电子取证工具 你准备好了吗?
计算机取证的过程中,必须有相应的取证工具。 常见的包括Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot、Tripwires、网络监视器和镜像工具。 国外计算机取证过程中流行的是镜像工具和专业的取证软件,但很多工具是收费软件,很多读者不能免费拥有它们,而一些开源工具和操作系统本身的工具也能有效地
知识链接:计算机犯罪评定标准主要来自计算机取证。 计算机取证又称电子取证或电子取证,是指利用计算机软硬件技术,以符合法律规范的方式对计算机的入侵、破坏、诈骗、攻击等犯罪行为进行证据获取、存储、分析、出示的过程。 从技术上讲,计算机取证是扫描和解密入侵的计算机系统,重构入侵事件的过程。
最有名的自由软件是Dan Farmer和Wietse Venema于1999年创建了Coroners工具包。 一组辅助计算机犯罪取证的工具软件,最初设计的是UNIX系统,但对非UNIX磁盘、介质的数据获取和分析也有限。 目前正在使用更广泛的免费计算机取证工具包,其中包括以下工具
Grave-robber :按照数据易变性的顺序收集数据,供后续取证分析工具使用。 收集进程、网络信息、磁盘文件信息等数据。
Unrm )磁盘数据恢复工具,用于将所有未分配的数据块复制到指定文件;
Lazarus :恢复已删除文件的工具;
Mactime确保在特定时间段内访问或修改了这些文件
取证工具的准备
文件浏览器:这些工具是用于查看数据文件的专用朗读工具。 没有编辑和恢复功能,仅用于显示,因此体积小,可以防止证据被破坏。 好软件是Quik View Plus。 可以识别200多种文件类型,并查看各种电子邮件文档。
影像检查工具: Thumbs Plus是一个非常全面地进行影像检查的工具。
防删除工具:这一领域的取证分析工具中最重要的是诺顿工具。 这是一个旧工具,但在某些情况下很有用。
CD-ROM工具:使用cd-r诊断程序可以看到通常看不到的数据。
文本搜索工具: dtSearch是一个适合搜索文本的工具,特别是能够搜索outlook.PST文件。
驱动器映像创建程序:取证分析,即按位复制以创建整个驱动器映像的磁盘映像软件,包括SafeBackSnapBack、Ghost和dd。
磁盘擦除工具:显然,此类工具主要用于取证分析设备之前,而仅靠简单的格式是不行的,以确保分析设备的驱动器不包含剩余数据。 从软盘启动后,运行NTI公司的DiskScrub程序将清除硬盘各扇区的数据。
forensic toolkit—一套基于命令行的工具,用于推测windows nt文件系统中的访问行为。 这些程序包括: AFind (基于上次访问时间创建文件列表,而不改变目录访问时间)、HFind () )扫描磁盘上具有隐藏属性的文件()和SFind () )的整个磁盘FileStat ) )报告所有单个文件的属性),NTLast ) )包含除提供标准GUI事件浏览器之外的每对
ForensicX主要在Linux环境中运行,主要用于数据收集和数据分析的工具。 配置附带的硬件和专用平台。 利用Linux支持多个文件系统,可以为不同的文件系统提供自动构建映像等功能,检测分散的空间数据,分析Unix系统中是否包含木马程序。 其中的Webtrace可以自动搜索互联网上的域名,进行网络取证所需的收集工作。 新版本有识别隐藏文件的工具。
newtechnologiesincorporated:nti是取证软件最固定的公司之一。 NTI作为命令运行软件,速度快,封装体积小,适合在软盘上使用。 该公司提供的取证工具包括:
CRCCMD5:1 :允许验证一个或多个文件内容的CRC工具;
磁盘清理:用于清除硬盘上所有数据的工具;
磁盘:验证映像备份正确性的CRC程序;
文件列表—使用“磁盘目录工具”设置用户在系统上的行为时间表。
Filter_we :用于周围环境数据的智能模糊逻辑滤波器
获取堆栈:用于捕获未分配数据的周围环境数据收集工具;
GetTime :用于捕获分布式文件的外围环境数据收集工具;
Net Threat Analyzer :用于识别公司网络账户滥用的网络取证分析软件
