电子取证工具总结

摘要:
电子取证工具在计算机取证过程中,相应的取证工具必不可少,包括Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot、Tripwires、Networkmonitor、图像工具等,利用计算机软硬件技术,对计算机入侵、破坏、欺诈、攻击和其他犯罪行为,按照法律规范分析和出示证据。
电子取证工具
 

在计算机取证过程中,相应的取证工具必不可少,常见的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot,Tripwires、Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件,但很多工具都属于付费软件,很多读者不可能免费拥有它们,但有一些开源工具或者操作系统自身的工具也可以实现很好的使用效果。

   知识链接:对计算机犯罪评定的标准主要来自于计算机取证。计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。

   最著名的免费软件是1999年Dan Farmer和Wietse Venema编写Coroners工具包。它是能够帮助对计算机犯罪进行取证检查的一些工具软件的集合,它的最初设计平台是UNIX系统,但也能对非UNIX的磁盘、介质做有限的数据获取和分析。是目前应用较广泛的免费计算机取证工具包,它包括下列工具:

 Grave-robber:以数据的易变性为序搜集数据供以后的取证分析工具使用,它搜集的数据包括进程和网络信息、磁盘文件信息等;
 Unrm:磁盘数据恢复工具,拷贝所有未分配的数据块到指定文件; 
 Lazarus:恢复已删除文件的工具; 
 Mactime:确定在一个特定的时间段内那些文件被访问或修改过; 

   准备取证工具
 文件浏览器:这类工具是专门用来查看数据文件的阅读工具。只用于查看而没有编辑和恢复功能,从而体积较小并可以防止证据的破坏。比较好的软件是Quik View Plus。它可以识别200种以上文件类型,可以浏览各种电子邮件文档。 

 图片检查工具:Thumbs Plus是一个功能很全面的进行图片检查的工具。

 反删除工具:这方面的取证分析工具中最主要的是诺顿工具,虽然这是一个老式的工具,但在有些时候是很有用的。

 CD-ROM工具:使用CD-R Diagnostics可以看到在一般情况下看不到的数据。

 文本搜索工具:dtSearch是一个很好的用于文本搜索的工具,特别是具有搜索Outlook的.pst文件的能力。

 驱动器映像程序:可以满足取证分析,即逐位拷贝以建立整个驱动器的映像的磁盘映像软件包括SafeBackSnapBack、Ghost、dd等。

 磁盘擦除工具:这类工具主要用在使用取证分析机器之前,为了确保分析机器的驱动器中不包含残余数据,显然,只是简单的格式化肯定不行。从软盘启动后运行NTI公司的DiskScrub程序即可把硬盘上的每一扇区的数据都清除掉。

 Forensic Toolkit:是一系列基于命令行的工具,可以帮助推断Windows NT文件系统中的访问行为。这些程序包括的命令有:AFind(根据最后访问时间给出文件列表,而这并不改变目录的访问时间)、HFind(扫描磁盘中有隐藏属性的文件)、SFind(扫描整个磁盘寻找隐藏的数据流)、FileStat(报告所有单独文件的属性)、NTLast(提供标准的GUI事件浏览器之外对每一个会话都记录了登录及登出时间,并且它能够指出登录是远程的还是本地的)。

 ForensicX:主要运行于Linux环境,是一个以收集数据及分析数据为主要目的的工具。它与配套的硬件组成专门工作平台。它利用了Linux支持多种文件系统的特点,提供在不同的文件系统里自动装配映像等能力、能够发现分散空间里的数据、可以分析Unix系统是否含有木马程序。其中的Webtrace可以自动搜索互联网上的域名,为网络取证进行必要的收集工作,新版本具有识别隐藏文件的工具。

 New Technologies Incorporated:NTI是取证软件最为固定的商家之一。NTI以命令的形式执行软件,所以速度很快,软件包的体积小,适合于在软盘上使用。该公司提供的取证工具包括:
 CRCMD5:一个可以验证一个或多个文件内容的CRC工具;
 DiskScrub:一个用于清除硬盘驱动器中所有数据的工具;
 DiskSig:一个CRC程序,用于验证映像备份的精确性;
 FileList:一个磁盘目录工具用来建立用户在该系统上的行为时间表;
 Filter_we:一种用于周围环境数据的智能模糊逻辑过滤器;
 GetSlack:一种周围环境数据收集工具,用于捕获未分配的数据;
 GetTime:一种周围环境数据收集工具,用于捕获分散的文件;
 Net Threat Analyzer:网络取证分析软件,用于识别公司互联网络账号滥用;
 M-Sweep:一种周围环境数据清除工具;
 NTI-DOC:一种文件程序用于记录文件的日期、时间以及属性;
 PTable:用于分析及证明硬盘驱动器分区的工具;
 Seized:一种用于对证据计算机上锁及保护的程序;
 ShowFL:用于分析文件输出清单的程序;
 TextSearch Plus:用来定位文本或图形文件中的字符串的工具。

    准备镜像工具
    在采集证据的过程中最主要的工作就是对各种介质进行镜像。

    用磁盘镜像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)对目标系统磁盘驱动中的所有数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理,万一对收集来的电子证据产生疑问时,可用镜像备份的数据恢复到系统的原始状态,作为分析数据的原始参考数据,使得分析的结果具有可信性。

    UNIX环境下,dd是能够完成这项工作的通用命令,尽量在你的工具包里包含各种类型、各种版本UNIX系统的dd命令,通过它可以很容易地为被调查机器的整个驱动器制作一个镜像。Windows平台上也有很多类似的软件,我们也可以选择Ghost来完成这项工作。

