数字取证是计算机证据的保存,识别,提取和记录的过程,可以供法院采纳使用。有许多工具可以帮助您在数字取证中简化此过程。这些应用程序提供了可用于法律程序的完整报告。
以下是精选的数字取证工具包列表,其中包含受欢迎的功能和网站链接。该列表同时包含开源(免费)和商业(付费)软件。
ProDiscover Forensic是一个计算机安全应用程序,可让您找到计算机磁盘上的所有数据。它可以保护证据并创建高质量报告以供法律程序使用。该工具使您可以从JPEG文件中提取EXIF(可交换图像文件格式)信息。
特点:
该产品支持Windows,Mac和Linux文件系统。
您可以快速预览和搜索可疑文件。
它会创建整个可疑磁盘的副本,以保护原始证据的安全。
此工具可帮助您查看互联网历史记录。
您可以导入或导出.dd格式的图像。
它使您可以添加注释以证明您感兴趣。
ProDiscover Forensic支持VMware运行捕获的映像。
Link:https://www.prodiscover.com
Sleuth Kit (+Autopsy)是一个基于Windows的实用工具,使计算机系统的取证分析更加容易。该工具使您可以检查硬盘驱动器和智能手机。
特点:
您可以使用图形界面有效地识别活动。
此应用程序提供电子邮件分析。
您可以按文件类型对文件进行分组以查找所有文档或图像。
它显示图像的缩略图以快速查看图片。
您可以使用任意标记名称标记文件。
Sleuth Kit使您能够从通话记录,SMS,联系人等中提取数据。
它可以帮助您根据路径和名称来标记文件和文件夹。
Link:https://www.sleuthkit.org
CAINE是基于Ubuntu的应用程序,可提供具有图形界面的完整取证环境。该工具可以作为模块集成到现有软件工具中。它会自动从RAM中提取时间线。
特点:
它在数字调查的四个阶段为数字取证调查员提供支持。
它提供了一个用户友好的界面。
您可以自定义CAINE的功能。
该软件提供了许多用户友好的工具。
Link:https://www.caine-live.net
PALADIN是基于Ubuntu的工具,使您能够简化一系列取证任务。它提供了100多种有用的工具来调查任何恶意代码和程序。该工具可帮助您快速有效地简化取证任务。
特点:
它提供64位和32位版本。
工具支持集成到USB驱动器上。
该工具箱包含开源工具,可帮助您轻松搜索所需的信息。
该工具有33个类别,可帮助您完成各种网络取证任务。
Link:https://sumuri.com/software/paladin/
Encase是一款可帮助您从硬盘驱动器中恢复证据的应用程序。它使您可以对文件进行深入分析,以收集文件,图片等证据。
特点:
您可以从众多设备(包括手机,平板电脑等)获取数据。
它使您能够生成完整的报告以维护证据的完整性。
您可以快速搜索,识别以及确定证据的优先级。
案件取证可以帮助您解锁加密的证据。
它可以自动准备证据。
您可以执行深入和分类(缺陷的严重性和优先级)分析。
Link: https://www.guidancesoftware.com/encase-forensic
SANS SIFT是基于Ubuntu的计算机取证发行。它提供了数字取证和紧急事件响应检查功能。
特点:
它可以在64位操作系统上工作。
该工具可帮助用户更好地检查内存。
它会自动更新DFIR(数字取证和事件响应)软件包。
您可以通过SIFT-CLI(命令行界面)安装程序进行安装。
该工具包含众多最新的取证工具和技术。
Link: https://digital-forensics.sans.org/community/downloads/
FTK Imager是由AccessData开发的一种取证工具,可用于获取证据。它可以创建数据副本,而无需更改原始证据。该工具允许您过滤指定条件,例如文件大小,像素大小和数据类型,以减少不相关的数据量。
特点:
它提供了一种流程向导的方法来检测网络犯罪。
该程序可以使用图表更好地显示数据。
您可以从100多个应用程序中恢复密码。
它具有先进的自动化数据分析工具。
FTK Imager可帮助您管理可重复使用的配置文件,以满足不同的调查要求。
它支持预处理和后处理优化。
Link: https://accessdata.com/products-services/forensic-toolkit-ftk
RAM捕获记录可疑计算机的内存。它使研究人员可以恢复和分析在内存中找到的有价值的物品。
特点:
您可以在最小化内存中覆盖数据的同时运行此应用程序。
它使您能够导出捕获的内存数据,并将其上传到AXIOM和IEF等磁盘分析分析工具中。
这个应用程式支援各种Windows作业系统。