M-Sweep :周围环境数据擦除工具
NTI-DOC :记录文件日期、时间、属性的文件程序;
PTable :用于分析和证明硬盘分区的工具;
sei
zed:一种用于对证据计算机上锁及保护的程序; ShowFL:用于分析文件输出清单的程序;
TextSearch Plus:用来定位文本或图形文件中的字符串的工具。
准备镜像工具
在采集证据的过程中最主要的工作就是对各种介质进行镜像。
用磁盘镜像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)对目标系统磁盘驱动中的所有数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理,万一对收集来的电子证据产生疑问时,可用镜像备份的数据恢复到系统的原始状态,作为分析数据的原始参考数据,使得分析的结果具有可信性。
UNIX环境下,dd是能够完成这项工作的通用命令,尽量在你的工具包里包含各种类型、各种版本UNIX系统的dd命令,通过它可以很容易地为被调查机器的整个驱动器制作一个镜像。Windows平台上也有很多类似的软件,我们也可以选择Ghost来完成这项工作。
准备存储装置
用于存放证据的存储介质一定要事先进行处理,使用公认可靠的数据擦除软件进行擦除,以避免介质中的残余数据对证据的分析和取信造成影响。在存储证据时,最常用的硬件设备是移动硬盘,除了应该具备尽量大的容量之外,硬盘盒的接口也应该尽量丰富,至少应该同时拥有IDE、SCSI、PCMCIA等常用接口的移动存储设备。除了移动硬盘之外,软盘、Zip软盘、MO、CD-R等存储介质也应该尽量充实到你的工具箱中,因为我们实在无法知道被调查的机器到底具有怎样的外设。
百宝箱
目前在国内外的计算机取证产品中,已经出现了许多不同功能、不同外观的取证工具箱,所有这些取证设备依据其功能和形式主要分为三种:改装型、工控型和组合型。
改装型主要将台式计算机主板、显示器等部件安置于特定工具箱内,优化各接口的连接方式,将全部端口引于面板上,便于设备的连接使用。由于普通笔记本计算机无法直接连接并快速获取IDE硬盘数据,因此这种取证箱的最大优点是便于对硬盘数据的预览和获取。
工控型主要利用工业控制机可携带,扩展方便的特点,利用各种PCI功能扩展卡增强计算机的功能。此种设备端口齐全,具有防震设计。缺点是体积大且重,不易伪装。
组合型将各种常见的取证设备合理搭配,放置于特制的箱包中,组成功能全面的取证系统。主流方案是采用笔记本计算机,配合各种移动存储介质和专业计算机取证器材,实现对不同信息存储介质的检查与获取。这种方案优点是端口齐全,各种设备使用灵活,便于伪装和携带。
除了这些,现在市场上还可以购买到很多专用的调查设备,比如以Forensic MD5为代表的手持式取证设备,以及Forensic Computer出品的便携式取证箱等等,这些产品在复制数据的时候速度很快,具备丰富的让你不敢相信的接口,可以应付各种取证要求,而且便于携带,是计算机取证人员真正的百宝箱。
针对Windows 系统安全工具
Sysinternals 网站由 忧伤的大船 Russinovich 和 陶醉的大船 Cogswell 于 1996 年为了存放其高级系统实用程序和技术信息而创办,并于 2006 年 7 月被 Microsoft 收购。无论您是 IT 专业人员还是安全领域的入门者,都会发现 Sysinternals 实用程序对管理、故障排除和计算机系统安全事件调查都十分实用。在计算机犯罪证据采集和计算机安全加固领域,尤其是对Windows操作系统的支持达到了一个新的历史高度。Windows Sysinternals包含六大方面的内容:
文件和磁盘实用程序:用于查看和监控对文件与磁盘的访问及使用的实用程序;
网络:涵盖了从连接监控器到资源安全分析器的网络工具;
进程与线程:用于揭示哪些进程正在执行及其所耗费的资源的实用程序;
安全实用程序:安全配置和管理实用程序,包括 Rootkit 和间谍软件查杀程序;
系统信息:用于查看系统资源的使用和配置的实用程序;
其他:各种实用程序的集合,其中包括屏幕保护程序、演示文档辅助工具和调试工具。