拷问数据,它自然会坦白。
——罗纳德·考斯
网络取证,顾名思义,就是为非法行为发生后的调查收集证据。网络/计算机取证是数字取证科学的一个分支,为提升网络安全而生。2002年出版的《计算机取证》一书中,计算机取证被定义为:对计算机数据的保存、鉴别、抽取、归档和解释。
那么,取证调查员干些什么呢?
他们基本上就是遵循一定的调查标准流程。首先,将被感染设备从网络中物理隔离出来,给设备做个备份,并保证设备不会被外部入侵所污染。一旦保住了设备,设备本身就留待进一步处理,而调查都是在克隆的设备上做的。
为更好地理解计算机上的东西,我们可以假设计算机是忠实的见证者,而且绝对不会骗人。除非被什么外部人士操纵,否则网络/计算机取证的唯一目的,就是搜索、保存并分析从受害设备上获取到的信息,并将这些信息用作证据。
于是,这些计算机取证专业人士都用的是什么工具呢?信息安全研究所给我们列出了一张单子,内含7种常用工具,并附有简要描述及主要功能介绍。
1. SIFT - SANS调查取证工具包
SIFT具备检查原始磁盘(比如直接从硬盘或其他任何存储设备上获取的字节级数据)、多种文件系统及证据格式的能力。该工具包基本基于Ubuntu系统,是包含了执行深度取证调查或响应调查所需工具的一张 Live CD。SIFT工具包最值得赞赏的就是:开源&免费。
SIFT堪比SANS高级事件响应课程中主打的任何现代事件响应及取证工具套装。那么,SIFT都支持哪些证据格式呢?从高级取证格式(AFF)到RAW(dd)证据格式都支持!
SIFT的主要特点有:
基于 Ubuntu LTS 14.04;
支持64位系统;
内存利用率更高;
自动数字取证及事件响应(DFIR)包更新及自定义设置;
最新的取证工具和技术;
可用 VMware Appliance 进行取证;
兼容Linux和Windows;
可选择通过(.iso)镜像文件单独安装或经 VMware Player/Workstation 使用ReadTheDocs上有在线文档项目;
扩展了支持的文件系统。
https://digital-forensics.sans.org/community/downloads
2. ProDiscover Forensic
ProDiscover Forensic 是可在给定计算机存储磁盘上定位全部数据,同时还能保护证据并产生文档报告的计算机/网络安全工具。
该工具可以从受害系统中恢复任意已删除文件并检查剩余空间,还可以访问 Windows NTFS 备用数据流,预览并搜索/捕获(比如截屏或其他方式)硬件保护区(HPA)的进程。ProDiscover Forensic 有自己的技术来执行这些操作。
任何系统或组织中对数据的硬件防护都是非常重要的事,想突破硬件防护并不容易。ProDiscover Forensic 在扇区级读取磁盘,因而没有数据可以在该工具面前隐身。
ProDiscover Forensic 的主要功能有:
创建包含隐藏HPA段(专利申请中)的磁盘比特流副本供分析,可以保证原始证据不受污染;
搜索文件或整颗磁盘(包括剩余空间、HPA段和 Windows NT/2000/XP 备份数据流),可进行完整的磁盘取证分析;
不修改磁盘任何数据(包含文件元数据)的情况下,预览所有文件——即便文件被隐藏或删除;
在文件级或磁盘簇级检查数据并交叉对比,以确保没漏掉任何东西,即便是在磁盘剩余空间中;
使用Perl脚本自动化调查任务。
https://www.arcgroupny.com/products/prodiscover-forensic-edition/
3. Volatility Framework
Volatility Framework 是黑帽独家发布的一个框架,与高级内存分析及取证直接相关。后者基本上就是分析受害系统中的易变内存。易变内存或易变数据是频繁刷新的数据,就是在重启系统时可能丢失的那些数据。对此类数据的分析可以采用 Volatility Framework 进行。该框架向世界引入了使用RAM(易变内存)数据监视运行时进程和任意系统状态的强大力量。
该框架也为数字调查员提供了高效进行取证研究的独特平台。国家司法机构、国防力量或全球任意商业调查机构都使用该工具。
Volatility Framework 的主要特点有:
内聚的单一框架;
