每個企業(yè)的安全團隊都應(yīng)該提前儲備一款好用的數(shù)字取證工具，因為從輕微的網(wǎng)絡(luò)違規(guī)到嚴重的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件處置，數(shù)字取證軟件有助于更快速的解決問題，并查明問題根源。同時，由于互聯(lián)網(wǎng)和全球化的發(fā)展，網(wǎng)絡(luò)犯罪形式也在多樣化，借助可靠的數(shù)字取證分析工具，可以幫助執(zhí)法人員獲取關(guān)鍵性的數(shù)字證據(jù)，從而對不法分子進行處罰。

隨著網(wǎng)絡(luò)犯罪分子的攻擊頻率和嚴重程度不斷提高，數(shù)字取證市場目前發(fā)生了很大變化，可以用兩個詞來概括：速度和準確率。如何盡快將違法證據(jù)提交給調(diào)查人員是將網(wǎng)絡(luò)犯罪分子繩之以法的關(guān)鍵，特別是對于那些應(yīng)用廣泛的便攜移動設(shè)備。因此，安全人員正在通過將自動化技術(shù)納入數(shù)字取證工作流程來實現(xiàn)更快的取證速度，同時更完整的保留證據(jù)鏈。而擁有一個可以收集、處理和審查所有類型設(shè)備數(shù)據(jù)的協(xié)作取證平臺，正在成為企業(yè)組織優(yōu)化數(shù)字調(diào)查取證流程的最佳方式。

本文收集整理了目前國際市場上最熱門的數(shù)字取證和事件響應(yīng)(DFIR)軟件工具，它們有助于幫助企業(yè)打擊網(wǎng)絡(luò)犯罪和保護數(shù)字資產(chǎn)。

1、Paraben

Paraben公司于1999年進入網(wǎng)絡(luò)安全市場，專注于數(shù)字取證、風(fēng)險評估和安全解決方案。Paraben的取證調(diào)查主要針對電子郵件、計算機、智能手機和物聯(lián)網(wǎng)設(shè)備。

應(yīng)用特點：

?Paraben E3取證平臺實現(xiàn)了對來自多個數(shù)據(jù)源數(shù)據(jù)的簡化分析。

?可實現(xiàn)哈希數(shù)據(jù)庫過濾，對文件、十六進制、文本、RTF以及電子郵件查看器進行自動嵌入式數(shù)據(jù)檢測(OLE)。

?可以提供遠程訪問，從計算設(shè)備和云存儲環(huán)境進行數(shù)據(jù)采集。

?可為Xbox和Amazon Echo等產(chǎn)品提供物聯(lián)網(wǎng)取證支持，可為Google、Dropbox和Slack提供云取證支持。

2、Sleuth Kit和Autopsy

Sleuth Kit(TSK)和Autopsy是兩款流行的開源數(shù)字調(diào)查工具，其中Sleuth Kit可幫助管理員通過眾多用于調(diào)查磁盤映像的命令行工具庫來分析文件系統(tǒng)數(shù)據(jù)，而Autopsy是一種圖形化用戶界面(GUI)的數(shù)字取證平臺，用于公共和私有計算機系統(tǒng)調(diào)查，對TSK的功能進行補充。

應(yīng)用特點：

?TSK提供了備受好評的磁盤和數(shù)據(jù)捕獲工具。

?功能包括時間軸分析、哈希過濾、文件和文件夾標記以及多媒體提取。

?Autopsy讓用戶可以高效地分析硬盤和智能手機。

?其插件架構(gòu)讓用戶可以查找附加模塊，或者用Java或Python開發(fā)自定義模塊。

?TSK的核心功能是分析卷和文件系統(tǒng)數(shù)據(jù)。

3、OpenText

OpenText公司成立于1991年，提供企業(yè)內(nèi)容管理、網(wǎng)絡(luò)、自動化、發(fā)現(xiàn)、安全和分析服務(wù)。OpenText EnCase解決方案包括Endpoint Security(端點檢測和響應(yīng)，即EDR)、Endpoint Investigator(DFIR)、Forensic、Mobile Investigator和Advanced Detection。這些解決方案有助于從多種類型的設(shè)備和硬盤驅(qū)動器中恢復(fù)證據(jù)、自動發(fā)現(xiàn)證據(jù)、深度分析證據(jù)以及收集保存證據(jù)。

