2021年10大免費數字調查取證工具簡析
數十年來,數字取證的歷史在司法偵查的不同分支中不斷發(fā)展,已成為全球執(zhí)法活動中非常重要的一部分。與此同時,由于互聯網和全球化的發(fā)展,犯罪形式多樣化,借助免費的取證調查工具,執(zhí)法人員可以通過電子設備獲取關鍵的數字證據,將不法分子送入監(jiān)獄。以下,我們列出了10種免費取證調查工具,它們有助于打擊網絡犯罪和保護數字資產。
10個免費的數字調查取證工具
- Sleuth Kit(+Autopsy)
- Forensic Investigator
- Autopsy
- Dumpzilla
- Browser History
- FTK Imager
- X-Ways Forensics
- CAINE
- Toolsley
- ExifTool
Sleuth Kit(+Autopsy)
Sleuth Kit是使計算機系統更容易進行取證分析的實用工具之一。它可提供圖形化UI檢查用戶的硬盤驅動器和智能手機,還提供電子郵件分析并查找所有文檔和圖像。
它還有助于顯示圖像的縮略圖以快速查看每張圖片,用戶可以使用任意標簽名稱標記文件。該軟件還允許用戶通過短信、通話記錄、聯系人等方式提取數據,并根據名稱標記文件和文件夾。
Forensic Investigator
如果用戶使用Splunk,那么Forensic Investigator會是一個非常方便的工具。這是一個非常有用的應用程序,并且包含了許多其他工具,包括Ping、橫幅抓取器、端口掃描器、SNB共享、NetBIOS查看器、ping、病毒總查找、URL解碼器/解析器、XOR/HEX/Base64轉換器等。
Autopsy
Autopsy是基于GUI的開源數字取證程序之一,能通過智能手機和硬盤驅動器進行有效分析,主要是調查計算機問題。目前全世界有成千上萬的用戶在使用該工具。
Autopsy主要是為端到端平臺設計的,其中模塊開箱即用,可供第三方使用。很少有模塊通過網絡威脅描述語言STIX來提供時間線分析、數據雕刻、關鍵字搜索和指示等信息。
Dumpzilla
Dumpzilla是一個用Python 3.x編寫的取證工具。它只能從Iceweasel、Firefox和Seamonkey瀏覽器等少數瀏覽器中獲取所有必要和有趣的信息,可輕松用于Linux、Windows和Mac。
與命令行界面一起使用時,可以使用grep、cut、sed、awk等少數工具轉儲和重定向到管道,支持用戶提取插件、cookie、書簽、歷史記錄、密碼、下載、表單填充數據和許多其他信息。
Dumpzilla還允許導出要在JSON文件或純文本文件中獲取的數據。如果用戶需要高級過濾,可以輕松地使用通配符和正則表達式。
Browser History
Browser History是一種免費的取證調查工具,它可以從不同的網絡瀏覽器(如Google chrome、Internet Explorer、Mozilla Firefox、Microsoft Edge、Opera等)讀取數據的歷史記錄,并在同一個網絡瀏覽器中顯示。
瀏覽歷史表包括標題、Web瀏覽器、用戶配置文件、訪問的URL、訪問次數等。此瀏覽器歷史記錄允許查看用戶配置文件,以便它可以運行系統。它還可以從外部硬盤驅動器中獲取歷史瀏覽。輸出結果將顯示為可過濾的交互式圖形和歷史數據。
FTK Imager
FTK Imager免費取證調查工具可用作數據預覽,可在不進行任何更改的情況下創(chuàng)建數據副本,并且始終嘗試保留證據。它將硬盤映像保存在一個文件中,稍后進行重建。
FTK Imager還能計算MD5哈希值確認數據的完整性。為了檢測網絡犯罪,它提供了一種向導驅動的方法。使用此軟件,用戶可以獲得更好的可視化效果,恢復100個應用程序的密碼。它還配備了自動數據分析工具,可以為不同的調查管理提供可重復使用的配置文件。
X-Ways Forensics
X-Ways Forensics能夠與其他人協作,但前提是協作的每個人都擁有此工具。該軟件可以讀取分區(qū)并構建.dd圖像文件。
該工具可以訪問磁盤和RAID,支持新技術文件系統(NTFS)和備用數據流(ADS)文件格式、支持書簽或批注、分析遠程計算機。用戶還可以在使用模板的同時查看二進制數據并提供保護以保持真實性。
CAINE
如果您正在尋找具有圖形界面的完整取證環(huán)境,這個基于Ubuntu的應用程序CAINE可以幫助您。由于這是一個模塊,因此該工具始終與舊軟件工具集成。
它還可以自動的從RAM中提取時間線,帶有數字調查員功能,涵蓋數字調查的四個階段。該工具提供一個用戶友好的界面,可以自定義CAINE功能,該軟件提供不同類型的用戶友好工具。
Toolsley
Toolsley非常受歡迎,它包括十個有用的調查工具,如文件標識符、文件簽名驗證器、二進制檢查器、哈希和驗證、文本編碼、數據URI生成器、二進制檢查器和密碼生成器。
ExifTool
ExifTool是命令行界面工具,可幫助用戶讀取、編輯和寫入文件類型的元信息。通過它,用戶可以輕松讀取GPS、IPTC、JFIF、Photoshop IRB、FlashPix、GeoTIFF等類型的文件。
它還支持許多不同的元數據格式,包括EXIF、GPS、IPTC、XMP、JFIF、GeoTIFF、ICC Profile、Photoshop IRB、FlashPix、AFCP、ID3和Lyrics3,以及佳能、卡西歐、大疆許多數碼相機的制造商注釋,包括:FLIR、FujiFilm、GE、GoPro、HP、JVC/Victor、Kodak、Leaf、Minolta/Konica-Minolta、Motorola、Nikon、Nintendo、Ricoh、Samsung、Sanyo、Sigma/Foveon和Sony。
希望上述工具可以幫助用戶更有效地處理網絡安全事件,提高調查效率。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
