电子取证工具总结

电子取证工具

 

在计算机取证过程当中，相应的取证工具必不可少，常见的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot，Tripwires、Network monitor，镜像工具等。在国外计算机取证过程当中比较流行的是镜像工具和专业的取证软件，但不少工具都属于付费软件，不少读者不可能免费拥有它们，但有一些开源工具或者操做系统自身的工具也能够实现很好的使用效果。

   知识连接：对计算机犯罪评定的标准主要来自于计算机取证。计算机取证又称为数字取证或电子取证，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。

   最著名的免费软件是1999年Dan Farmer和Wietse Venema编写Coroners工具包。它是可以帮助对计算机犯罪进行取证检查的一些工具软件的集合，它的最初设计平台是UNIX系统，但也能对非UNIX的磁盘、介质作有限的数据获取和分析。是目前应用较普遍的免费计算机取证工具包，它包括下列工具：

 Grave-robber：以数据的易变性为序搜集数据供之后的取证分析工具使用，它搜集的数据包括进程和网络信息、磁盘文件信息等；
 Unrm：磁盘数据恢复工具，拷贝全部未分配的数据块到指定文件； 
 Lazarus：恢复已删除文件的工具； 
 Mactime：肯定在一个特定的时间段内那些文件被访问或修改过； 

   准备取证工具
 文件浏览器：这类工具是专门用来查看数据文件的阅读工具。只用于查看而没有编辑和恢复功能，从而体积较小并能够防止证据的破坏。比较好的软件是Quik View Plus。它能够识别200种以上文件类型，能够浏览各类电子邮件文档。 

 图片检查工具：Thumbs Plus是一个功能很全面的进行图片检查的工具。

 反删除工具：这方面的取证分析工具中最主要的是诺顿工具，虽然这是一个老式的工具，但在有些时候是颇有用的。

 CD-ROM工具：使用CD-R Diagnostics能够看到在通常状况下看不到的数据。

 文本搜索工具：dtSearch是一个很好的用于文本搜索的工具，特别是具备搜索Outlook的.pst文件的能力。

 驱动器映像程序：能够知足取证分析，即逐位拷贝以创建整个驱动器的映像的磁盘映像软件包括SafeBackSnapBack、Ghost、dd等。

 磁盘擦除工具：这类工具主要用在使用取证分析机器以前，为了确保分析机器的驱动器中不包含残余数据，显然，只是简单的格式化确定不行。从软盘启动后运行NTI公司的DiskScrub程序便可把硬盘上的每一扇区的数据都清除掉。

 Forensic Toolkit：是一系列基于命令行的工具，能够帮助推断Windows NT文件系统中的访问行为。这些程序包括的命令有：AFind（根据最后访问时间给出文件列表，而这并不改变目录的访问时间）、HFind（扫描磁盘中有隐藏属性的文件）、SFind（扫描整个磁盘寻找隐藏的数据流）、FileStat（报告全部单独文件的属性）、NTLast（提供标准的GUI事件浏览器以外对每个会话都记录了登陆及登出时间，而且它可以指出登陆是远程的仍是本地的）。

 ForensicX：主要运行于Linux环境，是一个以收集数据及分析数据为主要目的的工具。它与配套的硬件组成专门工做平台。它利用了Linux支持多种文件系统的特色，提供在不一样的文件系统里自动装配映像等能力、可以发现分散空间里的数据、能够分析Unix系统是否含有木马程序。其中的Webtrace能够自动搜索互联网上的域名，为网络取证进行必要的收集工做，新版本具备识别隐藏文件的工具。

 New Technologies Incorporated：NTI是取证软件最为固定的商家之一。NTI以命令的形式执行软件，因此速度很快，软件包的体积小，适合于在软盘上使用。该公司提供的取证工具包括：
 CRCMD5：一个能够验证一个或多个文件内容的CRC工具；
 DiskScrub：一个用于清除硬盘驱动器中全部数据的工具；
 DiskSig：一个CRC程序，用于验证映像备份的精确性；
 FileList：一个磁盘目录工具用来创建用户在该系统上的行为时间表；
 Filter_we：一种用于周围环境数据的智能模糊逻辑过滤器；
 GetSlack：一种周围环境数据收集工具，用于捕获未分配的数据；
 GetTime：一种周围环境数据收集工具，用于捕获分散的文件；
 Net Threat Analyzer：网络取证分析软件，用于识别公司互联网络帐号滥用；
 M-Sweep：一种周围环境数据清除工具；
 NTI-DOC：一种文件程序用于记录文件的日期、时间以及属性；
 PTable：用于分析及证实硬盘驱动器分区的工具；
 Seized：一种用于对证据计算机上锁及保护的程序；
 ShowFL：用于分析文件输出清单的程序；
 TextSearch Plus：用来定位文本或图形文件中的字符串的工具。

