常会在电影电视当中出现,计算机专家运用各类取证工具去锁定罪犯的场景,然而,专家们所使用的网络取证工具究竟都有哪些呢?在此,就为大家呈上全球调查人员以及专业人士所偏爱的7种网络取证工具。
“拷问数据,它自然会坦白。”
——罗纳德·考斯
网络取证惠州哪里有专业的外遇调查公司,按其字面意义来讲,乃是针对非法行为出现之后去开展调查并收集证据。网络或者计算机取证,它属于数字取证科学的其中一个分支,是因提升网络安全这一目的而产生的。在2002年出版的那本题为《计算机取证》的书籍当中,计算机取证被作出了这样的定义:即针对计算机数据进行保存、鉴别、抽取、归档以及解释 。
那么,取证调查员干些什么呢?
他们大体上是依照一定的调查标准流程来进行的。首先呢,要把被感染的设备从网络当中进行物理隔离,接着给该设备制作一个备份,还要确保设备不会被外部入侵行为使得受到污染。一旦成功保住了设备,那么设备本身就留着等待后续进一步的处理,而调查都是在克隆出来的那个设备上开展进行实现的。
我们能够假设计算机于理解计算机中的事物层面表现为忠信无不诈伪之见证者,此即意味着绝不致误导,除非受外部人士操控。于网络或计算机取证范畴而言,唯一目标便是对自遭侵害设备所获信息予以搜寻、留存以及分析行为,且将这些信息用作证据。
这样一来,那些专注于计算机取证领域的专业人士,其所运用的究竟是哪些工具呢?专门的信息安全研究所为我们整理出了一张清单,清单之中包含了7种经常会用到的工具,每种工具都附带了简洁明了,但又能清晰表述其主要功能的介绍,以及简要的描述 。
1. SIFT - SANS调查取证工具包
可检查直接从硬盘或其他任何存储设备 获取的字节级数据这样的原始磁盘,具备检查多种文件系统及证据格式能力的是SIFT抓小三取证工具,该工具包基本上是基于 Ubuntu系统的,是包含了执行深度取证调查工具以及响应调查所需工具的一张Live CD,SIFT工具包最值得赞赏之处在于开源且免费 。
SIFT比得上SANS高级事件响应课程里所主推的随便哪一种现代事件及取证工具拼凑。然后,SIFT都支持什么样的证据样子呢?从高级取证样子(AFF)直至RAW(dd)证据样子统统支持!
SIFT的主要特点有:
基于 Ubuntu LTS 14.04;
支持64位系统;
内存利用率更高;
自动数字取证及事件响应(DFIR)包更新及自定义设置;
最新的取证工具和技术;
可用 VMware Appliance 进行取证;
兼容Linux和Windows;
或可选择借助(.iso)镜像文件来实施单独安装,又或者经由VMware Player/Workstation,运用ReadTheDocs之上存在的具备在线文档特性的项目 。
扩展了支持的文件系统。
2. ProDiscover Forensic
ProDiscover Forensic是一种计算机/网络安全工具,它能够在给定的计算机存储磁盘之上,对全部数据进行定位,与此同时,还可以对证据予以保护,并生成文档报告。
这个工具呢,能够从受害的系统里头,恢复任意那些已经被删除掉了的文件,并且去检查剩余下来的空间,它还能够去访问Windows NTFS备用的数据流,能够预览以及搜索或者捕获,像截屏或者是其他的方式,硬件保护区(HPA)的进程。ProDiscover Forensic有它自身的技术,来执行这些操作。
硬件防护在任何系统以及组织里对于数据这方面都是相当重要之事,要达突破硬件防护可不是简单之事,ProDiscover Forensic 会在扇区级对磁盘进行读取,所以不存在数据能在该工具面前隐匿身形 。
ProDiscover Forensic 的主要功能有:
通过创建磁盘比特流副本,此副本包含处于专利申请状态的隐藏 HPA 段,以此供分析使用,这样能够确保原始证据不会受到污染,。
搜寻有关文件,或者针对一颗完整磁盘开展操作,这磁盘涵盖剩余空间、HPA段以及Windows NT/2000/XP备份数据流,借此能够实施完整的磁盘取证分析,。
不改动磁盘的任何数据,这里的数据包含文件元数据,在此情形下,预览所有的文件,哪怕文件处于被隐藏或者被删除的状态,。
在文件的级别之上,或者于磁盘簇的等级层面,去开展数据的检查工作,并且进行交叉性的对比,以此来保证没有遗漏掉任何的事物,哪怕是处于磁盘剩余空间的范围之内,也是如此;。
使用Perl脚本自动化调查任务。
3. Volatility Framework
Volatility Framework是一个由黑帽独家发布的框架,那和高级内存分析以及取证直接相关,后者基本上就是去分析受害系统里的易变内存,易变内存或者说易变数据是频繁刷新的数据,也就是在重启系统时可能会丢失的数据啦!而对此类数据的分析能够采用Volatility Framework来进行惠州可靠私家调查公司,该框架向世界引入了利用RAM(易变内存)数据去监视运行时进程以及任意系统状态的强大力量。
