网络时代的证据调查 全球七大顶尖网络取证工具
时间:2020-11-19

网络时代的证据调查

世界上七种顶级在线取证工具

电影和电视节目中经常有计算机专家使用各种取证工具来瞄准罪犯的场景,但是专家使用什么网络取证工具?以下是全球调查人员和专业人员首选的七个在线取证工具。

询问数据,它自然会认罪。

-罗纳德·考斯

顾名思义,在线取证是指在发生非法行为后收集证据以进行调查。网络/计算机取证是数字取证科学的一个分支,其诞生旨在提高网络安全性。在2002年出版的《计算机取证》一书中,计算机取证被定义为计算机数据的保存,标识,提取,归档和解释。

那么,法医调查员会做什么?

他们基本上遵循一定的标准调查程序。首先,将受感染的设备与网络物理隔离,对设备进行备份,并确保该设备不会受到外部入侵的污染。保留设备后广州正规私家侦探,将设备本身留作进一步处理,并在克隆的设备上进行所有调查。

为了更好地了解计算机上的内容,我们可以假定计算机是忠实的见证者,绝不会欺骗他人。除非受到外部人员的操纵,否则网络/计算机取证的唯一目的是搜索,保存和分析从受害设备获得的信息,并将这些信息用作证据。

那么,这些计算机取证专家会使用哪些工具?信息安全协会为我们提供了7种常用工具的清单,并简要介绍了主要功能。

1.SIFT-SANS调查和取证工具包

SIFT能够检查原始磁盘(例如直接从硬盘或任何其他存储设备直接获得的字节级数据),多种文件系统和证据格式。该工具包基本上基于Ubuntu系统,是一个Live CD广州侦探排名,其中包含执行深入的法证调查或响应调查所需的工具。最受赞赏的SIFT工具包是:开源和免费。

SIFT可与SANS的高级事件响应过程中提供的任何现代事件响应和取证工具套件相媲美。那么网络时代的证据调查,SIFT支持哪些证据格式?从高级法证格式(AFF)到RAW(dd)证据格式均受支持!

SIFT的主要特征是:

2.ProDiscover法医

ProDiscover Forensic是一种计算机/网络安全工具,可以在给定的计算机存储磁盘上定位所有数据,同时还可以保护证据并生成文档报告。

此工具可以从受害者系统中恢复所有已删除的文件,并检查剩余空间。它还可以在硬件保护区(HPA)的过程中访问Windows NTFS备用数据流,预览和搜索/捕获(例如屏幕截图或其他方法)。 ProDiscover Forensic具有自己的技术来执行这些操作。

任何系统或组织中的数据的硬件保护都非常重要。突破硬件保护并不容易。 ProDiscover Forensic会在扇区级别读取磁盘,因此该工具不会隐藏任何数据。

ProDiscover取证的主要功能是:

3.波动率框架

网络时代的证据调查

波动性框架是Black Hat独家发行的框架,直接与高级内存分析和取证有关。后者基本上分析了受害者系统中的易失性存储器。易失性存储器或可变数据是经常刷新的数据,即,系统重新启动时可能会丢失的数据。可以使用Volatility Framework进行此类数据的分析。该框架向世界介绍了使用RAM(易失性内存)数据监视运行时进程和任意系统状态的强大功能。

该框架还为数字调查人员提供了一个独特的平台,可以有效地进行法医研究。国家司法机构,国防军或全球任何商业调查机构都使用此工具。

波动率框架的主要特征是:

4.侦探工具包(+尸检)

命令行界面是与计算机程序互操作性的一种方式。在命令行模式下,用户/客户端向程序发送连续的文本行,这是编程语言中的指令。

Sleuth Kit是此类命令行界面/工具的集合。该工具可以检查受害设备的磁盘映像并恢复损坏的文件。 Sleuth Kit通常与其他许多开源或商业取证工具一起用于尸检数字取证平台。

尸检也是Sleuth Kit的图形用户界面,可以使对硬盘和智能手机的分析更加高效。

尸检功能列表:

5.CAINE(计算机辅助调查环境)

CAINE基于Linux系统,通常是包含一系列取证工具的Live CD。由于最新版本的CAINE建立在Ubuntu Linux LTX,MATE和LightDM之上,因此熟悉这些系统的人们可以无缝使用CAINE。

CAINE的主要功能是:

6.Xplico

Xplico是另一种开源网络取证分析工具,可以重建由诸如Wireshark和ettercap之类的数据包嗅探器捕获的网络流量内容,并且可以从任何地方获取内容。

Xplico功能包括:

7.X-Ways法医

X-Ways法医是一个先进的工作平台,被法医调查人员广泛使用。研究人员在使用取证工具包时面临的问题之一是,这些工具通常非常耗费资源,运行缓慢且无法全面探索。 X-Ways Forensics不会占用太多资源,速度更快,可以找到所有已删除的文件,并具有其他附加功能。该取证工具是用户友好的网络时代的证据调查,完全可移植的,可以存储在USB闪存驱动器中,而无需在Windows系统上进行任何其他安装。

X-Ways取证的主要功能包括: