[[408266]]

數(shù)十年來(lái)，數(shù)字取證的歷史在司法偵查的不同分支中不斷發(fā)展，已成為全球執(zhí)法活動(dòng)中非常重要的一部分。與此同時(shí)，由于互聯(lián)網(wǎng)和全球化的發(fā)展，犯罪形式多樣化，借助免費(fèi)的取證調(diào)查工具，執(zhí)法人員可以通過(guò)電子設(shè)備獲取關(guān)鍵的數(shù)字證據(jù)，將不法分子送入監(jiān)獄。以下，我們列出了10種免費(fèi)取證調(diào)查工具，它們有助于打擊網(wǎng)絡(luò)犯罪和保護(hù)數(shù)字資產(chǎn)。

10個(gè)免費(fèi)的數(shù)字調(diào)查取證工具

• Sleuth Kit(+Autopsy)
• Forensic Investigator
• Autopsy
• Dumpzilla
• Browser History
• FTK Imager
• X-Ways Forensics
• CAINE
• Toolsley
• ExifTool

Sleuth Kit(+Autopsy)

Sleuth Kit是使計(jì)算機(jī)系統(tǒng)更容易進(jìn)行取證分析的實(shí)用工具之一。它可提供圖形化UI檢查用戶的硬盤驅(qū)動(dòng)器和智能手機(jī)，還提供電子郵件分析并查找所有文檔和圖像。

它還有助于顯示圖像的縮略圖以快速查看每張圖片，用戶可以使用任意標(biāo)簽名稱標(biāo)記文件。該軟件還允許用戶通過(guò)短信、通話記錄、聯(lián)系人等方式提取數(shù)據(jù)，并根據(jù)名稱標(biāo)記文件和文件夾。

Forensic Investigator

如果用戶使用Splunk，那么Forensic Investigator會(huì)是一個(gè)非常方便的工具。這是一個(gè)非常有用的應(yīng)用程序，并且包含了許多其他工具，包括Ping、橫幅抓取器、端口掃描器、SNB共享、NetBIOS查看器、ping、病毒總查找、URL解碼器/解析器、XOR/HEX/Base64轉(zhuǎn)換器等。

Autopsy

Autopsy是基于GUI的開(kāi)源數(shù)字取證程序之一，能通過(guò)智能手機(jī)和硬盤驅(qū)動(dòng)器進(jìn)行有效分析，主要是調(diào)查計(jì)算機(jī)問(wèn)題。目前全世界有成千上萬(wàn)的用戶在使用該工具。

Autopsy主要是為端到端平臺(tái)設(shè)計(jì)的，其中模塊開(kāi)箱即用，可供第三方使用。很少有模塊通過(guò)網(wǎng)絡(luò)威脅描述語(yǔ)言STIX來(lái)提供時(shí)間線分析、數(shù)據(jù)雕刻、關(guān)鍵字搜索和指示等信息。

Dumpzilla

Dumpzilla是一個(gè)用Python 3.x編寫的取證工具。它只能從Iceweasel、Firefox和Seamonkey瀏覽器等少數(shù)瀏覽器中獲取所有必要和有趣的信息，可輕松用于Linux、Windows和Mac。

與命令行界面一起使用時(shí)，可以使用grep、cut、sed、awk等少數(shù)工具轉(zhuǎn)儲(chǔ)和重定向到管道，支持用戶提取插件、cookie、書(shū)簽、歷史記錄、密碼、下載、表單填充數(shù)據(jù)和許多其他信息。

Dumpzilla還允許導(dǎo)出要在JSON文件或純文本文件中獲取的數(shù)據(jù)。如果用戶需要高級(jí)過(guò)濾，可以輕松地使用通配符和正則表達(dá)式。

Browser History

Browser History是一種免費(fèi)的取證調(diào)查工具，它可以從不同的網(wǎng)絡(luò)瀏覽器(如Google chrome、Internet Explorer、Mozilla Firefox、Microsoft Edge、Opera等)讀取數(shù)據(jù)的歷史記錄，并在同一個(gè)網(wǎng)絡(luò)瀏覽器中顯示。

