全球調(diào)查人員和專業(yè)人士偏愛的七大頂尖網(wǎng)絡(luò)取證工具
電影電視里常會出現(xiàn)計(jì)算機(jī)專家運(yùn)用各種取證工具鎖定罪犯的場景,但專家們用的網(wǎng)絡(luò)取證工具都有哪些呢?這里就為大家奉上全球調(diào)查人員和專業(yè)人士偏愛的7種網(wǎng)絡(luò)取證工具。
| 拷問數(shù)據(jù),它自然會坦白。
——羅納德·考斯 |
網(wǎng)絡(luò)取證,顧名思義,就是為非法行為發(fā)生后的調(diào)查收集證據(jù)。網(wǎng)絡(luò)/計(jì)算機(jī)取證是數(shù)字取證科學(xué)的一個(gè)分支,為提升網(wǎng)絡(luò)安全而生。2002年出版的《計(jì)算機(jī)取證》一書中,計(jì)算機(jī)取證被定義為:對計(jì)算機(jī)數(shù)據(jù)的保存、鑒別、抽取、歸檔和解釋。
那么,取證調(diào)查員干些什么呢?
他們基本上就是遵循一定的調(diào)查標(biāo)準(zhǔn)流程。首先,將被感染設(shè)備從網(wǎng)絡(luò)中物理隔離出來,給設(shè)備做個(gè)備份,并保證設(shè)備不會被外部入侵所污染。一旦保住了設(shè)備,設(shè)備本身就留待進(jìn)一步處理,而調(diào)查都是在克隆的設(shè)備上做的。
為更好地理解計(jì)算機(jī)上的東西,我們可以假設(shè)計(jì)算機(jī)是忠實(shí)的見證者,而且絕對不會騙人。除非被什么外部人士操縱,否則網(wǎng)絡(luò)/計(jì)算機(jī)取證的唯一目的,就是搜索、保存并分析從受害設(shè)備上獲取到的信息,并將這些信息用作證據(jù)。
于是,這些計(jì)算機(jī)取證專業(yè)人士都用的是什么工具呢?信息安全研究所給我們列出了一張單子,內(nèi)含7種常用工具,并附有簡要描述及主要功能介紹。
1. SIFT – SANS調(diào)查取證工具包
SIFT具備檢查原始磁盤(比如直接從硬盤或其他任何存儲設(shè)備上獲取的字節(jié)級數(shù)據(jù))、多種文件系統(tǒng)及證據(jù)格式的能力。該工具包基本基于Ubuntu系統(tǒng),是包含了執(zhí)行深度取證調(diào)查或響應(yīng)調(diào)查所需工具的一張 Live CD。SIFT工具包最值得贊賞的就是:開源&免費(fèi)。
SIFT堪比SANS高級事件響應(yīng)課程中主打的任何現(xiàn)代事件響應(yīng)及取證工具套裝。那么,SIFT都支持哪些證據(jù)格式呢?從高級取證格式(AFF)到RAW(dd)證據(jù)格式都支持!
