網絡技術的發展使人與人之間的聯繫更加緊密,但所有的事物都有兩面性,網絡也同樣有其不良的一面。為了提升網絡的安全性,更好地杜絕網絡上的非法行為發生,像SIFT、Volatility Framework等一批網絡取證工具就受到了全球調查人員和專業人士的重視。
所謂的網絡取證就是為非法行為發生後的調查收集證據,在2002年出版的《計算機取證》一書中,計算機取證被定義為:對計算機數據的保存、鑑別、抽取、歸檔和解釋。字面意思看似簡單,但操作起來極其複雜,要知道相比於真實的現場證據取證,網絡是一個虛擬的世界,在裡面取證,難度可想而知,不過如果有強大的網絡取證工具協助,網絡取證調查員和計算機取證專業人士就可以將這些信息用作證據,將罪犯繩之於法,為此下面就給大家介紹一下目前主流的網絡取證工具有哪些(排名不分先後)。
ProDiscover Forensic
ProDiscover Forensic最大的優勢就在於其可以在不修改磁碟任何數據的情況下,即便文件被隱藏或刪除都可以預覽所有的文件。它是一款可以定位計算機上全部數據,保護證據並產生文檔報告的計算機/網絡安全工具。
目前很多專業人士都使用它來進行磁碟的讀取,因為在ProDiscover Forensic的扇區級讀取磁碟的加持下,沒有數據可以在該工具面前隱身,為網絡取證提供極大的便利。
Sleuth Kit (+Autopsy)
前面說的是一種磁碟掃描取證工具,而Sleuth Kit則屬於一種命令行接口/工具的集合,在該工具的加持下,專業人員就可以檢查受害設備的磁碟鏡像,恢復被破壞的文件,當然了Sleuth Kit一般與其他很多開源或商業取證工具一起用在Autopsy數字取證平臺中,這樣子的網絡取證才會更加高效。
CAINE
CAINE的優勢是其擁有友好的用戶界面,方便使用者使用,它是一套基於Linux系統打造的產品,更多只是一個計算機輔助的調查環境工具,還需要跟其他網絡取證工具協作使用才能發揮實力。
X-Ways Forensics
使用網絡取證工具往往都會相當的耗費資源,而且檢索也相當緩慢,但X-Ways Forensics不怎麼佔資源,還可以存放在U盤中,無需在Windows系統上進行額外的安裝,同時在搜索被刪除文件的速度上也更快,因此成為了目前取證調查人員廣泛使用的高級工作平臺。
Xplico
有些網絡取證工具針對的是磁碟上的取證,而有些則是注重於網絡流量上的內容,而Xpilco就是屬於後者的代表,它是一款開源的網絡取證分析工具,支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6多種協議,可以重建Wireshark、Ettercap等包嗅探器抓取的網絡流量內容,實現對任何地方的內容獲取。
Volatility Framework
Volatility Framework是一個與高級內存分析及取證直接相關的框架,正因為該工具可以分析到受害系統中的易變內存,實現了使用RAM(易變內存)數據監視運行時進程和任意系統狀態而聞名,目前該框架已經被國家司法機構、國防力量或全球任意商業調查機構所使用,大大提升了取證的效率。
為網絡取證快速提供數據支持——Gigamon
看了幾款主流的網絡取證工具,肯定有人會問G探長,這些網絡取證工具的數據是怎麼來的?那除了掃描硬碟網,網絡取證的工具數據來源就要關乎到一些數據公司的合作了,而提供網絡可視化服務的 Gigamon就算是其中之一。
速度與安全,兩者兼得。成立於2004年,距今已經有16年的歷史,可以說是見證了整個網際網路的高速快速發展時期,它是DAN數據接入領域(Data Access Network)的開拓者,開創了DAN 數據訪問網絡市場,長期以來致力於網絡性能提速、網絡安全,在2008年的時候更是被Frost & Sullivan評為全球監測領域最佳新興技術公司,在網絡取證方面給予了強力的支持。
目前Gigamon已經與全球50個國家的運營商、金融、政府和製造等行業展開良好的合作,用戶的各種性能分析與安全監測工具可以自由地從網絡中獲取數據,也為後續的網絡取證提供了便利,大大增強了網絡的安全性。
通過對目前主流的網絡取證工具介紹,相信大家對如何實現網絡取證已經有初步的了解,通常而言,這些工具都主攻於某一方面的取證,例如Registry Recon注重的是註冊表,Sleuth Kit注重的是磁碟掃描,而在取證工具前端,Gigamon注重的是DAN數據接入領域。專業調查人員正是通過這些工具的輔助,才得以換來我們安全的網絡環境,防止網絡犯罪的蔓延,將犯人繩之以法。
(文中圖片來源自網絡)