2019年最热门的计算机取证工具推荐

计算机取证是与计算机和互联网相关的犯罪相关的计算机科学的一个非常重要的分支。早些时候，计算机仅用于生成数据，但现在它已扩展到与电子数据相关的所有设备。计算机取证（电子数据取证）简单来说，是指利用科技与严谨的检查程序（工具），从计算机系统或其它类似的电子存储媒体中，查找罪行相关物证或间接物证，从而进行犯罪调查。

为了更好的研究和调查，开发人员创建了许多计算机取证工具。执法部门和调查机构根据各种场景因素选择相应的工具来开展数字取证工作。

计算机取证工具大致分为以下几类：

☞   磁盘和数据捕获工具

☞   文件查看器

☞   文件分析工具

☞   注册表分析工具

☞   互联网分析工具

☞   电子邮件分析工具

☞   移动设备分析工具

☞   Mac OS分析工具

☞   网络取证工具

☞   数据库取证工具

在本文章中列出了一些重要且流行的电子数据取证工具。仅供安全专业人士了解。阅读之前，我想明确表示所列工具是随机排序的。所以，请不要以此试图将工具优先排名。

Dx01

Passware Kit Forensic

Passware Kit Forensic是一套完整的电子证据发现工具，它可以将计算机上所有受密码保护的项目检索报告并解密。该软件可识别280多种文件类型，并支持在批处理模式下恢复其密码。

主要热点功能：现场记忆分析、云数据获取、移动取证、硬件加速、智能检测、恢复BitLocker保护、GPU加速密码恢复等功能。

https://www.passware.com/kit-forensic

Dx02

Digital Forensics Framework

Digital Forensics Framework（DFF）是计算机取证开源软件。专业人员和非专家使用它来收集，保存和显示数字证据，而不会影响系统和数据。

主要热点功能：它可以由专业人士或非专家使用，没有任何使用麻烦。它可用于数字监管链，访问远程或本地设备，Windows或Linux操作系统的取证，隐藏已删除文件的恢复，快速搜索文件的元数据以及各种其他内容。

http://digital-forensic.org/

Dx03

Open Computer Forensics Architecture

Open Computer Forensics Architecture（OCFA）是另一种流行的分布式开源计算机取证框架。该框架基于Linux平台构建，使用postgreSQL数据库存储数据。

主要热点功能：它由荷兰国家警察局建立，用于自动化数字取证过程。

http://sourceforge.net/projects/ocfa/

Dx04

CAINE

CAINE（计算机辅助调查环境）是为数字取证创建的Linux发行版。它提供了一个以用户友好的方式将现有软件工具集成为软件模块的环境。

主要热点功能： 这个工具是开源的。

https://www.caine-live.net/

Dx05

Cellebrite UFED

Cellebrite UFED解决方案提供了一个统一的工作流程，允许审查员，调查员和第一响应者以一种情况需要的速度和准确性来收集，保护和果断地处理移动数据。

主要热点功能： UFED Pro系列专为司法取证和研究人员而设计，他们需要最全面，最新的移动数据提取和解码支持，以应对新数据源的涌入。

https://www.cellebrite.com/en/product/solutions/extract-decode/

Dx06

X-Ways Forensics

X-Ways Forensics 是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件，可在 Windows XP及以上操作系统下运行，支持32 /64 位, Standard/PE/FE等版本。

主要热点功能：它在运行时占用的资源更少，因此它在工作时更高效，运行更快速，并且能恢复已删除的文件，X-Ways Forensics 可随身携带，能够通过U盘在任意Windows操作系统下使用，无需安装。

http://www.x-ways.net/forensics/index-c.html

Dx07

EnCase

EnCase是Guidance Software（现已被OpenText收购）的一套数字调查产品中的共享技术。该软件包含多种产品，专为法医，网络安全，安全分析和电子发现使用而设计。

主要热点功能：EnCase是另一个流行的多用途取证平台，为数字取证过程的几个领域提供了许多不错的工具。该工具可以快速从各种设备收集数据并发现潜在的证据。它还根据证据生成报告。

https://www.guidancesoftware.com/encase-forensic

Dx08

Registry Recon

Registry Recon是一种流行的注册表分析工具。它从证据中提取注册表信息，然后重建注册表表示。它可以从当前和以前的Windows安装中重建注册表。

主要热点功能：Registry Recon提供对大量已有效删除的注册表数据的访问，无论是由于良性系统活动，用户的渎职，还是由IT人员重新成像而发生的删除。

https://arsenalrecon.com/products/

Dx09

The Sleuth Kit

Sleuth Kit（TSK）是一个基于Unix和Windows的实用程序的库和集合，用于促进计算机系统的取证分析。它是由数字调查员Brian Carrier编写并维护的。

主要热点功能：SleuthKit是一系列命令行工具和C库，允许您分析磁盘映像并从中恢复文件。

https://www.sleuthkit.org/sleuthkit/

Dx010

Llibforensics

Libforensics是一个开发数字取证应用程序的库。它是用Python开发的，带有各种演示工具，可以从各种类型的证据中提取信息。

主要热点功能：LibForensics需要Python 3.1版。您可以从http://www.python.org获取最新版本的Python。

https://code.google.com/archive/p/libforensics/

Dx11

Volatility

Volatility（波动性）是记忆取证框架。它用于事件响应和恶意软件分析。使用此工具，您可以从正在运行的进程、网络套接字、网络连接、DLL和注册表配置单元中提取信息。它还支持从Windows崩溃转储文件和休眠文件中提取信息。