SIFT的主要特點(diǎn)有:
- 基于 Ubuntu LTS 14.04;
- 支持64位系統(tǒng);
- 內(nèi)存利用率更高;
- 自動數(shù)字取證及事件響應(yīng)(DFIR)包更新及自定義設(shè)置;
- 最新的取證工具和技術(shù);
- 可用 VMware Appliance 進(jìn)行取證;
- 兼容Linux和Windows;
- 可選擇通過(.iso)鏡像文件單獨(dú)安裝或經(jīng) VMware Player/Workstation 使用ReadTheDocs上有在線文檔項(xiàng)目;
- 擴(kuò)展了支持的文件系統(tǒng)。
https://digital-forensics.sans.org/community/downloads
2. ProDiscover Forensic
ProDiscover Forensic 是可在給定計(jì)算機(jī)存儲磁盤上定位全部數(shù)據(jù),同時(shí)還能保護(hù)證據(jù)并產(chǎn)生文檔報(bào)告的計(jì)算機(jī)/網(wǎng)絡(luò)安全工具。
該工具可以從受害系統(tǒng)中恢復(fù)任意已刪除文件并檢查剩余空間,還可以訪問 Windows NTFS 備用數(shù)據(jù)流,預(yù)覽并搜索/捕獲(比如截屏或其他方式)硬件保護(hù)區(qū)(HPA)的進(jìn)程。ProDiscover Forensic 有自己的技術(shù)來執(zhí)行這些操作。
任何系統(tǒng)或組織中對數(shù)據(jù)的硬件防護(hù)都是非常重要的事,想突破硬件防護(hù)并不容易。ProDiscover Forensic 在扇區(qū)級讀取磁盤,因而沒有數(shù)據(jù)可以在該工具面前隱身。
ProDiscover Forensic 的主要功能有:
- 創(chuàng)建包含隱藏HPA段(專利申請中)的磁盤比特流副本供分析,可以保證原始證據(jù)不受污染;
- 搜索文件或整顆磁盤(包括剩余空間、HPA段和 Windows NT/2000/XP 備份數(shù)據(jù)流),可進(jìn)行完整的磁盤取證分析;
- 不修改磁盤任何數(shù)據(jù)(包含文件元數(shù)據(jù))的情況下,預(yù)覽所有文件——即便文件被隱藏或刪除;
- 在文件級或磁盤簇級檢查數(shù)據(jù)并交叉對比,以確保沒漏掉任何東西,即便是在磁盤剩余空間中;
- 使用Perl腳本自動化調(diào)查任務(wù)。
https://www.arcgroupny.com/products/prodiscover-forensic-edition/
3. Volatility Framework
Volatility Framework 是黑帽獨(dú)家發(fā)布的一個(gè)框架,與高級內(nèi)存分析及取證直接相關(guān)。后者基本上就是分析受害系統(tǒng)中的易變內(nèi)存。易變內(nèi)存或易變數(shù)據(jù)是頻繁刷新的數(shù)據(jù),就是在重啟系統(tǒng)時(shí)可能丟失的那些數(shù)據(jù)。對此類數(shù)據(jù)的分析可以采用 Volatility Framework 進(jìn)行。該框架向世界引入了使用RAM(易變內(nèi)存)數(shù)據(jù)監(jiān)視運(yùn)行時(shí)進(jìn)程和任意系統(tǒng)狀態(tài)的強(qiáng)大力量。
該框架也為數(shù)字調(diào)查員提供了高效進(jìn)行取證研究的獨(dú)特平臺。國家司法機(jī)構(gòu)、國防力量或全球任意商業(yè)調(diào)查機(jī)構(gòu)都使用該工具。
Volatility Framework 的主要特點(diǎn)有:
- 內(nèi)聚的單一框架;
- 遵從開源 GPLv2 許可;
- 以Python語言編寫;
- Windows、Linux、Mac可用;
- 可擴(kuò)展可腳本化的API;
- 無可匹敵的功能集;
- 文件格式涵蓋全面;
- 快速高效的算法;
- 嚴(yán)謹(jǐn)強(qiáng)大的社區(qū);
- 專注取證/事件響應(yīng)/惡意軟件。
https://github.com/volatilityfoundation/volatility
4. Sleuth Kit (+Autopsy)