遵从开源 GPLv2 许可;
以Python语言编写;
Windows、Linux、Mac可用;
可扩展可脚本化的API;
无可匹敌的功能集;
文件格式涵盖全面;
快速高效的算法;
严谨强大的社区;
专注取证/事件响应/恶意软件。
https://github.com/volatilityfoundation/volatility
4. Sleuth Kit (+Autopsy)
命令行接口是与计算机程序互操作的一种模式。命令行模式下,用户/客户端向程序发送连续的文本行,也就是编程语言中的指令。
Sleuth Kit 就是此类命令行接口/工具的集合。该工具可以检查受害设备的磁盘镜像,恢复出被破坏的文件。Sleuth Kit 一般与其他很多开源或商业取证工具一起用在Autopsy数字取证平台中。
Autopsy也是 Sleuth Kit 的图形用户接口,可令硬盘和智能手机分析工作更加高效。
Autopsy功能列表:
多用户情形:可供调查人员对大型案件进行协作分析;
时间线分析:以图形界面显示系统事件,方便发现各类活动;
关键词搜索:文本抽取和索引搜索模块可供发现涉及特定词句的文件,可以找出正则表达式模式;
Web构件:从常见浏览器中抽取Web活动以辅助识别用户活动;
注册表分析:使用RegRipper来找出最近被访问的文档和USB设备;
LNK文件分析:发现快捷方式文件及其指向的文件;
电子邮件分析:解析MBOX格式信息,比如Thunderbird;
EXIF:从JPEG文件中抽取地理位置信息和相机信息;
文件类型排序:根据文件类型对文件分组,以便找出全部图片或文档;
媒体重放:不用外部浏览器就查看应用中的视频和图片;
缩略图查看器:显示图片的缩略图以快速浏览图片。
https://www.sleuthkit.org/
5. CAINE(计算机辅助调查环境)
CAINE基于Linux系统打造,通常是包含了一系列取证工具的一张 Live CD。由于最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上,熟悉这些系统的人便可以无缝使用CAINE。
CAINE的主要功能有:
CAINE界面——集成了一些著名取证工具的用户友好界面,其中很多工具都是开源的;
经过更新优化的取证分析环境;
半自动化的报告生成器。
https://www.caine-live.net/
6. Xplico
Xplico是又一款开源网络取证分析工具,可以重建Wireshark、ettercap等包嗅探器抓取的网络流量内容,来自任何地方的内容都可以。
Xplico的特性包括:
支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6协议;
端口无关的协议识别(PIPI);
多线程;
可在SQLite数据库或Mysql数据库及文件中输出数据和信息;
Xplico重组的每个数据都与一个XML文件相关联,该XML文件唯一标识了该数据流及包含该重组数据的pcap包;
对数据记录的大小或文件数量没有任何限制(唯一的限制只存在于硬盘大小);
模块化。每个Xplico组件都是模块化的。
某些数字取证及渗透测试操作系统,如 Kali Linux、BackTrack等,默认安装了Xplico。
https://www.xplico.org/
7. X-Ways Forensics
X-Ways Forensics 是取证调查人员广泛使用的高级工作平台。调查人员使用取证工具包时面对的问题之一,就是这些工具往往很耗资源,很慢,还不能探查到所有角落。而 X-Ways Forensics 就不怎么占资源,更快,还能找出所有被删除的文件,还有其他一些附加功能。该取证工具用户友好,完全可移植,可以存放在U盘中,在Windows系统上无需任何额外的安装。
X-Ways Forensics 的主要特点包括:
磁盘克隆与镜像;
能读取RAW(.dd)镜像文件、ISO、VHD和VMDK镜像中的分区和文件系统结构;
可读取磁盘、磁盘阵列和超过2TB的镜像;
自动识别丢失/已删除的分区;
可用模板查看并编辑二进制数据结构;
递归浏览所有子目录中的所有现有及已删除文件。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。