每個(gè)企業(yè)的安全團(tuán)隊(duì)都應(yīng)該提前儲(chǔ)備一款好用的數(shù)字取證工具，因?yàn)閺妮p微的網(wǎng)絡(luò)違規(guī)到嚴(yán)重的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件處置，數(shù)字取證軟件有助于更快速的解決問(wèn)題，并查明問(wèn)題根源。同時(shí)，由于互聯(lián)網(wǎng)和全球化的發(fā)展，網(wǎng)絡(luò)犯罪形式也在多樣化，借助可靠的數(shù)字取證分析工具，可以幫助執(zhí)法人員獲取關(guān)鍵性的數(shù)字證據(jù)，從而對(duì)不法分子進(jìn)行處罰。

隨著網(wǎng)絡(luò)犯罪分子的攻擊頻率和嚴(yán)重程度不斷提高，數(shù)字取證市場(chǎng)目前發(fā)生了很大變化，可以用兩個(gè)詞來(lái)概括：速度和準(zhǔn)確率。如何盡快將違法證據(jù)提交給調(diào)查人員是將網(wǎng)絡(luò)犯罪分子繩之以法的關(guān)鍵，特別是對(duì)于那些應(yīng)用廣泛的便攜移動(dòng)設(shè)備。因此，安全人員正在通過(guò)將自動(dòng)化技術(shù)納入數(shù)字取證工作流程來(lái)實(shí)現(xiàn)更快的取證速度，同時(shí)更完整的保留證據(jù)鏈。而擁有一個(gè)可以收集、處理和審查所有類型設(shè)備數(shù)據(jù)的協(xié)作取證平臺(tái)，正在成為企業(yè)組織優(yōu)化數(shù)字調(diào)查取證流程的最佳方式。

本文收集整理了目前國(guó)際市場(chǎng)上最熱門(mén)的數(shù)字取證和事件響應(yīng)(DFIR)軟件工具，它們有助于幫助企業(yè)打擊網(wǎng)絡(luò)犯罪和保護(hù)數(shù)字資產(chǎn)。

1、Paraben

Paraben公司于1999年進(jìn)入網(wǎng)絡(luò)安全市場(chǎng)，專注于數(shù)字取證、風(fēng)險(xiǎn)評(píng)估和安全解決方案。Paraben的取證調(diào)查主要針對(duì)電子郵件、計(jì)算機(jī)、智能手機(jī)和物聯(lián)網(wǎng)設(shè)備。

應(yīng)用特點(diǎn)：

?Paraben E3取證平臺(tái)實(shí)現(xiàn)了對(duì)來(lái)自多個(gè)數(shù)據(jù)源數(shù)據(jù)的簡(jiǎn)化分析。

?可實(shí)現(xiàn)哈希數(shù)據(jù)庫(kù)過(guò)濾，對(duì)文件、十六進(jìn)制、文本、RTF以及電子郵件查看器進(jìn)行自動(dòng)嵌入式數(shù)據(jù)檢測(cè)(OLE)。

?可以提供遠(yuǎn)程訪問(wèn)，從計(jì)算設(shè)備和云存儲(chǔ)環(huán)境進(jìn)行數(shù)據(jù)采集。

?可為Xbox和Amazon Echo等產(chǎn)品提供物聯(lián)網(wǎng)取證支持，可為Google、Dropbox和Slack提供云取證支持。

2、Sleuth Kit和Autopsy

Sleuth Kit(TSK)和Autopsy是兩款流行的開(kāi)源數(shù)字調(diào)查工具，其中Sleuth Kit可幫助管理員通過(guò)眾多用于調(diào)查磁盤(pán)映像的命令行工具庫(kù)來(lái)分析文件系統(tǒng)數(shù)據(jù)，而Autopsy是一種圖形化用戶界面(GUI)的數(shù)字取證平臺(tái)，用于公共和私有計(jì)算機(jī)系統(tǒng)調(diào)查，對(duì)TSK的功能進(jìn)行補(bǔ)充。

