在早前，計算機只用于生成數(shù)據(jù)，但現(xiàn)在已擴展到與數(shù)字數(shù)據(jù)相關的所有設備。計算機取證的目標是通過使用數(shù)字資料的證據(jù)來進行犯罪調(diào)查，以找出網(wǎng)絡相關罪行的主要責任人。

為了更好的用于研究和調(diào)查，開發(fā)人員創(chuàng)建了多樣的計算機取證工具。這些電腦取證工具，也被分為了不同的類別：

• 磁盤和數(shù)據(jù)捕獲工具；
• 文件查看器；
• 文件分析工具；
• 注冊表分析工具；
• 互聯(lián)網(wǎng)分析工具；
• 電子郵件分析工具；
• 移動設備分析工具；
• mac OS分析工具；
• 網(wǎng)絡取證工具；
• 數(shù)據(jù)庫取證工具；

在本文中，我將為大家羅列一些當前流行的計算機取證工具。這里需要說明的是，本文中工具順序并不代表工具的排名。

Digital Forensics Framework

數(shù)字取證框架是另一個專門用于數(shù)字取證的流行平臺。該工具是開源的，并具有GPL許可證。它同時適用于專業(yè)或非專業(yè)人員，簡單易用。它可以用于數(shù)字監(jiān)管鏈，訪問遠程或本地設備，windows或linux操作系統(tǒng)的取證，恢復隱藏已刪除的文件，快速搜索文件的元數(shù)據(jù)以及其他各種功能。

下載：http://www.digital-forensic.org/

Open Computer Forensics Architecture

開放式計算機取證架構（OCFA）是另一種流行的分布式開源計算機取證框架。該框架建立在Linux平臺上，并使用postgreSQL數(shù)據(jù)庫存儲數(shù)據(jù)。

它由荷蘭國家警察局創(chuàng)建，用于自動化數(shù)字取證過程。它可以根據(jù)GPL許可證下載。

下載：http://sourceforge.net/projects/ocfa/

CAINE

CAINE（計算機輔助調(diào)查環(huán)境）是用于數(shù)字取證的Linux發(fā)行版。它提供了一種以用戶友好的方式將現(xiàn)有軟件工具集成為軟件模塊的環(huán)境。這個工具是開源的。

閱讀更多：http://www.caine-live.net/

X-Ways Forensics

X-ways Forensics是由德國X-ways出品的一個法證分析軟件，它其實是Winhex的一個法證授權版，跟Winhex界面完全一樣。它可以運行在所有可用的Windows版本上。下面是它的一些主要功能：

• 磁盤克隆和鏡像功能，進行完整數(shù)據(jù)獲??；
• 可分析 RAW/dd/ISO/VHD/VMDK 格式原始數(shù)據(jù)鏡像文件中的完整目錄結構，支持分段保存的鏡像文件；
• 支持磁盤，RAID,扇區(qū)大小為8KB最大2TB的鏡像的完全訪問；
• 支持對JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux軟RAID, Windows動態(tài)磁盤和LVM2等磁盤陣列；
• 自動識別丟失/刪除的分區(qū)；
• 支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系統(tǒng)；
• 無需修改原始硬盤或鏡像糾正分區(qū)表或文件系統(tǒng)數(shù)據(jù)結構來解析文件系統(tǒng)；
• 察看并獲取 RAM和虛擬內(nèi)存中的運行進程；
• 多種數(shù)據(jù)恢復功能，可對特定文件類型恢復；
• 基于GREP符號維護文件頭簽名數(shù)據(jù)庫；
• 支持20種數(shù)據(jù)類型解釋；
• 使用模板查看和編輯二進制數(shù)據(jù)結構；
• 數(shù)據(jù)擦除功能，可徹底清除存儲介質(zhì)中殘留數(shù)據(jù)；
• 可從磁盤或鏡像文件中收集殘留空間、空余空間、分區(qū)空隙中信息；
• 創(chuàng)建證據(jù)文件中的文件和目錄列表；
• 能夠非常簡單地發(fā)現(xiàn)并分析ADS數(shù)據(jù)（NTFS交換數(shù)據(jù)流)；
• 支持多種哈希計算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)；
• 強大的物理搜索和邏輯搜索功能，可同時搜索多個關鍵詞；
• 在NTFS卷中為文件記錄數(shù)據(jù)結構自動加色；
• 書簽和注釋；
• 可以運行在Windows FE中等Windows環(huán)境；
• 配合F-Response可進行遠程計算機分析等；

完整介紹請點擊：http://www.x-ways.net/forensics/

SANS數(shù)字取證工具包 – SIFT

SIFT是SANS推出的數(shù)字取證工具包，SIFT以VMware虛擬映像的形式發(fā)布，里面集成了數(shù)字取證分析所有必須的工具。適用于Expert Witness Format (E01), Advanced Forensic Format (AFF),和 raw (dd) evidence formats。 今年早些時候，SIFT 3.0發(fā)布。