瀏覽歷史表包括標(biāo)題、Web瀏覽器、用戶配置文件、訪問(wèn)的URL、訪問(wèn)次數(shù)等。此瀏覽器歷史記錄允許查看用戶配置文件，以便它可以運(yùn)行系統(tǒng)。它還可以從外部硬盤驅(qū)動(dòng)器中獲取歷史瀏覽。輸出結(jié)果將顯示為可過(guò)濾的交互式圖形和歷史數(shù)據(jù)。

FTK Imager

FTK Imager免費(fèi)取證調(diào)查工具可用作數(shù)據(jù)預(yù)覽，可在不進(jìn)行任何更改的情況下創(chuàng)建數(shù)據(jù)副本，并且始終嘗試保留證據(jù)。它將硬盤映像保存在一個(gè)文件中，稍后進(jìn)行重建。

FTK Imager還能計(jì)算MD5哈希值確認(rèn)數(shù)據(jù)的完整性。為了檢測(cè)網(wǎng)絡(luò)犯罪，它提供了一種向?qū)?qū)動(dòng)的方法。使用此軟件，用戶可以獲得更好的可視化效果，恢復(fù)100個(gè)應(yīng)用程序的密碼。它還配備了自動(dòng)數(shù)據(jù)分析工具，可以為不同的調(diào)查管理提供可重復(fù)使用的配置文件。

X-Ways Forensics

X-Ways Forensics能夠與其他人協(xié)作，但前提是協(xié)作的每個(gè)人都擁有此工具。該軟件可以讀取分區(qū)并構(gòu)建.dd圖像文件。

該工具可以訪問(wèn)磁盤和RAID，支持新技術(shù)文件系統(tǒng)(NTFS)和備用數(shù)據(jù)流(ADS)文件格式、支持書(shū)簽或批注、分析遠(yuǎn)程計(jì)算機(jī)。用戶還可以在使用模板的同時(shí)查看二進(jìn)制數(shù)據(jù)并提供保護(hù)以保持真實(shí)性。

CAINE

如果您正在尋找具有圖形界面的完整取證環(huán)境，這個(gè)基于Ubuntu的應(yīng)用程序CAINE可以幫助您。由于這是一個(gè)模塊，因此該工具始終與舊軟件工具集成。

它還可以自動(dòng)的從RAM中提取時(shí)間線，帶有數(shù)字調(diào)查員功能，涵蓋數(shù)字調(diào)查的四個(gè)階段。該工具提供一個(gè)用戶友好的界面，可以自定義CAINE功能，該軟件提供不同類型的用戶友好工具。

Toolsley

Toolsley非常受歡迎，它包括十個(gè)有用的調(diào)查工具，如文件標(biāo)識(shí)符、文件簽名驗(yàn)證器、二進(jìn)制檢查器、哈希和驗(yàn)證、文本編碼、數(shù)據(jù)URI生成器、二進(jìn)制檢查器和密碼生成器。

ExifTool

ExifTool是命令行界面工具，可幫助用戶讀取、編輯和寫入文件類型的元信息。通過(guò)它，用戶可以輕松讀取GPS、IPTC、JFIF、Photoshop IRB、FlashPix、GeoTIFF等類型的文件。

它還支持許多不同的元數(shù)據(jù)格式，包括EXIF、GPS、IPTC、XMP、JFIF、GeoTIFF、ICC Profile、Photoshop IRB、FlashPix、AFCP、ID3和Lyrics3，以及佳能、卡西歐、大疆許多數(shù)碼相機(jī)的制造商注釋,包括：FLIR、FujiFilm、GE、GoPro、HP、JVC/Victor、Kodak、Leaf、Minolta/Konica-Minolta、Motorola、Nikon、Nintendo、Ricoh、Samsung、Sanyo、Sigma/Foveon和Sony。

希望上述工具可以幫助用戶更有效地處理網(wǎng)絡(luò)安全事件，提高調(diào)查效率。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文