磁铁RAM捕获支持RAM捕获。
Link: https://www.magnetforensics.com/resources/magnet-ram-capture/
X-Ways是为计算机法律证据调查员提供取证工作环境的软件。该程序支持硬盘的克隆和映像。它使您可以与拥有此工具的其他人进行协同工作。
特点:
它具有读取.dd镜像文件中的分区和文件系统结构的功能。
您可以访问磁盘,RAID等。
它会自动识别丢失或删除的分区。
该工具可以轻松检测NTFS和ADS(备用数据流)。
X-Ways Forensics支持书签或注释。
它具有分析远程计算机的能力。
您可以使用模板查看和编辑二进制数据。
它提供写保护以维护数据的真实性。
Link: http://www.x-ways.net/forensics/
Wireshark是最好的分析网络数据包的工具之一。它可用于网络测试和故障排除。此工具可帮助您检查通过计算机系统的不同流量。
特点:
它提供了丰富的VoIP(互联网协议语音)分析。
使用gzip压缩的捕获文件可以轻松解压缩。
输出可以导出为XML(可扩展标记语言),CSV(逗号分隔值)文件或纯文本。
可以从网络,蓝牙,ATM,USB等读取实时数据。
对多种协议的解密支持,包括IPsec,SSL和WEP。
您可以对数据包应用规则直观的分析和着色。
允许您以任何格式读取或写入文件。
Link: https://www.wireshark.org
Registry Recon是一种Windows注册表取证工具,用于从Windows OS中提取,恢复和分析注册表数据。该程序可用于有效地确定已连接到任何PC的外部设备。
特征:
它支持Windows XP,Vista,7、8、10和其他操作系统。
该工具自动恢复有价值的NTFS数据。
您可以将其与Microsoft Disk Manager实用工具集成。
在磁盘中快速安装所有VSCs(Volume Shadow Copies)。
该程序可重建活动注册表数据库。
Link: https://arsenalrecon.com/products/
Volatility Framework是用于内存分析和取证的软件。它可以帮助您使用RAM中找到的数据测试系统的运行时状态。这个应用程式可让您与团队合作分析。
特点:
它具有允许您快速查找PTE(页表项)标志的API。
波动性框架支持KASLR(Kernel Address Space Layout Randomization)。
该工具提供了许多插件来检查Mac文件的运行情况。
当服务多次启动失败时,它将自动运行“失败”命令。
Link: https://www.volatilityfoundation.org
Xplico是一个开源法律证据分析应用程序。它支持HTTP(超文本传输协议),IMAP(Internet消息访问协议)等。
特点:
您可以在SQLite数据库或MySQL数据库中获取输出数据。
该工具为您提供实时协作。
数据输入或文件数量没有大小限制。
您可以轻松创建任何类型的调度程序,以有用的方式组织提取的数据。
它同时支持IPv4和IPv6。
您可以从具有输入文件的DNS包中执行保留DNS查找。
Xplico提供PIPI(Port Independent Protocol Identification)功能以支持数字取证。
Link: https://www.xplico.org
e-fense是一种可以帮助您满足计算机取证和网络安全需求的工具。它使您可以在一个易于使用的界面中从任何设备发现文件。
特点:
它可以防止恶意行为,黑客入侵和政策违规。
您可以从系统获取USB历史记录,内存和屏幕截图到USB拇指驱动器上。
该工具具有易于使用的界面,使您可以实现调查目标。
E-fense支持多线程,这意味着您可以同时执行多个线程。
Link: http://www.e-fense.com/products.php
Crowdstrike是提供威胁情报,端点安全性等的数字证据取证软件。它可以快速检测并从网络安全事件响应中恢复。您可以使用此工具实时查找和阻止攻击者。
特点:
此工具可帮助您管理系统漏洞。
它可以自动分析恶意软件。
您可以保护虚拟,物理和基于云的数据中心。
Link: https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/
我们提供的安全托管服务方案
“安全与信赖值得托付”是我们企业精神和服务理念!拥有优秀的员工,先进的工具,主动的服务意识,确保客户安全投资价值,助理客户实现业务目标,是公司能够赢得用户信赖的根本所在。
安全托管服务合作伙伴,选多面魔方就对了。
安全和信任值得托付 !
微信公众号
新浪微博