應(yīng)用特點：

?EnCase Forensic已得到部分司法機構(gòu)的認可，可用于查找、解密、收集和保存來自多種計算機設(shè)備的取證數(shù)據(jù)，同時確保證據(jù)完整性，并與司法調(diào)查流程集成。

?EnCase可以從諸多來源獲取證據(jù)，并深入挖掘每個來源，以發(fā)現(xiàn)可能相關(guān)的信息。

?預(yù)定義或定制的條件和過濾器可以快速找到證據(jù)。

?證據(jù)處理、集成式工作流程和靈活的報告都是EnCase提供的功能。

?平臺按重要性對證據(jù)排序。

4、Magnet Forensics

Magnet Forensics由加拿大退役警務(wù)人員創(chuàng)建，主要為公共和私營組織提供數(shù)字取證調(diào)查工具。產(chǎn)品包括用于事件響應(yīng)的Magnet Axiom Cyber、Magnet Automated Enterprise以及用于分類的Magnet Ignite。

應(yīng)用特點：

?應(yīng)用較廣泛，目前已經(jīng)在全球100多個國家、地區(qū)擁有4000多家客戶。

?支持多種數(shù)字取證源，而不僅僅是針對Linux和Windows操作系統(tǒng)。

?可以用于執(zhí)行遠程獲取事件，并恢復(fù)和分析來自計算機、云和移動設(shè)備的證據(jù)。

?是一種自動化解決方案，可用于在安全事件發(fā)生后同時收集和處理來自多個端點的證據(jù)。

?可執(zhí)行快速遠程掃描，并對端點進行初始分析。

5、CAINE

計算機輔助調(diào)查環(huán)境(CAINE)是一款基于Ubuntu和Linux的開源發(fā)行版工具，用于數(shù)字取證。CAINE可以與現(xiàn)有的各種Windows、Linux和Unix系統(tǒng)版本安全工具相集成。

應(yīng)用特點：

?CAINE提供了從隨機訪問存儲器(RAM)自動提取時間線的功能。

?是一種可互操作的環(huán)境，在數(shù)字調(diào)查的四個階段支持數(shù)字調(diào)查人員。

?所有模塊設(shè)備在只讀模式下都會被阻止。

?具有圖形化的操作界面，使用方便

?能夠確保相關(guān)磁盤都受到保護，避免意外讀寫操作。

6、Kroll Computer Forensics

Kroll的計算機取證工具和專家服務(wù)能夠讓各種數(shù)字證據(jù)不被忽視，并在調(diào)查或訴訟流程的各個階段提供取證幫助，無論數(shù)據(jù)源如何復(fù)雜。

應(yīng)用特點：

?可結(jié)合使用計算機取證專長和傳統(tǒng)調(diào)查技術(shù)，分析物理和數(shù)字證據(jù)，以查明發(fā)生事件詳細情況。

?基于防御性的解決方案可用來識別和安全保存電子數(shù)據(jù)。

?可以滿足復(fù)雜環(huán)境下數(shù)據(jù)的采集需求，用于電子調(diào)查和取證分析或取證發(fā)現(xiàn)。

?當數(shù)據(jù)被有意、無意的刪除或篡改時，Kroll也可以通過分析留下的數(shù)字線索，以發(fā)現(xiàn)關(guān)鍵信息。

?提供7*24小時的專家服務(wù)，并可為客戶擔任專家證人或特別專員。

7、SIFT Workstation

SIFT Workstation是一套免費開源的事件響應(yīng)和取證工具，用于執(zhí)行數(shù)字取證檢查。SIFT Workstation提供了一系列免費開源的DFIR解決方案，還提供了多種部署選項，包括虛擬機、Ubuntu上的原生安裝，或通過Linux子系統(tǒng)安裝。

應(yīng)用特點：

?可在64位操作系統(tǒng)上運行，并自動更新軟件，增添最新的取證工具和技術(shù)，還可以幫助內(nèi)存優(yōu)化。

?SIFT Workstation應(yīng)用廣泛，下載量超過125000人次。

?SIFT Workstation主要用作SANS事件響應(yīng)、網(wǎng)絡(luò)取證和網(wǎng)絡(luò)威脅情報培訓(xùn)的一部分。