主要热点功能：Volatility支持来自所有主要32位和64位Windows版本和服务包的内存转储，还支持带ARM处理器的Android手机，同时也支持从10.5到10.9.4小牛队的32个和64位Mac OSX内存转储的38个版本。

https://www.volatilityfoundation.org/

Dx012

WindowsSCOPE

WindowsSCOPE是Windows的内存取证和逆向工程产品，用于获取和分析易失性存储器。其用途之一是对rootkit和其他恶意软件进行检测和逆向工程。WindowsSCOPE支持通过Windows 10获取和分析运行Windows XP的Windows计算机。

主要热点功能：它主要用于恶意软件的逆向工程。它提供分析Windows内核、驱动程序、DLL、虚拟和物理内存的功能。

http://www.windowsscope.com/

Dx013

The Coroner’s Toolkit

The Coroner’s Toolkit（或TCT）是Dan Farmer和Wietse Venema提供的一套免费计算机安全程序，用于数字取证分析。该套件在几个与Unix相关的操作系统下运行：FreeBSD、OpenBSD、BSD / OS、SunOS / Solaris、Linux和HP-UX。

主要热点功能：TCT根据IBM Public License的条款发布。它可用于帮助分析计算机灾难和数据恢复。

http://www.porcupine.org/forensics/tct.html

Dx014

Oxygen Forensic Kit

Oxygen Forensic Kit专为便携性而设计，是一种独特的移动解决方案。专为希望始终为最恶劣条件准备好设备的调查人员而设计。

主要热点功能：Oxygen Forensic Kit不仅可以从设备中提取数据，还可以在现场创建报告和分析数据。

https://www.oxygen-forensic.com/en/products/oxygen-forensic-kit

Dx015

Bulk Extractor

Bulk Extractor是一种重要且受欢迎的数字取证工具。它扫描磁盘映像，文件或文件目录以提取有用信息。在这个过程中，它忽略了文件系统结构，因此它比其他类似的工具更快。

主要热点功能：它基本上被情报和执法机构用于解决网络犯罪。

http://downloads.digitalcorpora.org/downloads/bulk_extractor/

Dx016

Xplico

Xplico是一种网络取证分析工具（NFAT），它是一种重建使用数据包嗅探器（例如Wireshark、tcpdump、Netsniff-ng）执行的采集内容的软件。

主要热点功能：它主要用于从使用Internet和网络协议的应用程序中提取有用数据。 它支持大多数流行的协议，包括HTTP、IMAP、POP、SMTP、SIP、TCP、UDP、TCP等。 该工具的输出数据存储在MySQL数据库的SQLite数据库中。它还支持IPv4和IPv6。

https://www.xplico.org/

Dx017

Mandiant RedLine

Mandiant RedLine是一种流行的内存和文件分析工具。它收集有关主机上运行进程的信息，内存中的驱动程序以及收集元数据、注册表数据、任务、服务、网络信息和Internet历史记录等其他数据，以构建正确的报告。

主要热点功能：它主要应用于内存分析和文件分析。

https://www.fireeye.com/services/freeware/redline.html

Dx018

P2 eXplorer

P2 eXplorer是一种取证图像安装工具，旨在帮助调查人员检查案件。使用此图像，您可以将取证图像作为只读本地和物理光盘安装，然后使用文件资源管理器浏览图像的内容。您可以轻松查看已删除的数据和图像的未分配空间。

主要热点功能：它可以一次安装多个图像。 它支持大多数图像格式，包括EnCasem、safeBack、PFR、FTK DD、WinImage，来自Linux DD的Raw图像和VMWare图像。它支持逻辑和物理图像类型。

https://www.paraben.com/p2-explorer.html

Dx019

PlainSight

PlainSight是另一种有用的数字取证工具。它是一个基于CD的Knoppix，是一个Linux发行版。

主要热点功能：它的一些用途包括查看Internet历史记录，数据雕刻，检查USB设备使用情况，提取密码哈希的内存转储，信息收集，检查Windows防火墙配置，查看最近的文档以及其他有用的任务。要使用它，您只需要从CD启动并按照说明进行操作。

http://www.plainsight.info/index.html

Dx020

XRY

XRY是Micro Systemation开发的移动取证工具。它用于分析和恢复移动设备的关键信息。此工具附带硬件设备和软件。硬件将移动电话连接到PC，软件执行设备分析并提取数据。它旨在恢复取证数据以进行取证分析。

主要热点功能：该工具的最新版本可以从各种智能手机恢复数据，包括Android、iPhone和BlackBerry。它收集删除的数据，如通话记录、图像、短信。

http://www.msab.com/xry/what-is-xry

Dx021

HELIX3

HELIX3是一个基于CD的实时数字取证套件，用于事件响应。它配备了许多开源数字取证工具，包括十六进制编辑器，数据雕刻和密码破解工具。

主要热点功能：此工具可以从物理内存、网络连接、用户帐户、执行进程和服务、计划作业，Windows Registry、聊天日志、屏幕捕获、SAM文件、应用程序、驱动程序、环境变量和Internet历史记录中收集数据。然后，它分析和审查数据，以生成基于报告的编译结果。

http://www.e-fense.com/h3-enterprise.php

以上二十一种神器介绍完毕

声明：本文来自前沿信安资讯阵地，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。