    准备存储装置
    用于存放证据的存储介质一定要事先进行处理,使用公认可靠的数据擦除软件进行擦除,以避免介质中的残余数据对证据的分析和取信造成影响。在存储证据时,最常用的硬件设备是移动硬盘,除了应该具备尽量大的容量之外,硬盘盒的接口也应该尽量丰富,至少应该同时拥有IDE、SCSI、PCMCIA等常用接口的移动存储设备。除了移动硬盘之外,软盘、Zip软盘、MO、CD-R等存储介质也应该尽量充实到你的工具箱中,因为我们实在无法知道被调查的机器到底具有怎样的外设。

    百宝箱
    目前在国内外的计算机取证产品中,已经出现了许多不同功能、不同外观的取证工具箱,所有这些取证设备依据其功能和形式主要分为三种:改装型、工控型和组合型。

    改装型主要将台式计算机主板、显示器等部件安置于特定工具箱内,优化各接口的连接方式,将全部端口引于面板上,便于设备的连接使用。由于普通笔记本计算机无法直接连接并快速获取IDE硬盘数据,因此这种取证箱的最大优点是便于对硬盘数据的预览和获取。

    工控型主要利用工业控制机可携带,扩展方便的特点,利用各种PCI功能扩展卡增强计算机的功能。此种设备端口齐全,具有防震设计。缺点是体积大且重,不易伪装。

    组合型将各种常见的取证设备合理搭配,放置于特制的箱包中,组成功能全面的取证系统。主流方案是采用笔记本计算机,配合各种移动存储介质和专业计算机取证器材,实现对不同信息存储介质的检查与获取。这种方案优点是端口齐全,各种设备使用灵活,便于伪装和携带。

    除了这些,现在市场上还可以购买到很多专用的调查设备,比如以Forensic MD5为代表的手持式取证设备,以及Forensic Computer出品的便携式取证箱等等,这些产品在复制数据的时候速度很快,具备丰富的让你不敢相信的接口,可以应付各种取证要求,而且便于携带,是计算机取证人员真正的百宝箱。

    针对Windows 系统安全工具
    Sysinternals 网站由 Mark Russinovich 和 Bryce Cogswell 于 1996 年为了存放其高级系统实用程序和技术信息而创办,并于 2006 年 7 月被 Microsoft 收购。无论您是 IT 专业人员还是安全领域的入门者,都会发现 Sysinternals 实用程序对管理、故障排除和计算机系统安全事件调查都十分实用。在计算机犯罪证据采集和计算机安全加固领域,尤其是对Windows操作系统的支持达到了一个新的历史高度。Windows Sysinternals包含六大方面的内容:

 文件和磁盘实用程序:用于查看和监控对文件与磁盘的访问及使用的实用程序; 
 网络:涵盖了从连接监控器到资源安全分析器的网络工具;
 进程与线程:用于揭示哪些进程正在执行及其所耗费的资源的实用程序;
 安全实用程序:安全配置和管理实用程序,包括 Rootkit 和间谍软件查杀程序;
 系统信息:用于查看系统资源的使用和配置的实用程序;
 其他:各种实用程序的集合,其中包括屏幕保护程序、演示文档辅助工具和调试工具。

免责声明:文章转载自《电子取证工具总结》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇使用TensorFlow玩GTA5安全专家发现GE Multilin SR的一个关键漏洞对全球电网构成严重威胁。下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

图灵完备

图灵完备_百度百科 图灵完备一切可计算的问题都能计算,这样的虚拟机或者编程语言就叫图灵完备的。一个能计算出每个图灵可计算函数(Turing-computable function)的计算系统被称为图灵完备的。一个语言是图灵完备的,意味着该语言的计算能力与一个通用图灵机 (Universal Turing Machine)相当,这也是现代计算机语言所能拥有的...

Fiddler抓包ios亲测

1打开Fiddler设置端口 2设置可以抓取https选项 3手机连接WIFI和电脑处于同一局域网并设置代理端口和fiddler中设置一致 4证书安装手机浏览器输入代理电脑ip及端口如192.168.8.250:8888 6安装证书 7安装完成 8操作手机,电脑端可成功抓包...

2016年2月18日 JAVA基础

运行JAVA之前,必须将系统环境变量进行配置。 如果是32位的计算机安装的JDK版本必须是32位的,如果是64位的计算机安装的JDK版本必须是64位的,两者不可忽视,以免程序无法正常启动。 具体更改方法如下: 单击我的电脑属性,查看计算机系统类型的位数为32位还是64位,接着单击高级系统设置。 在系统属性中选择高级选项卡,单击环境变量按钮,在弹出的环...

用Setup Factory7.0怎样打包delphi的BDE?

BDE打包发布实例操作步骤如下:使用软件:Setup Factory 7.0打包把C:Program FilesCommon FilesBorlandShared中的所有文件和你的开发的应用程序都加上把BorlandShared、Database Engine、DBD、DBExpress四个注册表都导出来A.HKEY_LOCAL_MACHINESOFTWAR...

Linux之Docker手动创建Docker容器

咱虚拟机多,硬盘大,CPU好,任性,怎滴?。 1.手动制作docker镜像 1)启动一个基础容器 docker run -it centos:6.9 yum 2)在容器中安装服务 curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirriors.aliyun.com/repo/Centos-6.repo...

4月12日,推荐几本最新出版的编程书籍,电子书免费下载

Property-Based Testing with PropEr, Erlang, and Elixir 网络/计算机/编程 0免费 The Linux Command Line, 2nd Edition 网络/计算机/编程 0免费 Classic Computer Science Problems in Python 教育 1免费...