情报工具│你必须知道的全球七大顶尖取证工具！ / 开普饭

电影电视里常会出现计算机专家运用各种取证工具锁定罪犯的场景，但专家们用的网络取证工具都有哪些呢？这里就为大家奉上全球调查人员和专业人士偏爱的7种网络取证工具。

拷问数据，它自然会坦白。

——罗纳德·考斯

网络取证，顾名思义，就是为非法行为发生后的调查收集证据。网络/计算机取证是数字取证科学的一个分支，为提升网络安全而生。2002年出版的《计算机取证》一书中，计算机取证被定义为：对计算机数据的保存、鉴别、抽取、归档和解释。

那么，取证调查员干些什么呢？

他们基本上就是遵循一定的调查标准流程。首先，将被感染设备从网络中物理隔离出来，给设备做个备份，并保证设备不会被外部入侵所污染。一旦保住了设备，设备本身就留待进一步处理，而调查都是在克隆的设备上做的。

为更好地理解计算机上的东西，我们可以假设计算机是忠实的见证者，而且绝对不会骗人。除非被什么外部人士操纵，否则网络/计算机取证的唯一目的，就是搜索、保存并分析从受害设备上获取到的信息，并将这些信息用作证据。

于是，这些计算机取证专业人士都用的是什么工具呢？信息安全研究所给我们列出了一张单子，内含7种常用工具，并附有简要描述及主要功能介绍。

1. SIFT – SANS调查取证工具包

SIFT具备检查原始磁盘（比如直接从硬盘或其他任何存储设备上获取的字节级数据）、多种文件系统及证据格式的能力。该工具包基本基于Ubuntu系统，是包含了执行深度取证调查或响应调查所需工具的一张 Live CD。SIFT工具包最值得赞赏的就是：开源&免费。

SIFT堪比SANS高级事件响应课程中主打的任何现代事件响应及取证工具套装。那么，SIFT都支持哪些证据格式呢？从高级取证格式(AFF)到RAW(dd)证据格式都支持！

SIFT的主要特点有：

基于 Ubuntu LTS 14.04；
支持64位系统；
内存利用率更高；
自动数字取证及事件响应(DFIR)包更新及自定义设置；
最新的取证工具和技术；
可用 VMware Appliance 进行取证；
兼容Linux和Windows；
可选择通过(.iso)镜像文件单独安装或经 VMware Player/Workstation 使用ReadTheDocs上有在线文档项目；
扩展了支持的文件系统。

https://digital-forensics.sans.org/community/downloadsdigital-forensics.sans.org

2. ProDiscover Forensic

ProDiscover Forensic 是可在给定计算机存储磁盘上定位全部数据，同时还能保护证据并产生文档报告的计算机/网络安全工具。

该工具可以从受害系统中恢复任意已删除文件并检查剩余空间，还可以访问 Windows NTFS 备用数据流，预览并搜索/捕获（比如截屏或其他方式）硬件保护区(HPA)的进程。ProDiscover Forensic 有自己的技术来执行这些操作。

任何系统或组织中对数据的硬件防护都是非常重要的事，想突破硬件防护并不容易。ProDiscover Forensic 在扇区级读取磁盘，因而没有数据可以在该工具面前隐身。

ProDiscover Forensic 的主要功能有：

创建包含隐藏HPA段（专利申请中）的磁盘比特流副本供分析，可以保证原始证据不受污染；
搜索文件或整颗磁盘（包括剩余空间、HPA段和 Windows NT/2000/XP 备份数据流），可进行完整的磁盘取证分析；
不修改磁盘任何数据（包含文件元数据）的情况下，预览所有文件——即便文件被隐藏或删除；
在文件级或磁盘簇级检查数据并交叉对比，以确保没漏掉任何东西，即便是在磁盘剩余空间中；
使用Perl脚本自动化调查任务。

ProDiscover® Forensic Edition — The ARC Group of NYwww.arcgroupny.com

3. Volatility Framework

Volatility Framework 是黑帽独家发布的一个框架，与高级内存分析及取证直接相关。后者基本上就是分析受害系统中的易变内存。易变内存或易变数据是频繁刷新的数据，就是在重启系统时可能丢失的那些数据。对此类数据的分析可以采用 Volatility Framework 进行。该框架向世界引入了使用RAM(易变内存)数据监视运行时进程和任意系统状态的强大力量。

