電子取證工具

在計算機取證過程當中，相應的取證工具必不可少，常見的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot，Tripwires、Network monitor，鏡像工具等。在國外計算機取證過程當中比較流行的是鏡像工具和專業的取證軟件，但不少工具都屬於付費軟件，不少讀者不可能免費擁有它們，但有一些開源工具或者操做系統自身的工具也能夠實現很好的使用效果。

   知識連接：對計算機犯罪評定的標準主要來自於計算機取證。計算機取證又稱爲數字取證或電子取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行爲利用計算機軟硬件技術，按照符合法律規範的方式進行證據獲取、保存、分析和出示的過程。從技術上，計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。

   最著名的免費軟件是1999年Dan Farmer和Wietse Venema編寫Coroners工具包。它是可以幫助對計算機犯罪進行取證檢查的一些工具軟件的集合，它的最初設計平臺是UNIX系統，但也能對非UNIX的磁盤、介質作有限的數據獲取和分析。是目前應用較普遍的免費計算機取證工具包，它包括下列工具：

 Grave-robber：以數據的易變性爲序蒐集數據供之後的取證分析工具使用，它蒐集的數據包括進程和網絡信息、磁盤文件信息等；
 Unrm：磁盤數據恢復工具，拷貝全部未分配的數據塊到指定文件；
 Lazarus：恢復已刪除文件的工具；
 Mactime：肯定在一個特定的時間段內那些文件被訪問或修改過；

   準備取證工具
 文件瀏覽器：這類工具是專門用來查看數據文件的閱讀工具。只用於查看而沒有編輯和恢復功能，從而體積較小並能夠防止證據的破壞。比較好的軟件是Quik View Plus。它能夠識別200種以上文件類型，能夠瀏覽各類電子郵件文檔。

 圖片檢查工具：Thumbs Plus是一個功能很全面的進行圖片檢查的工具。

 反刪除工具：這方面的取證分析工具中最主要的是諾頓工具，雖然這是一個老式的工具，但在有些時候是頗有用的。

 CD-ROM工具：使用CD-R Diagnostics能夠看到在通常狀況下看不到的數據。

 文本搜索工具：dtSearch是一個很好的用於文本搜索的工具，特別是具備搜索Outlook的.pst文件的能力。

 驅動器映像程序：能夠知足取證分析，即逐位拷貝以創建整個驅動器的映像的磁盤映像軟件包括SafeBackSnapBack、Ghost、dd等。

 磁盤擦除工具：這類工具主要用在使用取證分析機器以前，爲了確保分析機器的驅動器中不包含殘餘數據，顯然，只是簡單的格式化確定不行。從軟盤啓動後運行NTI公司的DiskScrub程序便可把硬盤上的每一扇區的數據都清除掉。

 Forensic Toolkit：是一系列基於命令行的工具，能夠幫助推斷Windows NT文件系統中的訪問行爲。這些程序包括的命令有：AFind（根據最後訪問時間給出文件列表，而這並不改變目錄的訪問時間）、HFind（掃描磁盤中有隱藏屬性的文件）、SFind（掃描整個磁盤尋找隱藏的數據流）、FileStat（報告全部單獨文件的屬性）、NTLast（提供標準的GUI事件瀏覽器以外對每個會話都記錄了登陸及登出時間，而且它可以指出登陸是遠程的仍是本地的）。

 ForensicX：主要運行於Linux環境，是一個以收集數據及分析數據爲主要目的的工具。它與配套的硬件組成專門工做平臺。它利用了Linux支持多種文件系統的特色，提供在不一樣的文件系統裏自動裝配映像等能力、可以發現分散空間裏的數據、能夠分析Unix系統是否含有木馬程序。其中的Webtrace能夠自動搜索互聯網上的域名，爲網絡取證進行必要的收集工做，新版本具備識別隱藏文件的工具。

 New Technologies Incorporated：NTI是取證軟件最爲固定的商家之一。NTI以命令的形式執行軟件，因此速度很快，軟件包的體積小，適合於在軟盤上使用。該公司提供的取證工具包括：
 CRCMD5：一個能夠驗證一個或多個文件內容的CRC工具；
 DiskScrub：一個用於清除硬盤驅動器中全部數據的工具；
 DiskSig：一個CRC程序，用於驗證映像備份的精確性；
 FileList：一個磁盤目錄工具用來創建用戶在該系統上的行爲時間表；
 Filter_we：一種用於周圍環境數據的智能模糊邏輯過濾器；
 GetSlack：一種周圍環境數據收集工具，用於捕獲未分配的數據；
 GetTime：一種周圍環境數據收集工具，用於捕獲分散的文件；
 Net Threat Analyzer：網絡取證分析軟件，用於識別公司互聯網絡帳號濫用；
 M-Sweep：一種周圍環境數據清除工具；
 NTI-DOC：一種文件程序用於記錄文件的日期、時間以及屬性；
 PTable：用於分析及證實硬盤驅動器分區的工具；
 Seized：一種用於對證據計算機上鎖及保護的程序；
 ShowFL：用於分析文件輸出清單的程序；
 TextSearch Plus：用來定位文本或圖形文件中的字符串的工具。