    准备镜像工具
    在采集证据的过程当中最主要的工做就是对各类介质进行镜像。

    用磁盘镜像工具（如Safe back、SnapBack DatArret 和DIBS RAID等）对目标系统磁盘驱动中的全部数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理，万一对收集来的电子证据产生疑问时，可用镜像备份的数据恢复到系统的原始状态，做为分析数据的原始参考数据，使得分析的结果具备可信性。

    UNIX环境下，dd是可以完成这项工做的通用命令，尽可能在你的工具包里包含各类类型、各类版本UNIX系统的dd命令，经过它能够很容易地为被调查机器的整个驱动器制做一个镜像。Windows平台上也有不少相似的软件，咱们也能够选择Ghost来完成这项工做。

    准备存储装置
    用于存放证据的存储介质必定要事先进行处理，使用公承认靠的数据擦除软件进行擦除，以免介质中的残余数据对证据的分析和取信形成影响。在存储证据时，最经常使用的硬件设备是移动硬盘，除了应该具有尽可能大的容量以外，硬盘盒的接口也应该尽可能丰富，至少应该同时拥有IDE、SCSI、PCMCIA等经常使用接口的移动存储设备。除了移动硬盘以外，软盘、Zip软盘、MO、CD-R等存储介质也应该尽可能充实到你的工具箱中，由于咱们实在没法知道被调查的机器到底具备怎样的外设。

    百宝箱
    目前在国内外的计算机取证产品中，已经出现了许多不一样功能、不一样外观的取证工具箱，全部这些取证设备依据其功能和形式主要分为三种：改装型、工控型和组合型。

    改装型主要将台式计算机主板、显示器等部件安置于特定工具箱内，优化各接口的链接方式，将所有端口引于面板上，便于设备的链接使用。因为普通笔记本计算机没法直接链接并快速获取IDE硬盘数据，所以这种取证箱的最大优势是便于对硬盘数据的预览和获取。

    工控型主要利用工业控制机可携带，扩展方便的特色，利用各类PCI功能扩展卡加强计算机的功能。此种设备端口齐全，具备防震设计。缺点是体积大且重，不易假装。

    组合型将各类常见的取证设备合理搭配，放置于特制的箱包中，组成功能全面的取证系统。主流方案是采用笔记本计算机，配合各类移动存储介质和专业计算机取证器材，实现对不一样信息存储介质的检查与获取。这种方案优势是端口齐全，各类设备使用灵活，便于假装和携带。

    除了这些，如今市场上还能够购买到不少专用的调查设备，好比以Forensic MD5为表明的手持式取证设备，以及Forensic Computer出品的便携式取证箱等等，这些产品在复制数据的时候速度很快，具有丰富的让你不敢相信的接口，能够应付各类取证要求，并且便于携带，是计算机取证人员真正的百宝箱。

    针对Windows 系统安全工具
    Sysinternals 网站由 Mark Russinovich 和 Bryce Cogswell 于 1996 年为了存放其高级系统实用程序和技术信息而创办，并于 2006 年 7 月被 Microsoft 收购。不管您是 IT 专业人员仍是安全领域的入门者，都会发现 Sysinternals 实用程序对管理、故障排除和计算机系统安全事件调查都十分实用。在计算机犯罪证据采集和计算机安全加固领域，尤为是对Windows操做系统的支持达到了一个新的历史高度。Windows Sysinternals包含六大方面的内容：

 文件和磁盘实用程序：用于查看和监控对文件与磁盘的访问及使用的实用程序； 
 网络：涵盖了从链接监控器到资源安全分析器的网络工具；
 进程与线程：用于揭示哪些进程正在执行及其所耗费的资源的实用程序；
 安全实用程序：安全配置和管理实用程序，包括 Rootkit 和间谍软件查杀程序；
 系统信息：用于查看系统资源的使用和配置的实用程序；
 其余：各类实用程序的集合，其中包括屏幕保护程序、演示文档辅助工具和调试工具。