?可以分析文件系統(tǒng)、網(wǎng)絡(luò)證據(jù)和內(nèi)存映像等。

?支持NTFS、ISO9660 CD、HFS和FAT等文件格式。

8、Exterro

Exterro專門開發(fā)基于工作流程的軟件和治理風(fēng)險合規(guī)(GRC)解決方案，在協(xié)助內(nèi)部法務(wù)團隊、簡化合規(guī)流程和控制風(fēng)險方面尤其具有價值。Exterro的產(chǎn)品涵蓋電子發(fā)現(xiàn)、隱私保護、風(fēng)險管理和數(shù)字取證。公司推出的FTK取證產(chǎn)品功能包括Mac和移動數(shù)據(jù)調(diào)查、遠程代理端點收集、可擴展的數(shù)據(jù)處理環(huán)境(DPE)和自動化工作流程。

應(yīng)用特點：

?Exterro的操作符合SOC 2 Type 2認證和FedRAMP授權(quán)。

?產(chǎn)品分為FTK Imager、FTK Lab、FTK Central、FTK Enterprise和FTK Connect多個模塊

?產(chǎn)品已在數(shù)字取證領(lǐng)域使用了30多年，用于可重復(fù)、可靠性需求高的取證調(diào)查。

?所有FTK解決方案的特點是快速處理數(shù)據(jù)，包括提取移動數(shù)據(jù)。

?可以提供遠程端點調(diào)查、分類、收集和修復(fù)功能呢。

9、Volatility

Volatility是一款命令行內(nèi)存分析和取證工具，用于從內(nèi)存轉(zhuǎn)儲中提取信息，其中用于事件響應(yīng)和惡意軟件分析的取證框架是用Python編寫，支持Microsoft Windows、Mac OS X和Linux操作系統(tǒng)。

應(yīng)用特點：

?不需要安裝Python腳本解釋器。

?內(nèi)存取證技術(shù)使調(diào)查人員能夠使用RAM數(shù)據(jù)分析系統(tǒng)運行時狀態(tài)。

?了解操作系統(tǒng)的內(nèi)部、惡意代碼和異常，這些信息有助于改善工具應(yīng)用功能。

?嵌入式API可用于查找頁表條目(PTE)標志。

?Volatility支持內(nèi)核地址空間布局隨機化(KASLR)。

10、X-Ways

X-Ways Forensics是面向計算機取證檢驗人員的工作環(huán)境，基于WinHex十六進制和磁盤編輯器，并可以提供額外的磁盤和數(shù)據(jù)捕獲軟件、克隆、映像及其他工具。

應(yīng)用特點

?便攜式應(yīng)用，可在插入任何Windows系統(tǒng)的U盤上運行，無需安裝。

?計算機取證檢驗人員能夠與使用X-Ways 的調(diào)查人員共享數(shù)據(jù)和協(xié)作。

?可在Windows XP/2003/Vista等舊版本的操作系統(tǒng)下運行。

?能夠自動檢測丟失或刪除的分區(qū)。

11、Cellebrite

Cellebrite于1999年成立，專門為需要收集、審查、分析或管理設(shè)備數(shù)據(jù)的組織提供移動設(shè)備取證服務(wù)。Digital Intelligence Investigative Platform(數(shù)字情報調(diào)查平臺)有助于統(tǒng)一調(diào)查生命周期和保存數(shù)字證據(jù)。

應(yīng)用特點：

?Cellebrite通用取證設(shè)備(UFED)可以提取物理和邏輯數(shù)據(jù)。

?恢復(fù)方法包括專用引導(dǎo)加載程序、自動緊急下載(EDL)功能和智能安卓調(diào)試橋(ADB)。

?Cellebrite可以在Windows和Mac上提供取證分析功能。

?可以查找互聯(lián)網(wǎng)歷史記錄、下載件、最近搜索的內(nèi)容、熱門網(wǎng)站、位置、介質(zhì)、消息、回收站、USB連接等多種信息。

?提供AI輔助的圖片和視頻分類、過濾以及支持全磁盤加密等功能。

12、ProDiscover

ProDiscover成立于2001年，旨在幫助公共和私營組織打擊數(shù)字犯罪，截至2022年，這家總部位于印度的供應(yīng)商在70多個國家、地區(qū)開展業(yè)務(wù)。ProDiscover Forensics可以從計算機系統(tǒng)捕獲用于取證調(diào)查的證據(jù)，以收集、保存、過濾和分析證據(jù)。