命令行接口是與計(jì)算機(jī)程序互操作的一種模式。命令行模式下,用戶/客戶端向程序發(fā)送連續(xù)的文本行,也就是編程語言中的指令。
Sleuth Kit 就是此類命令行接口/工具的集合。該工具可以檢查受害設(shè)備的磁盤鏡像,恢復(fù)出被破壞的文件。Sleuth Kit 一般與其他很多開源或商業(yè)取證工具一起用在Autopsy數(shù)字取證平臺中。
Autopsy也是 Sleuth Kit 的圖形用戶接口,可令硬盤和智能手機(jī)分析工作更加高效。
Autopsy功能列表:
- 多用戶情形:可供調(diào)查人員對大型案件進(jìn)行協(xié)作分析;
- 時(shí)間線分析:以圖形界面顯示系統(tǒng)事件,方便發(fā)現(xiàn)各類活動;
- 關(guān)鍵詞搜索:文本抽取和索引搜索模塊可供發(fā)現(xiàn)涉及特定詞句的文件,可以找出正則表達(dá)式模式;
- Web構(gòu)件:從常見瀏覽器中抽取Web活動以輔助識別用戶活動;
- 注冊表分析:使用RegRipper來找出最近被訪問的文檔和USB設(shè)備;
- LNK文件分析:發(fā)現(xiàn)快捷方式文件及其指向的文件;
- 電子郵件分析:解析MBOX格式信息,比如Thunderbird;
- EXIF:從JPEG文件中抽取地理位置信息和相機(jī)信息;
- 文件類型排序:根據(jù)文件類型對文件分組,以便找出全部圖片或文檔;
- 媒體重放:不用外部瀏覽器就查看應(yīng)用中的視頻和圖片;
- 縮略圖查看器:顯示圖片的縮略圖以快速瀏覽圖片。
5. CAINE(計(jì)算機(jī)輔助調(diào)查環(huán)境)
CAINE基于Linux系統(tǒng)打造,通常是包含了一系列取證工具的一張 Live CD。由于最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上,熟悉這些系統(tǒng)的人便可以無縫使用CAINE。
CAINE的主要功能有:
- CAINE界面——集成了一些著名取證工具的用戶友好界面,其中很多工具都是開源的;
- 經(jīng)過更新優(yōu)化的取證分析環(huán)境;
- 半自動化的報(bào)告生成器。
6. Xplico
Xplico是又一款開源網(wǎng)絡(luò)取證分析工具,可以重建Wireshark、ettercap等包嗅探器抓取的網(wǎng)絡(luò)流量內(nèi)容,來自任何地方的內(nèi)容都可以。
Xplico的特性包括:
- 支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6協(xié)議;
- 端口無關(guān)的協(xié)議識別(PIPI);
- 多線程;
- 可在SQLite數(shù)據(jù)庫或Mysql數(shù)據(jù)庫及文件中輸出數(shù)據(jù)和信息;
- Xplico重組的每個(gè)數(shù)據(jù)都與一個(gè)XML文件相關(guān)聯(lián),該XML文件唯一標(biāo)識了該數(shù)據(jù)流及包含該重組數(shù)據(jù)的pcap包;
- 對數(shù)據(jù)記錄的大小或文件數(shù)量沒有任何限制(唯一的限制只存在于硬盤大小);
- 模塊化。每個(gè)Xplico組件都是模塊化的。
- 某些數(shù)字取證及滲透測試操作系統(tǒng),如 Kali Linux、BackTrack等,默認(rèn)安裝了Xplico。
7. X-Ways Forensics
X-Ways Forensics 是取證調(diào)查人員廣泛使用的高級工作平臺。調(diào)查人員使用取證工具包時(shí)面對的問題之一,就是這些工具往往很耗資源,很慢,還不能探查到所有角落。而 X-Ways Forensics 就不怎么占資源,更快,還能找出所有被刪除的文件,還有其他一些附加功能。該取證工具用戶友好,完全可移植,可以存放在U盤中,在Windows系統(tǒng)上無需任何額外的安裝。
X-Ways Forensics 的主要特點(diǎn)包括:
- 磁盤克隆與鏡像;
- 能讀取RAW(.dd)鏡像文件、ISO、VHD和VMDK鏡像中的分區(qū)和文件系統(tǒng)結(jié)構(gòu);
- 可讀取磁盤、磁盤陣列和超過2TB的鏡像;
- 自動識別丟失/已刪除的分區(qū);
- 可用模板查看并編輯二進(jìn)制數(shù)據(jù)結(jié)構(gòu);
- 遞歸瀏覽所有子目錄中的所有現(xiàn)有及已刪除文件。