在resource.infosecinstitute.com上的一篇文章中，我們已經(jīng)詳細介紹了SIFT。你可以閱讀關于SIFT的這些帖子，以了解更多有關SIFT取證平臺的信息。

下載：http://digital-forensics.sans.org/community/downloads

EnCase

EnCase是另一款流行的多用途取證平臺，具有許多不錯的取證工具。該工具可以快速收集各種設備的數(shù)據(jù)，挖掘潛在的證據(jù)。它還會根據(jù)收集的證據(jù)生成相應的報告。

該工具并不免費。 授權費用為995美元。

閱讀更多關于EnCase的信息：https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx

Registry Recon

Registry Recon是一款流行的注冊表分析工具。它可以從證據(jù)中提取注冊表信息，然后重建注冊表。它還可以從當前和之前的Windows安裝重建注冊表。

閱讀更多：http://arsenalrecon.com/Apps/recon/

The Sleuth Kit

Sleuth Kit是一個基于Unix和Windows的工具，可幫助你對計算機進行取證分析。它配備了各種有助于數(shù)字取證的工具。這些工具有助于分析磁盤映像，對文件系統(tǒng)進行深入分析以及其他各種功能。

閱讀更多：http://www.sleuthkit.org/

Llibforensics

Libforensics是一個是專門用于獲取和分析數(shù)字取證的數(shù)字取證應用程序庫。它是由Python開發(fā)的，并附帶各種演示工具以便從各種類型的證據(jù)中提取信息。

閱讀更多：http://code.google.com/p/libforensics/

Volatility

Volatility是一個內(nèi)存取證框架。主要用于事件響應和惡意軟件分析。使用此工具，你可以從正在運行的進程，網(wǎng)絡套接字，網(wǎng)絡連接，DLL和注冊表蜂巢提取信息。它還支持從Windows故障轉(zhuǎn)儲文件和休眠文件中提取信息。此工具根據(jù)GPL許可證免費提供。

閱讀更多：http://code.google.com/p/volatility/

WindowsSCOPE

WindowsSCOPE是用于分析易失性存儲器的另一種內(nèi)存取證和逆向工程工具。它主要用于惡意軟件的逆向工程。它提供了分析Windows內(nèi)核，驅(qū)動程序，DLL，虛擬和物理內(nèi)存的功能。

閱讀更多：http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart

The Coroner's Toolkit

Coroner工具包或TCT也是一個非常好用的數(shù)字取證分析工具。它運行在幾個與Unix相關的操作系統(tǒng)下。它可用于計算機災難分析和數(shù)據(jù)恢復。

閱讀更多：http://www.porcupine.org/forensics/tct.html

Oxygen Forensic Suite

Oxygen取證套件主要用于手機上的證據(jù)收集。Oxygen會為我們收集設備的各種信息（包括制造商，操作系統(tǒng)，IMEI號碼，序列號），聯(lián)系人，消息（電子郵件，短信，彩信），還可以恢復已刪除的消息，通話記錄和日歷信息。

閱讀更多：http://www.oxygen-forensic.com/en/features

Bulk Extractor

Bulk Extractor（批量提取器）也是一款重要和流行的取證工具。它會掃描文件的磁盤映像，文件或目錄以提取有用的信息。由于在這個過程中，它忽略了文件系統(tǒng)結構，所以它比其他同類型的工具執(zhí)行速度要快許多。情報和執(zhí)法機構基本上都會用這款工具，來解決一些網(wǎng)絡犯罪問題。

下載：http://digitalcorpora.org/downloads/bulk_extractor/

Xplico

Xplico是一款開源的網(wǎng)絡取證分析工具。主要用于，從使用Internet和網(wǎng)絡協(xié)議的應用程序中提取有用的數(shù)據(jù)。它支持大多數(shù)流行的協(xié)議，包括HTTP，IMAP，POP，SMTP，SIP，TCP，UDP，TCP等。該工具的輸出數(shù)據(jù)，會被存儲在MySQL數(shù)據(jù)庫的SQLite數(shù)據(jù)庫中。同時，它也支持IPv4和IPv6。

閱讀更多：http://www.xplico.org/about

Mandiant RedLine

Mandiant RedLine是一款流行的，用于內(nèi)存和文件分析的工具。Mandiant RedLine主要收集有關在主機上運行的進程信息，內(nèi)存中的驅(qū)動程序，并收集其他數(shù)據(jù)，如元數(shù)據(jù)，注冊表數(shù)據(jù)，任務，服務，網(wǎng)絡信息和Internet歷史記錄，并最終構建適當?shù)膱蟾妗?/p>

閱讀更多：https://www.mandiant.com/resources/download/redline

Computer Online Forensic Evidence Extractor (COFEE)

