取证程序分类

取证程序分类

1.计算机取证框架&平台

1.1.Digital Forensics Framework

DFF是一个能通过命令行和界面使用的取证框架。能被用于硬盘和内存调查并创建序使用者和系统活动情况的调查报告。该框架具有模块化、可编程性以及通用性三个特点。

GitHub - arxsys/dff: DFF (Digital Forensics Framework) is a Forensics Framework coming with command line and graphical interfaces. DFF can be used to investigate hard drives and volatile memory and create reports about user and system activities.

1.2.GRR Rapid Response: remote live forensics for incident response

GRR快速响应是一个可以远程取证的事件响应框架。包括一个服务器和一个远程客户端。

GitHub - google/grr: GRR Rapid Response: remote live forensics for incident response

GRR on GitHub — GRR documentation

1.3.Open Computer Forensics Architecture

开放式计算机取证架构（OCFA）是另一种流行的分布式开源计算机取证框架。该框架建立在Linux平台上，并使用postgreSQL数据库存储数据。

它由荷兰国家警察局创建，用于自动化数字取证过程。它可以根据GPL许可证下载。

Open Computer Forensics Architecture

Open Computer Forensics Architecture download | SourceForge.net

1.4.CAINE(Computer Aided INvestigative Environment)

CAINE（计算机辅助调查环境）是用于数字取证的Linux发行版。它提供了一种以用户友好的方式将现有软件工具集成为软件模块的环境。

CAINE Live USB/DVD - computer forensics digital forensics

1.5.X-Ways Forensics: Integrated Computer Forensics Software

X-ways Forensics是由德国X-ways出品的一个法证分析软件，它其实是Winhex的一个法证授权版，跟Winhex界面完全一样。它可以运行在所有可用的Windows版本上。下面是它的一些主要功能：

磁盘克隆和镜像功能，进行完整数据获取

可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列

自动识别丢失/删除的分区

支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统

无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统

察看并获取 RAM和虚拟内存中的运行进程

多种数据恢复功能，可对特定文件类型恢复

基于GREP符号维护文件头签名数据库

支持20种数据类型解释

使用模板查看和编辑二进制数据结构

数据擦除功能，可彻底清除存储介质中残留数据

可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息

创建证据文件中的文件和目录列表

能够非常简单地发现并分析ADS数据（NTFS交换数据流)

支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)

强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词

在NTFS卷中为文件记录数据结构

自动添加书签和注释

可以运行在Windows FE中等Windows环境

配合F-Response可进行远程计算机分析等

要钱

X-Ways Forensics: Integrated Computer Forensics Software

1.6.SANS数字取证工具包 – SIFT

SIFT是SANS推出的数字取证工具包，SIFT以VMware虚拟映像的形式发布，里面集成了数字取证分析所有必须的工具。适用于Expert Witness Format (E01), Advanced Forensic Format (AFF),和 raw (dd) evidence formats。去年早些时候，SIFT 3.0发布。

在resource.infosecinstitute.com上的一篇文章中，我们已经详细介绍了SIFT。你可以阅读关于SIFT的这些帖子，以了解更多有关SIFT取证平台的信息。

这个网址我上不去：SIFT Workstation | SANS Institute

1.7. EnCase

EnCase是另一款流行的多用途取证平台，具有许多不错的取证工具。该工具可以快速收集各种设备的数据，挖掘潜在的证据。它还会根据收集的证据生成相应的报告。要钱

OpenText EnCase Forensic Software

1.8. Computer Online Forensic Evidence Extractor

计算机在线法庭科学证据提取器，是专为计算机取证专家开发设计的一款工具包。该工具由Microsoft开发，用于从Windows系统收集证据。它可以被安装在USB驱动器或外部硬盘上。取证人员只需将USB插入目标计算机中，即可进行实时的分析。COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具。而且它的分析速度也非常的快，大概在20分钟左右就可以完成对目标系统的完整分析。对于执法机构，此外，Microsoft还为使用该工具的执法机构，提供免费的技术支持。这个官网我上不去https://cofee.nw3c.org/下面这个可以上去

https://web.archive.org/web/20120621115024/http://www.microsoft.com:80/industry/government/solutions/cofee/default.aspx