應(yīng)用特點(diǎn)：

?TSK提供了備受好評(píng)的磁盤(pán)和數(shù)據(jù)捕獲工具。

?功能包括時(shí)間軸分析、哈希過(guò)濾、文件和文件夾標(biāo)記以及多媒體提取。

?Autopsy讓用戶可以高效地分析硬盤(pán)和智能手機(jī)。

?其插件架構(gòu)讓用戶可以查找附加模塊，或者用Java或Python開(kāi)發(fā)自定義模塊。

?TSK的核心功能是分析卷和文件系統(tǒng)數(shù)據(jù)。

3、OpenText

OpenText公司成立于1991年，提供企業(yè)內(nèi)容管理、網(wǎng)絡(luò)、自動(dòng)化、發(fā)現(xiàn)、安全和分析服務(wù)。OpenText EnCase解決方案包括Endpoint Security(端點(diǎn)檢測(cè)和響應(yīng)，即EDR)、Endpoint Investigator(DFIR)、Forensic、Mobile Investigator和Advanced Detection。這些解決方案有助于從多種類型的設(shè)備和硬盤(pán)驅(qū)動(dòng)器中恢復(fù)證據(jù)、自動(dòng)發(fā)現(xiàn)證據(jù)、深度分析證據(jù)以及收集保存證據(jù)。

應(yīng)用特點(diǎn)：

?EnCase Forensic已得到部分司法機(jī)構(gòu)的認(rèn)可，可用于查找、解密、收集和保存來(lái)自多種計(jì)算機(jī)設(shè)備的取證數(shù)據(jù)，同時(shí)確保證據(jù)完整性，并與司法調(diào)查流程集成。

?EnCase可以從諸多來(lái)源獲取證據(jù)，并深入挖掘每個(gè)來(lái)源，以發(fā)現(xiàn)可能相關(guān)的信息。

?預(yù)定義或定制的條件和過(guò)濾器可以快速找到證據(jù)。

?證據(jù)處理、集成式工作流程和靈活的報(bào)告都是EnCase提供的功能。

?平臺(tái)按重要性對(duì)證據(jù)排序。

4、Magnet Forensics

Magnet Forensics由加拿大退役警務(wù)人員創(chuàng)建，主要為公共和私營(yíng)組織提供數(shù)字取證調(diào)查工具。產(chǎn)品包括用于事件響應(yīng)的Magnet Axiom Cyber、Magnet Automated Enterprise以及用于分類的Magnet Ignite。

應(yīng)用特點(diǎn)：

?應(yīng)用較廣泛，目前已經(jīng)在全球100多個(gè)國(guó)家、地區(qū)擁有4000多家客戶。

?支持多種數(shù)字取證源，而不僅僅是針對(duì)Linux和Windows操作系統(tǒng)。

?可以用于執(zhí)行遠(yuǎn)程獲取事件，并恢復(fù)和分析來(lái)自計(jì)算機(jī)、云和移動(dòng)設(shè)備的證據(jù)。

?是一種自動(dòng)化解決方案，可用于在安全事件發(fā)生后同時(shí)收集和處理來(lái)自多個(gè)端點(diǎn)的證據(jù)。

?可執(zhí)行快速遠(yuǎn)程掃描，并對(duì)端點(diǎn)進(jìn)行初始分析。

5、CAINE

計(jì)算機(jī)輔助調(diào)查環(huán)境(CAINE)是一款基于Ubuntu和Linux的開(kāi)源發(fā)行版工具，用于數(shù)字取證。CAINE可以與現(xiàn)有的各種Windows、Linux和Unix系統(tǒng)版本安全工具相集成。

應(yīng)用特點(diǎn)：

?CAINE提供了從隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)自動(dòng)提取時(shí)間線的功能。

?是一種可互操作的環(huán)境，在數(shù)字調(diào)查的四個(gè)階段支持?jǐn)?shù)字調(diào)查人員。

?所有模塊設(shè)備在只讀模式下都會(huì)被阻止。

?具有圖形化的操作界面，使用方便

?能夠確保相關(guān)磁盤(pán)都受到保護(hù)，避免意外讀寫(xiě)操作。

6、Kroll Computer Forensics

Kroll的計(jì)算機(jī)取證工具和專家服務(wù)能夠讓各種數(shù)字證據(jù)不被忽視，并在調(diào)查或訴訟流程的各個(gè)階段提供取證幫助，無(wú)論數(shù)據(jù)源如何復(fù)雜。