    準備鏡像工具
    在採集證據的過程當中最主要的工做就是對各類介質進行鏡像。

    用磁盤鏡像工具（如Safe back、SnapBack DatArret 和DIBS RAID等）對目標系統磁盤驅動中的全部數據進行字符流的鏡像備份。鏡像備份後就可對計算機證據進行處理，萬一對收集來的電子證據產生疑問時，可用鏡像備份的數據恢復到系統的原始狀態，做爲分析數據的原始參考數據，使得分析的結果具備可信性。

    UNIX環境下，dd是可以完成這項工做的通用命令，儘可能在你的工具包裏包含各類類型、各類版本UNIX系統的dd命令，經過它能夠很容易地爲被調查機器的整個驅動器製做一個鏡像。Windows平臺上也有不少相似的軟件，咱們也能夠選擇Ghost來完成這項工做。

    準備存儲裝置
    用於存放證據的存儲介質必定要事先進行處理，使用公承認靠的數據擦除軟件進行擦除，以免介質中的殘餘數據對證據的分析和取信形成影響。在存儲證據時，最經常使用的硬件設備是移動硬盤，除了應該具有儘可能大的容量以外，硬盤盒的接口也應該儘可能豐富，至少應該同時擁有IDE、SCSI、PCMCIA等經常使用接口的移動存儲設備。除了移動硬盤以外，軟盤、Zip軟盤、MO、CD-R等存儲介質也應該儘可能充實到你的工具箱中，由於咱們實在沒法知道被調查的機器到底具備怎樣的外設。

    百寶箱
    目前在國內外的計算機取證產品中，已經出現了許多不一樣功能、不一樣外觀的取證工具箱，全部這些取證設備依據其功能和形式主要分爲三種：改裝型、工控型和組合型。

    改裝型主要將臺式計算機主板、顯示器等部件安置於特定工具箱內，優化各接口的鏈接方式，將所有端口引於面板上，便於設備的鏈接使用。因爲普通筆記本計算機沒法直接鏈接並快速獲取IDE硬盤數據，所以這種取證箱的最大優勢是便於對硬盤數據的預覽和獲取。

    工控型主要利用工業控制機可攜帶，擴展方便的特色，利用各類PCI功能擴展卡加強計算機的功能。此種設備端口齊全，具備防震設計。缺點是體積大且重，不易假裝。

    組合型將各類常見的取證設備合理搭配，放置於特製的箱包中，組成功能全面的取證系統。主流方案是採用筆記本計算機，配合各類移動存儲介質和專業計算機取證器材，實現對不一樣信息存儲介質的檢查與獲取。這種方案優勢是端口齊全，各類設備使用靈活，便於假裝和攜帶。

    除了這些，如今市場上還能夠購買到不少專用的調查設備，好比以Forensic MD5爲表明的手持式取證設備，以及Forensic Computer出品的便攜式取證箱等等，這些產品在複製數據的時候速度很快，具有豐富的讓你不敢相信的接口，能夠應付各類取證要求，並且便於攜帶，是計算機取證人員真正的百寶箱。

    針對Windows 系統安全工具
    Sysinternals 網站由 Mark Russinovich 和 Bryce Cogswell 於 1996 年爲了存放其高級系統實用程序和技術信息而創辦，並於 2006 年 7 月被 Microsoft 收購。不管您是 IT 專業人員仍是安全領域的入門者，都會發現 Sysinternals 實用程序對管理、故障排除和計算機系統安全事件調查都十分實用。在計算機犯罪證據採集和計算機安全加固領域，尤爲是對Windows操做系統的支持達到了一個新的歷史高度。Windows Sysinternals包含六大方面的內容：

 文件和磁盤實用程序：用於查看和監控對文件與磁盤的訪問及使用的實用程序；
 網絡：涵蓋了從鏈接監控器到資源安全分析器的網絡工具；
 進程與線程：用於揭示哪些進程正在執行及其所耗費的資源的實用程序；
 安全實用程序：安全配置和管理實用程序，包括 Rootkit 和間諜軟件查殺程序；
 系統信息：用於查看系統資源的使用和配置的實用程序；
 其餘：各類實用程序的集合，其中包括屏幕保護程序、演示文檔輔助工具和調試工具。

 

FROM HERE