为数字调查员提供高效进行取证研究独特平台的是该框架,国家司法机构使用该工具,国防力量使用该工具,全球任意商业调查机构也使用该工具。
Volatility Framework 的主要特点有:
内聚的单一框架;
遵从开源 GPLv2 许可;
以Python语言编写;
Windows、Linux、Mac可用;
可扩展可脚本化的API;
无可匹敌的功能集;
文件格式涵盖全面;
快速高效的算法;
严谨强大的社区;
专注取证/事件响应/恶意软件。
4. Sleuth Kit (+Autopsy)
一种与计算机程序互操作的模式是命令行接口,在命令行模式里,用户或者客户端会向程序发送连续的文本行,而这连续的文本行正是编程语言当中的指令 。
组成此种命令行接口、工具集合的是Sleuth Kit,能检查受害设备磁盘镜像、恢复被破坏文件的是该工具,一般与其他诸多开源或商业取证工具一同用于Autopsy数字取证平台的是Sleuth Kit。
Autopsy属于Sleuth Kit的图形用户接口,它能够让硬盘以及智能手机的分析工作变得更为高效 。
Autopsy功能列表:
多用户情形:可供调查人员对大型案件进行协作分析;
时间线分析:以图形界面显示系统事件,方便发现各类活动;
进行关键词搜索时,文本抽取模块可供发现涉及特定词句的文件,索引搜索模块在此基础上,还能够找出正则表达式模式。
从常见的浏览器里,抽取Web活动,以此来辅助识别用户活动,这便是Web构件 。
注册表进行分析,借助RegRipper去找出最近被访问的文档,以及找出最近被访问的USB设备。
LNK文件分析:发现快捷方式文件及其指向的文件;
着重对电子邮件展开剖析,剖析的内容为MBOX格式的信息,像Thunderbird这种属于MBOX格式的情况;。
EXIF:从JPEG文件中抽取地理位置信息和相机信息;
先将文件依据其类型进行分组,然后按照文件类别来排序,从而能够找出所有的图片或者文档 。
媒体重放:不用外部浏览器就查看应用中的视频和图片;
缩略图查看器:显示图片的缩略图以快速浏览图片。
5. CAINE(计算机辅助调查环境)
CAINE是基于Linux系统打造而成的,一般说来它是一张Live CD,其中包含着一系列的取证工具。因为最新版的CAINE是建立在Ubuntu Linux LTX、MATE以及LightDM之上的,所以那些对这些系统熟悉的人能够毫无阻碍地使用CAINE。
CAINE的主要功能有:
CAINE界面,它是一种集成了好些著名取证工具的用户友好型界面,且在这些工具当中,许多都是开源的 。
经过更新优化的取证分析环境;
半自动化的报告生成器。
6. Xplico
Xplico是一款开源网络取证分析工具喽,它能够重建网络流量内容呢,什么样的网络流量内容呀,就是Wireshark、ettercap等包嗅探器抓取的那种,而且是来自任何地方的内容都能重建哦。
Xplico的特性包括:
能对HTTP协议予以支持,也支持SIP协议,并且支持IMAP协议,还支持POP协议,亦支持SMTP协议,同时支持TCP协议,也支持UDP协议,另外支持IPv4协议抓小三取证工具,还支持IPv6协议;。
端口无关的协议识别(PIPI);
多线程;
能于SQLite数据库里,或者在Mysql数据库当中,以及在文件之内,输出数据,输出信息 。
Xplico进行重组时,每一个数据,都和一个XML文件是有关联的,这个XML文件,能够唯一标识那个数据流,还能标识包含了此重组数据的pcap包,是不是呀?
对于数据记录而言,其大小不存在任何限制抓小三取证工具,文件数量同样不存在任何限制,唯一受限之处仅是存在于硬盘大小这一方面。
模块化。每个Xplico组件都是模块化的。
存在一些数字取证以及渗透测试操作系统,像是Kali Linux、BackTrack这类,在默认状态下安装有Xplico。
7. X-Ways Forensics
取证调查人员广泛使用的高级工作平台不是X-Ways Forensics,是吧你会觉得奇怪呢,取证调查人员在使用取证工具包时会面临一个问题,那就是这些工具一般很耗费资源,而且运行速度太慢没法去到所有角落。然而X-Ways Forensics不同,它不太占用资源,运行起来更快,并且能够找出所有被删除的文件,它还有一些其他附加功能。X-Ways Forensics是一个用户特别需要加以注意的友好的取证工具,它可以完全移植,能存放在U盘中,可以在Windows系统上不需要任何多余的额外的安装就能够使用 。
X-Ways Forensics 的主要特点包括:
磁盘克隆与镜像;
能够读取RAW格式的、以.dd为后缀的镜像文件,能够读取ISO,能够读取VHD,还能够读取VMDK镜像之中啊,分区以及文件系统结构;。
可读取磁盘、磁盘阵列和超过2TB的镜像;
自动识别丢失/已删除的分区;
可用模板查看并编辑二进制数据结构;
递归浏览所有子目录中的所有现有及已删除文件。