作分析；

時間線分析：以圖形界面顯示系統事件，方便發現各類活動；

關鍵詞搜索：文本抽取和索引搜索模塊可供發現涉及特定詞句的文件，可以找出正則表達式模式；

Web構件：從常見瀏覽器中抽取Web活動以輔助識別用戶活動；

註冊表分析：使用RegRipper來找出最近被訪問的文檔和USB設備；

LNK文件分析：發現快捷方式文件及其指向的文件；

電子郵件分析：解析MBOX格式信息，比如Thunderbird；

EXIF：從JPEG文件中抽取地理位置信息和相機信息；

文件類型排序：根據文件類型對文件分組，以便找出全部圖片或文檔；

媒體重放：不用外部瀏覽器就查看應用中的視頻和圖片；

縮略圖查看器：顯示圖片的縮略圖以快速瀏覽圖片。

Open Source Digital Forensicswww.sleuthkit.org

5. CAINE（計算機輔助調查環境）

CAINE基於Linux系統打造，通常是包含了一系列取證工具的一張 Live CD。由於最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上，熟悉這些系統的人便可以無縫使用CAINE。

CAINE的主要功能有：

computer forensics digital forensicswww.caine-live.net

6. Xplico

Xplico是又一款開源網絡取證分析工具，可以重建Wireshark、ettercap等包嗅探器抓取的網絡流量內容，來自任何地方的內容都可以。

Xplico的特性包括：

支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6協議；

埠無關的協議識別(PIPI)；

多線程；

可在SQLite資料庫或Mysql資料庫及文件中輸出數據和信息；

Xplico重組的每個數據都與一個XML文件相關聯，該XML文件唯一標識了該數據流及包含該重組數據的pcap包；

對數據記錄的大小或文件數量沒有任何限制（唯一的限制只存在於硬碟大小）；

模塊化。每個Xplico組件都是模塊化的。

某些數字取證及滲透測試作業系統，如 Kali Linux、BackTrack等，默認安裝了Xplico。

Open Source Network Forensic Analysis Tool (NFAT)www.xplico.org

7. X-Ways Forensics

X-Ways Forensics 是取證調查人員廣泛使用的高級工作平臺。調查人員使用取證工具包時面對的問題之一，就是這些工具往往很耗資源，很慢，還不能探查到所有角落。而 X-Ways Forensics 就不怎麼佔資源，更快，還能找出所有被刪除的文件，還有其他一些附加功能。該取證工具用戶友好，完全可移植，可以存放在U盤中，在Windows系統上無需任何額外的安裝。

X-Ways Forensics 的主要特點包括：

Integrated Computer Forensics Softwarewww.x-ways.net

本期編輯：糖

本文系轉載，如有侵權，請聯繫管理員刪除