该框架也为数字调查员提供了高效进行取证研究的独特平台。国家司法机构、国防力量或全球任意商业调查机构都使用该工具。

Volatility Framework 的主要特点有：

内聚的单一框架；
遵从开源 GPLv2 许可；
以Python语言编写；
Windows、Linux、Mac可用；
可扩展可脚本化的API；
无可匹敌的功能集；
文件格式涵盖全面；
快速高效的算法；
严谨强大的社区；
专注取证/事件响应/恶意软件。

volatilityfoundation/volatilitygithub.com

4. Sleuth Kit (+Autopsy)

命令行接口是与计算机程序互操作的一种模式。命令行模式下，用户/客户端向程序发送连续的文本行，也就是编程语言中的指令。

Sleuth Kit 就是此类命令行接口/工具的集合。该工具可以检查受害设备的磁盘镜像，恢复出被破坏的文件。Sleuth Kit 一般与其他很多开源或商业取证工具一起用在Autopsy数字取证平台中。

Autopsy也是 Sleuth Kit 的图形用户接口，可令硬盘和智能手机分析工作更加高效。

Autopsy功能列表：

多用户情形：可供调查人员对大型案件进行协作分析；
时间线分析：以图形界面显示系统事件，方便发现各类活动；
关键词搜索：文本抽取和索引搜索模块可供发现涉及特定词句的文件，可以找出正则表达式模式；
Web构件：从常见浏览器中抽取Web活动以辅助识别用户活动；
注册表分析：使用RegRipper来找出最近被访问的文档和USB设备；
LNK文件分析：发现快捷方式文件及其指向的文件；
电子邮件分析：解析MBOX格式信息，比如Thunderbird；
EXIF：从JPEG文件中抽取地理位置信息和相机信息；
文件类型排序：根据文件类型对文件分组，以便找出全部图片或文档；
媒体重放：不用外部浏览器就查看应用中的视频和图片；
缩略图查看器：显示图片的缩略图以快速浏览图片。

Open Source Digital Forensicswww.sleuthkit.org

5. CAINE（计算机辅助调查环境）

CAINE基于Linux系统打造，通常是包含了一系列取证工具的一张 Live CD。由于最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上，熟悉这些系统的人便可以无缝使用CAINE。

CAINE的主要功能有：

CAINE界面——集成了一些著名取证工具的用户友好界面，其中很多工具都是开源的；
经过更新优化的取证分析环境；
半自动化的报告生成器。

computer forensics digital forensicswww.caine-live.net

6. Xplico

Xplico是又一款开源网络取证分析工具，可以重建Wireshark、ettercap等包嗅探器抓取的网络流量内容，来自任何地方的内容都可以。

Xplico的特性包括：

支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6协议；
端口无关的协议识别(PIPI)；
多线程；
可在SQLite数据库或Mysql数据库及文件中输出数据和信息；
Xplico重组的每个数据都与一个XML文件相关联，该XML文件唯一标识了该数据流及包含该重组数据的pcap包；
对数据记录的大小或文件数量没有任何限制（唯一的限制只存在于硬盘大小）；
模块化。每个Xplico组件都是模块化的。
某些数字取证及渗透测试操作系统，如 Kali Linux、BackTrack等，默认安装了Xplico。

Open Source Network Forensic Analysis Tool (NFAT)www.xplico.org

7. X-Ways Forensics

X-Ways Forensics 是取证调查人员广泛使用的高级工作平台。调查人员使用取证工具包时面对的问题之一，就是这些工具往往很耗资源，很慢，还不能探查到所有角落。而 X-Ways Forensics 就不怎么占资源，更快，还能找出所有被删除的文件，还有其他一些附加功能。该取证工具用户友好，完全可移植，可以存放在U盘中，在Windows系统上无需任何额外的安装。

X-Ways Forensics 的主要特点包括：

磁盘克隆与镜像；
能读取RAW(.dd)镜像文件、ISO、VHD和VMDK镜像中的分区和文件系统结构；
可读取磁盘、磁盘阵列和超过2TB的镜像；
自动识别丢失/已删除的分区；
可用模板查看并编辑二进制数据结构；
递归浏览所有子目录中的所有现有及已删除文件。

Integrated Computer Forensics Softwarewww.x-ways.net

情报工具│你必须知道的全球七大顶尖取证工具！