計算機在線法庭科學證據(jù)提取器，是專為計算機取證專家開發(fā)設計的一款工具包。該工具由Microsoft開發(fā)，用于從Windows系統(tǒng)收集證據(jù)。它可以被安裝在USB驅(qū)動器或外部硬盤上。取證人員只需將USB插入目標計算機中，即可進行實時的分析。COFEE包含了超過150個信息收集、密碼破解、網(wǎng)絡嗅探等工具。而且它的分析速度也非常的快，大概在20分鐘左右就可以完成對目標系統(tǒng)的完整分析。對于執(zhí)法機構，此外，Microsoft還為使用該工具的執(zhí)法機構，提供免費的技術支持。

官方站點：https://cofee.nw3c.org/

P2 eXplorer

P2 eXplorer 這款取證圖像掛載工具的設計旨在幫助調(diào)查員管理和調(diào)查證據(jù)。利用 P2 eXplorer，您可以將取證圖像作為只讀的本地邏輯磁盤和物理磁盤進行掛載。一旦掛載完畢，您可以使用 Windows Explorer 瀏覽圖像內(nèi)容，或?qū)⑵浼虞d到您的取證調(diào)查分析工具中。因為將圖像作為物理磁盤掛載，您可以查看已刪除的數(shù)據(jù)、以及未分配的圖像空間。

它可以一次安裝多個圖像。 它支持大多數(shù)圖像格式，包括EnCasem，safeBack，PFR，F(xiàn)TK DD，WinImage，以及來自Linux DD的RAW圖像，和VMWare圖像。

此工具有收費和免費版本，收費版本需要支付$199，免費版本的部分功能將無法使用。

閱讀更多：https://www.paraben.com/p2-explorer.html

PlainSight

PlainSight是一個基于Knoppix(Linux發(fā)行版)的Live CD，它允許用戶執(zhí)行數(shù)字取證任務，如查看互聯(lián)網(wǎng)歷史記錄，數(shù)據(jù)刻畫，USB設備使用信息收集，檢查物理內(nèi)存轉(zhuǎn)儲，提取哈希密碼等。

此工具是免費的。

閱讀更多：http://www.plainsight.info/index.html

XRY

XRY是Micro Systemation開發(fā)的移動取證工具。它用于分析和恢復來自移動設備的關鍵信息。該工具附帶硬件設備和軟件。硬件將手機連接到PC，軟件對設備進行分析并提取數(shù)據(jù)。它旨在恢復數(shù)據(jù)以用于取證分析。

該工具的最新版本可以恢復來自Android，iphone和BlackBerry等各種智能手機的數(shù)據(jù)。它還可以收集已刪除的數(shù)據(jù)，如通話記錄，圖像，短信和短信。

閱讀更多：http://www.msab.com/xry/what-is-xry

HELIX3

HELIX3是一個基于Linux的Live CD，用于事件響應構建，計算機取證和電子發(fā)現(xiàn)方案。它包含了一堆開源工具，從十六進制編輯器到數(shù)據(jù)刻畫軟件到密碼破解工具等。

注意：你需要的HELIX3版本是2009R1。此版本是HELIX由商業(yè)供應商接管之前可用的最后一個免費版本。HELIX3 2009R1今天仍然有效，并為數(shù)字取證工具包提供有用的補充。

當使用HELIX3向?qū)r，會詢問是要加載GUI環(huán)境還是將HELIX3安裝到磁盤。如果選擇直接加載GUI環(huán)境(推薦)，將出現(xiàn)一個基于Linux的屏幕，你可以選擇運行捆綁工具的圖形化版本。

Helix3 2008R1可以在這里下載到：https://e-fenseinc.sharefile.com/d/sda4309a624d48b88

企業(yè)版下載：http://www.e-fense.com/h3-enterprise.php

Cellebrite UFED

Cellebrite UFED取證產(chǎn)品是一款獨立的既適合在犯罪現(xiàn)場也適合在實驗室使用的設備。Cellebrite UFED能夠從全球1200多款手機中提取重要數(shù)據(jù)如電話簿、圖片、視頻、文本短信息、通話記錄、ESN和IMEI信息。UFED支持CDMA, GSM, IDEN和TDMA技術，并兼容所有的無線載波信號。Cellebrite UFED支持目前市場上95%的掌中設備，包括手機和PDA(Palm OS,Microsoft, Blackberry, Symbian)。不需要計算機的配合，方便在現(xiàn)場使用，通過簡單操作就可以存儲上百條電話簿和聯(lián)系人信息到一張SD卡或者USB 中。

Cellebrite UFED支持所有已知手機設備的接口，包括串口、USB接口、紅外和藍牙。提取的數(shù)據(jù)可以帶回實驗室利用報告/分析工具進行查看和校驗。現(xiàn)場提取數(shù)據(jù)保證在犯罪分子有機會毀壞手機或清除數(shù)據(jù)之前，保存和查看手機里的信息。

更多信息：http://www.cellebrite.com/Mobile-Forensics

轉(zhuǎn)載自FreeBuf.COM