應(yīng)用特點：

?ProDiscover提供三種產(chǎn)品，側(cè)重計算機取證、事件響應(yīng)、電子發(fā)現(xiàn)和公司政策合規(guī)調(diào)查。

?ProDiscover可查找計算機磁盤上的數(shù)據(jù)，并保護證據(jù)和創(chuàng)建報告。

?可以從JPEG文件中提取EXIF數(shù)據(jù)

?可以復(fù)制可疑的磁盤，并進行取證分析

?為VMware等虛擬化應(yīng)用提供運行捕獲映像功能。

13、Wireshark

Wireshark最早開發(fā)于1998年，可取證調(diào)查和分析網(wǎng)絡(luò)數(shù)據(jù)包，并對網(wǎng)絡(luò)進行測試和故障排查，包括在封裝數(shù)據(jù)結(jié)構(gòu)的三窗格數(shù)據(jù)包瀏覽器中檢查數(shù)百種協(xié)議。

應(yīng)用特點：

?Wireshark可以與多平臺兼容，支持Windows、Linus、macOS、Solaris、FreeBSD和NetBSD。

?具有網(wǎng)絡(luò)分析功能，可用于VoIP設(shè)備的取證分析。

?Wireshark可以捕獲用gzip壓縮的文件，并導(dǎo)出為XML、CSV或純文本。

?提供實時捕獲和離線分析，用戶可以看到網(wǎng)絡(luò)上發(fā)生的情況。

14、Xplico

Xplico創(chuàng)立于2007年，這款網(wǎng)絡(luò)取證分析工具可通過數(shù)據(jù)包嗅探器重構(gòu)數(shù)據(jù)，擅長與端口無關(guān)的協(xié)議識別(PIPI)，以重構(gòu)應(yīng)用程序數(shù)據(jù)來識別協(xié)議。作為一款免費開源工具，Xplico旨在從捕獲的互聯(lián)網(wǎng)流量中提取應(yīng)用程序數(shù)據(jù)。

應(yīng)用特點：

?Xplico支持HTTP、IMAP、POP、SMTP和IPv6等協(xié)議。

?Xplico可創(chuàng)建XML文件，識別重新組裝的每個數(shù)據(jù)結(jié)構(gòu)中含有的數(shù)據(jù)流和pcap(輸入文件)。

?提供多線程機制，沒有數(shù)據(jù)輸入限制。

?可以從DNS包中執(zhí)行反向域名系統(tǒng)(DNS)查找。

15、LogRhythm

LogRhythm公司以SIEM、威脅情報以及UEBA產(chǎn)品為主要業(yè)務(wù)，成立于2003年。目前，公司通過一項名為NetMon的方案添加了網(wǎng)絡(luò)取證功能，這是其整體安全解決方案的一部分，但也可以作為獨立的模塊來交付提供。

應(yīng)用特點：

?LogRhythm聚合數(shù)據(jù)包捕獲和派生的元數(shù)據(jù)，保存日志數(shù)據(jù)，并使用網(wǎng)絡(luò)取證傳感器填補空白。

?LogRhythm會重點關(guān)注事件取證的平均響應(yīng)時間(MTTR)。

?LogRhythm可以識別3000多個應(yīng)用程序及元數(shù)據(jù)，可以深入了解網(wǎng)絡(luò)會話。

?基于腳本的深度數(shù)據(jù)包分析(DPA)，可用于實現(xiàn)實時的檢測取證。

16、Global Digital Forensic

Global Digital Forensic公司提供計算機取證分析和訴訟支持服務(wù)超過20年，支持目前幾乎所有數(shù)字化設(shè)備的取證服務(wù)，同時還提供電子發(fā)現(xiàn)服務(wù)、滲透測試和漏洞響應(yīng)服務(wù)。

應(yīng)用特點：

?Global Digital Forensic有自己的實驗室和全球響應(yīng)網(wǎng)絡(luò)，能夠針對各種IT環(huán)境中的幾乎任何信息化系統(tǒng)進行取證分析。

?在部分國家，GDF取證結(jié)果可在司法訴訟中作為證據(jù)。

?可以提供數(shù)據(jù)檢索和恢復(fù)服務(wù)。

?可以為客戶提供取證準備和就緒情況的評估。