1.9.HELIX3

HELIX3是一个基于Linux的Live CD，用于事件响应构建，计算机取证和电子发现方案。它包含了一堆开源工具，从十六进制编辑器到数据刻画软件到密码破解工具等。

注意：你需要的HELIX3版本是2009R1。此版本是HELIX由商业供应商接管之前可用的最后一个免费版本。HELIX3 2009R1今天仍然有效，并为数字取证工具包提供有用的补充。

当使用HELIX3向导时，会询问是要加载GUI环境还是将HELIX3安装到磁盘。如果选择直接加载GUI环境(推荐)，将出现一个基于Linux的屏幕，你可以选择运行捆绑工具的图形化版本。

Helix3 2008R1可以在这里下载到：ShareFile Login

企业版下载：e-fense :: Cyber Security & Computer Forensics Software

2.注册表分析工具

2.1.Registry Recon

Registry Recon是一款流行的注册表分析工具。它可以从证据中提取注册表信息，然后重建注册表。它还可以从当前和之前的Windows安装重建注册表。

https://arsenalrecon.com/weapons/recon/

3.磁盘数据分析

3.1.The Sleuth Kit

Sleuth Kit是一个基于Unix和Windows的工具，可帮助你对计算机进行取证分析。它配备了各种有助于数字取证的工具。这些工具有助于分析磁盘映像，对文件系统进行深入分析以及其他各种功能。网络溯源取证课用过功能确实挺强大的。

The Sleuth Kit (TSK) & Autopsy: Open Source Digital Forensics Tools

3.2.The Coroner’s Toolkit

Coroner工具包或TCT也是一个非常好用的数字取证分析工具。它运行在几个与Unix相关的操作系统下。它可用于计算机灾难分析和数据恢复。作者推荐使用The Sleuth Kit工具因为The Coroner’s Toolkit已经不再更新。

The Coroner's Toolkit (TCT)

3.3.Llibforensics

Libforensics是一个是专门用于获取和分析数字取证的数字取证应用程序库。它是由Python开发的，并附带各种演示工具以便从各种类型的证据中提取信息。

https://code.google.com/archive/p/libforensics/

3.4.Bulk Extractor

Bulk Extractor（批量提取器）也是一款重要和流行的取证工具。它会扫描文件的磁盘映像，文件或目录以提取有用的信息。由于在这个过程中，它忽略了文件系统结构，所以它比其他同类型的工具执行速度要快许多。情报和执法机构基本上都会用这款工具，来解决一些网络犯罪问题。

Digital Corpora Downloads: downloads/bulk_extractor/

3.5.PlainSight

PlainSight是一个基于Knoppix(Linux发行版)的Live CD，它允许用户执行数字取证任务，如查看互联网历史记录，数据刻画，USB设备使用信息收集，检查物理内存转储，提取哈希密码等。

http://www.plainsight.info/index.html

4.内存提取

4.1.Volatility

Volatility是一个内存取证框架。主要用于事件响应和恶意软件分析。使用此工具，你可以从正在运行的进程，网络套接字，网络连接，DLL和注册表提取信息。它还支持从Windows故障转储文件和休眠文件中提取信息。此工具根据GPL许可证免费提供。

https://code.google.com/archive/p/volatility/

4.2.WindowsSCOPE

WindowsSCOPE是用于分析易失性存储器的另一种内存取证和逆向工程工具。它主要用于恶意软件的逆向工程。它提供了分析Windows内核，驱动程序，DLL，虚拟和物理内存的功能。

http://www.windowsscope.com/?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart

4.3.Mandiant RedLine

Mandiant RedLine是一款流行的，用于内存和文件分析的工具。Mandiant RedLine主要收集有关在主机上运行的进程信息，内存中的驱动程序，并收集其他数据，如元数据，注册表数据，任务，服务，网络信息和Internet历史记录，并最终构建适当的报告。

FireEye Market

5.手机取证

5.1.Oxygen Forensic Suite

Oxygen取证套件主要用于手机上的证据收集。Oxygen会为我们收集设备的各种信息（包括制造商，操作系统，IMEI号码，序列号），联系人，消息（电子邮件，短信，彩信），还可以恢复已删除的消息，通话记录和日历信息。

Oxygen Forensics - Mobile forensic solutions: software and hardware

5.2.XRY

XRY是Micro Systemation开发的移动取证工具。它用于分析和恢复来自移动设备的关键信息。该工具附带硬件设备和软件。硬件将手机连接到PC，软件对设备进行分析并提取数据。它旨在恢复数据以用于取证分析。

该工具的最新版本可以恢复来自Android，iPhone和BlackBerry等各种智能手机的数据。它还可以收集已删除的数据，如通话记录，图像，短信和短信。

Mobile forensics - Complete solution from MSAB

5.3.Cellebrite UFED

Cellebrite UFED取证产品是一款独立的既适合在犯罪现场也适合在实验室使用的设备。Cellebrite UFED能够从全球1200多款手机中提取重要数据如电话簿、图片、视频、文本短信息、通话记录、ESN和IMEI信息。UFED支持CDMA, GSM, IDEN和TDMA技术，并兼容所有的无线载波信号。Cellebrite UFED支持目前市场上95%的掌中设备，包括手机和PDA(Palm OS,Microsoft, Blackberry, Symbian)。不需要计算机的配合，方便在现场使用，通过简单操作就可以存储上百条电话簿和联系人信息到一张SD卡或者USB 中。

Cellebrite UFED支持所有已知手机设备的接口，包括串口、USB接口、红外和蓝牙。提取的数据可以带回实验室利用报告/分析工具进行查看和校验。现场提取数据保证在犯罪分子有机会毁坏手机或清除数据之前，保存和查看手机里的信息。

https://www.cellebrite.com/en/home/

6.网络取证

6.1.Xplico

Xplico是一款开源的网络取证分析工具。主要用于，从使用Internet和网络协议的应用程序中提取有用的数据。它支持大多数流行的协议，包括HTTP，IMAP，POP，SMTP，SIP，TCP，UDP，TCP等。该工具的输出数据，会被存储在MySQL数据库的SQLite数据库中。同时，它也支持IPv4和IPv6。

Xplico - Open Source Network Forensic Analysis Tool (NFAT)

7.图像工具

7.1.P2 eXplorer

P2 eXplorer 这款取证图像挂载工具的设计旨在帮助调查员管理和调查证据。利用 P2 eXplorer，您可以将取证图像作为只读的本地逻辑磁盘和物理磁盘进行挂载。一旦挂载完毕，您可以使用 Windows Explorer 浏览图像内容，或将其加载到您的取证调查分析工具中。因为将图像作为物理磁盘挂载，您可以查看已删除的数据、以及未分配的图像空间。

它可以一次安装多个图像。 它支持大多数图像格式，包括EnCasem，safeBack，PFR，FTK DD，WinImage，以及来自Linux DD的RAW图像，和VMWare图像。收钱

Paraben Training Academy

8.密码破解

8.1.Passware Kit Forensics

Passware Kit Forensic可以将计算机上所有受密码保护的项目报告并解密。可以识别280多种文件类型，可以以批处理的模式恢复密码。

Passware Kit Forensic - complete electronic evidence discovery

FreeDemo:Passware Kit Forensic - complete electronic evidence discovery

参考文献

访问的文章审核中... - FreeBuf网络安全行业门户

The domain name Forensics.nl is for sale