應(yīng)用特點(diǎn)：

?可結(jié)合使用計(jì)算機(jī)取證專長(zhǎng)和傳統(tǒng)調(diào)查技術(shù)，分析物理和數(shù)字證據(jù)，以查明發(fā)生事件詳細(xì)情況。

?基于防御性的解決方案可用來(lái)識(shí)別和安全保存電子數(shù)據(jù)。

?可以滿足復(fù)雜環(huán)境下數(shù)據(jù)的采集需求，用于電子調(diào)查和取證分析或取證發(fā)現(xiàn)。

?當(dāng)數(shù)據(jù)被有意、無(wú)意的刪除或篡改時(shí)，Kroll也可以通過(guò)分析留下的數(shù)字線索，以發(fā)現(xiàn)關(guān)鍵信息。

?提供7*24小時(shí)的專家服務(wù)，并可為客戶擔(dān)任專家證人或特別專員。

7、SIFT Workstation

SIFT Workstation是一套免費(fèi)開(kāi)源的事件響應(yīng)和取證工具，用于執(zhí)行數(shù)字取證檢查。SIFT Workstation提供了一系列免費(fèi)開(kāi)源的DFIR解決方案，還提供了多種部署選項(xiàng)，包括虛擬機(jī)、Ubuntu上的原生安裝，或通過(guò)Linux子系統(tǒng)安裝。

應(yīng)用特點(diǎn)：

?可在64位操作系統(tǒng)上運(yùn)行，并自動(dòng)更新軟件，增添最新的取證工具和技術(shù)，還可以幫助內(nèi)存優(yōu)化。

?SIFT Workstation應(yīng)用廣泛，下載量超過(guò)125000人次。

?SIFT Workstation主要用作SANS事件響應(yīng)、網(wǎng)絡(luò)取證和網(wǎng)絡(luò)威脅情報(bào)培訓(xùn)的一部分。

?可以分析文件系統(tǒng)、網(wǎng)絡(luò)證據(jù)和內(nèi)存映像等。

?支持NTFS、ISO9660 CD、HFS和FAT等文件格式。

8、Exterro

Exterro專門(mén)開(kāi)發(fā)基于工作流程的軟件和治理風(fēng)險(xiǎn)合規(guī)(GRC)解決方案，在協(xié)助內(nèi)部法務(wù)團(tuán)隊(duì)、簡(jiǎn)化合規(guī)流程和控制風(fēng)險(xiǎn)方面尤其具有價(jià)值。Exterro的產(chǎn)品涵蓋電子發(fā)現(xiàn)、隱私保護(hù)、風(fēng)險(xiǎn)管理和數(shù)字取證。公司推出的FTK取證產(chǎn)品功能包括Mac和移動(dòng)數(shù)據(jù)調(diào)查、遠(yuǎn)程代理端點(diǎn)收集、可擴(kuò)展的數(shù)據(jù)處理環(huán)境(DPE)和自動(dòng)化工作流程。

應(yīng)用特點(diǎn)：

?Exterro的操作符合SOC 2 Type 2認(rèn)證和FedRAMP授權(quán)。

?產(chǎn)品分為FTK Imager、FTK Lab、FTK Central、FTK Enterprise和FTK Connect多個(gè)模塊

?產(chǎn)品已在數(shù)字取證領(lǐng)域使用了30多年，用于可重復(fù)、可靠性需求高的取證調(diào)查。

?所有FTK解決方案的特點(diǎn)是快速處理數(shù)據(jù)，包括提取移動(dòng)數(shù)據(jù)。

?可以提供遠(yuǎn)程端點(diǎn)調(diào)查、分類、收集和修復(fù)功能呢。

9、Volatility

Volatility是一款命令行內(nèi)存分析和取證工具，用于從內(nèi)存轉(zhuǎn)儲(chǔ)中提取信息，其中用于事件響應(yīng)和惡意軟件分析的取證框架是用Python編寫(xiě)，支持Microsoft Windows、Mac OS X和Linux操作系統(tǒng)。

