数十年来,数字取证的历史在司法侦查的不同分支中不断发展,已成为全球执法活动中非常重要的一部分。与此同时,由于互联网和全球化的发展,犯罪形式多样化,借助免费的取证调查工具,执法人员可以通过电子设备获取关键的数字证据,将不法分子送入监狱。以下,我们列出了10种免费取证调查工具,它们有助于打击网络犯罪和保护数字资产。
10个免费的数字调查取证工具
- Sleuth Kit(+Autopsy)
- Forensic Investigator
- Autopsy
- Dumpzilla
- Browser History
- FTK Imager
- X-Ways Forensics
- CAINE
- Toolsley
- ExifTool
Sleuth Kit(+Autopsy)
Sleuth Kit是使计算机系统更容易进行取证分析的实用工具之一。它可提供图形化UI检查用户的硬盘驱动器和智能手机,还提供电子邮件分析并查找所有文档和图像。
它还有助于显示图像的缩略图以快速查看每张图片,用户可以使用任意标签名称标记文件。该软件还允许用户通过短信、通话记录、联系人等方式提取数据,并根据名称标记文件和文件夹。
Forensic Investigator
如果用户使用Splunk,那么Forensic Investigator会是一个非常方便的工具。这是一个非常有用的应用程序,并且包含了许多其他工具,包括Ping、横幅抓取器、端口扫描器、SNB共享、NetBIOS查看器、ping、病毒总查找、URL解码器/解析器、XOR/HEX/Base64转换器等。
Autopsy
Autopsy是基于GUI的开源数字取证程序之一,能通过智能手机和硬盘驱动器进行有效分析,主要是调查计算机问题。目前全世界有成千上万的用户在使用该工具。
Autopsy主要是为端到端平台设计的,其中模块开箱即用,可供第三方使用。很少有模块通过网络威胁描述语言STIX来提供时间线分析、数据雕刻、关键字搜索和指示等信息。
Dumpzilla
Dumpzilla是一个用Python 3.x编写的取证工具。它只能从Iceweasel、Firefox和Seamonkey浏览器等少数浏览器中获取所有必要和有趣的信息,可轻松用于Linux、Windows和Mac。
与命令行界面一起使用时,可以使用grep、cut、sed、awk等少数工具转储和重定向到管道,支持用户提取插件、cookie、书签、历史记录、密码、下载、表单填充数据和许多其他信息。
Dumpzilla还允许导出要在JSON文件或纯文本文件中获取的数据。如果用户需要高级过滤,可以轻松地使用通配符和正则表达式。
Browser History
Browser History是一种免费的取证调查工具,它可以从不同的网络浏览器(如Google chrome、Internet Explorer、Mozilla Firefox、Microsoft Edge、Opera等)读取数据的历史记录,并在同一个网络浏览器中显示。
浏览历史表包括标题、Web浏览器、用户配置文件、访问的URL、访问次数等。此浏览器历史记录允许查看用户配置文件,以便它可以运行系统。它还可以从外部硬盘驱动器中获取历史浏览。输出结果将显示为可过滤的交互式图形和历史数据。
FTK Imager
FTK Imager免费取证调查工具可用作数据预览,可在不进行任何更改的情况下创建数据副本,并且始终尝试保留证据。它将硬盘映像保存在一个文件中,稍后进行重建。
FTK Imager还能计算MD5哈希值确认数据的完整性。为了检测网络犯罪,它提供了一种向导驱动的方法。使用此软件,用户可以获得更好的可视化效果,恢复100个应用程序的密码。它还配备了自动数据分析工具,可以为不同的调查管理提供可重复使用的配置文件。
X-Ways Forensics
X-Ways Forensics能够与其他人协作,但前提是协作的每个人都拥有此工具。该软件可以读取分区并构建.dd图像文件。
该工具可以访问磁盘和RAID,支持新技术文件系统(NTFS)和备用数据流(ADS)文件格式、支持书签或批注、分析远程计算机。用户还可以在使用模板的同时查看二进制数据并提供保护以保持真实性。
CAINE
如果您正在寻找具有图形界面的完整取证环境,这个基于Ubuntu的应用程序CAINE可以帮助您。由于这是一个模块,因此该工具始终与旧软件工具集成。
它还可以自动的从RAM中提取时间线,带有数字调查员功能,涵盖数字调查的四个阶段。该工具提供一个用户友好的界面,可以自定义CAINE功能,该软件提供不同类型的用户友好工具。
Toolsley
Toolsley非常受欢迎,它包括十个有用的调查工具,如文件标识符、文件签名验证器、二进制检查器、哈希和验证、文本编码、数据URI生成器、二进制检查器和密码生成器。
ExifTool
ExifTool是命令行界面工具,可帮助用户读取、编辑和写入文件类型的元信息。通过它,用户可以轻松读取GPS、IPTC、JFIF、Photoshop IRB、FlashPix、GeoTIFF等类型的文件。
它还支持许多不同的元数据格式,包括EXIF、GPS、IPTC、XMP、JFIF、GeoTIFF、ICC Profile、Photoshop IRB、FlashPix、AFCP、ID3和Lyrics3,以及佳能、卡西欧、大疆许多数码相机的制造商注释,包括:FLIR、FujiFilm、GE、GoPro、HP、JVC/Victor、Kodak、Leaf、Minolta/Konica-Minolta、Motorola、Nikon、Nintendo、Ricoh、Samsung、Sanyo、Sigma/Foveon和Sony。
希望上述工具可以帮助用户更有效地处理网络安全事件,提高调查效率。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】