應(yīng)用特點(diǎn)：

?不需要安裝Python腳本解釋器。

?內(nèi)存取證技術(shù)使調(diào)查人員能夠使用RAM數(shù)據(jù)分析系統(tǒng)運(yùn)行時(shí)狀態(tài)。

?了解操作系統(tǒng)的內(nèi)部、惡意代碼和異常，這些信息有助于改善工具應(yīng)用功能。

?嵌入式API可用于查找頁(yè)表?xiàng)l目(PTE)標(biāo)志。

?Volatility支持內(nèi)核地址空間布局隨機(jī)化(KASLR)。

10、X-Ways

X-Ways Forensics是面向計(jì)算機(jī)取證檢驗(yàn)人員的工作環(huán)境，基于WinHex十六進(jìn)制和磁盤(pán)編輯器，并可以提供額外的磁盤(pán)和數(shù)據(jù)捕獲軟件、克隆、映像及其他工具。

應(yīng)用特點(diǎn)

?便攜式應(yīng)用，可在插入任何Windows系統(tǒng)的U盤(pán)上運(yùn)行，無(wú)需安裝。

?計(jì)算機(jī)取證檢驗(yàn)人員能夠與使用X-Ways 的調(diào)查人員共享數(shù)據(jù)和協(xié)作。

?可在Windows XP/2003/Vista等舊版本的操作系統(tǒng)下運(yùn)行。

?能夠自動(dòng)檢測(cè)丟失或刪除的分區(qū)。

11、Cellebrite

Cellebrite于1999年成立，專門(mén)為需要收集、審查、分析或管理設(shè)備數(shù)據(jù)的組織提供移動(dòng)設(shè)備取證服務(wù)。Digital Intelligence Investigative Platform(數(shù)字情報(bào)調(diào)查平臺(tái))有助于統(tǒng)一調(diào)查生命周期和保存數(shù)字證據(jù)。

應(yīng)用特點(diǎn)：

?Cellebrite通用取證設(shè)備(UFED)可以提取物理和邏輯數(shù)據(jù)。

?恢復(fù)方法包括專用引導(dǎo)加載程序、自動(dòng)緊急下載(EDL)功能和智能安卓調(diào)試橋(ADB)。

?Cellebrite可以在Windows和Mac上提供取證分析功能。

?可以查找互聯(lián)網(wǎng)歷史記錄、下載件、最近搜索的內(nèi)容、熱門(mén)網(wǎng)站、位置、介質(zhì)、消息、回收站、USB連接等多種信息。

?提供AI輔助的圖片和視頻分類、過(guò)濾以及支持全磁盤(pán)加密等功能。

12、ProDiscover

ProDiscover成立于2001年，旨在幫助公共和私營(yíng)組織打擊數(shù)字犯罪，截至2022年，這家總部位于印度的供應(yīng)商在70多個(gè)國(guó)家、地區(qū)開(kāi)展業(yè)務(wù)。ProDiscover Forensics可以從計(jì)算機(jī)系統(tǒng)捕獲用于取證調(diào)查的證據(jù)，以收集、保存、過(guò)濾和分析證據(jù)。

應(yīng)用特點(diǎn)：

?ProDiscover提供三種產(chǎn)品，側(cè)重計(jì)算機(jī)取證、事件響應(yīng)、電子發(fā)現(xiàn)和公司政策合規(guī)調(diào)查。

?ProDiscover可查找計(jì)算機(jī)磁盤(pán)上的數(shù)據(jù)，并保護(hù)證據(jù)和創(chuàng)建報(bào)告。

?可以從JPEG文件中提取EXIF數(shù)據(jù)

?可以復(fù)制可疑的磁盤(pán)，并進(jìn)行取證分析

?為VMware等虛擬化應(yīng)用提供運(yùn)行捕獲映像功能。

13、Wireshark

Wireshark最早開(kāi)發(fā)于1998年，可取證調(diào)查和分析網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試和故障排查，包括在封裝數(shù)據(jù)結(jié)構(gòu)的三窗格數(shù)據(jù)包瀏覽器中檢查數(shù)百種協(xié)議。

應(yīng)用特點(diǎn)：

?Wireshark可以與多平臺(tái)兼容，支持Windows、Linus、macOS、Solaris、FreeBSD和NetBSD。

?具有網(wǎng)絡(luò)分析功能，可用于VoIP設(shè)備的取證分析。

?Wireshark可以捕獲用gzip壓縮的文件，并導(dǎo)出為XML、CSV或純文本。

?提供實(shí)時(shí)捕獲和離線分析，用戶可以看到網(wǎng)絡(luò)上發(fā)生的情況。

14、Xplico

Xplico創(chuàng)立于2007年，這款網(wǎng)絡(luò)取證分析工具可通過(guò)數(shù)據(jù)包嗅探器重構(gòu)數(shù)據(jù)，擅長(zhǎng)與端口無(wú)關(guān)的協(xié)議識(shí)別(PIPI)，以重構(gòu)應(yīng)用程序數(shù)據(jù)來(lái)識(shí)別協(xié)議。作為一款免費(fèi)開(kāi)源工具，Xplico旨在從捕獲的互聯(lián)網(wǎng)流量中提取應(yīng)用程序數(shù)據(jù)。

應(yīng)用特點(diǎn)：

?Xplico支持HTTP、IMAP、POP、SMTP和IPv6等協(xié)議。

?Xplico可創(chuàng)建XML文件，識(shí)別重新組裝的每個(gè)數(shù)據(jù)結(jié)構(gòu)中含有的數(shù)據(jù)流和pcap(輸入文件)。

?提供多線程機(jī)制，沒(méi)有數(shù)據(jù)輸入限制。

?可以從DNS包中執(zhí)行反向域名系統(tǒng)(DNS)查找。

15、LogRhythm

LogRhythm公司以SIEM、威脅情報(bào)以及UEBA產(chǎn)品為主要業(yè)務(wù)，成立于2003年。目前，公司通過(guò)一項(xiàng)名為NetMon的方案添加了網(wǎng)絡(luò)取證功能，這是其整體安全解決方案的一部分，但也可以作為獨(dú)立的模塊來(lái)交付提供。

應(yīng)用特點(diǎn)：

?LogRhythm聚合數(shù)據(jù)包捕獲和派生的元數(shù)據(jù)，保存日志數(shù)據(jù)，并使用網(wǎng)絡(luò)取證傳感器填補(bǔ)空白。

?LogRhythm會(huì)重點(diǎn)關(guān)注事件取證的平均響應(yīng)時(shí)間(MTTR)。

?LogRhythm可以識(shí)別3000多個(gè)應(yīng)用程序及元數(shù)據(jù)，可以深入了解網(wǎng)絡(luò)會(huì)話。

?基于腳本的深度數(shù)據(jù)包分析(DPA)，可用于實(shí)現(xiàn)實(shí)時(shí)的檢測(cè)取證。

16、Global Digital Forensic

Global Digital Forensic公司提供計(jì)算機(jī)取證分析和訴訟支持服務(wù)超過(guò)20年，支持目前幾乎所有數(shù)字化設(shè)備的取證服務(wù)，同時(shí)還提供電子發(fā)現(xiàn)服務(wù)、滲透測(cè)試和漏洞響應(yīng)服務(wù)。

應(yīng)用特點(diǎn)：

?Global Digital Forensic有自己的實(shí)驗(yàn)室和全球響應(yīng)網(wǎng)絡(luò)，能夠針對(duì)各種IT環(huán)境中的幾乎任何信息化系統(tǒng)進(jìn)行取證分析。

?在部分國(guó)家，GDF取證結(jié)果可在司法訴訟中作為證據(jù)。

?可以提供數(shù)據(jù)檢索和恢復(fù)服務(wù)。

?可以為客戶提供取證準(zhǔn)備和就緒情況的評(píng)估。