电影电视里常会出现计算机专家运用各种取证工具锁定罪犯的场景,但专家们用的网络取证工具都有哪些呢?这里就为大家奉上全球调查人员和专业人士偏爱的7种网络取证工具。
拷问数据,它自然会坦白。
——罗纳德·考斯
网络取证,顾名思义,就是为非法行为发生后的调查收集证据。网络/计算机取证是数字取证科学的一个分支,为提升网络安全而生。2002年出版的《计算机取证》一书中,计算机取证被定义为:对计算机数据的保存、鉴别、抽取、归档和解释。
那么,取证调查员干些什么呢?
他们基本上就是遵循一定的调查标准流程。首先,将被感染设备从网络中物理隔离出来,给设备做个备份,并保证设备不会被外部入侵所污染。一旦保住了设备,设备本身就留待进一步处理,而调查都是在克隆的设备上做的。
为更好地理解计算机上的东西,我们可以假设计算机是忠实的见证者,而且绝对不会骗人。除非被什么外部人士操纵,否则网络/计算机取证的唯一目的,就是搜索、保存并分析从受害设备上获取到的信息,并将这些信息用作证据。
于是,这些计算机取证专业人士都用的是什么工具呢?信息安全研究所给我们列出了一张单子,内含7种常用工具,并附有简要描述及主要功能介绍。
1. SIFT – SANS调查取证工具包
SIFT具备检查原始磁盘(比如直接从硬盘或其他任何存储设备上获取的字节级数据)、多种文件系统及证据格式的能力。该工具包基本基于Ubuntu系统,是包含了执行深度取证调查或响应调查所需工具的一张 Live CD。SIFT工具包最值得赞赏的就是:开源&免费。
SIFT堪比SANS高级事件响应课程中主打的任何现代事件响应及取证工具套装。那么,SIFT都支持哪些证据格式呢?从高级取证格式(AFF)到RAW(dd)证据格式都支持!
SIFT的主要特点有:
基于 Ubuntu LTS 14.04;支持64位系统;内存利用率更高;自动数字取证及事件响应(DFIR)包更新及自定义设置;最新的取证工具和技术;可用 VMware Appliance 进行取证;兼容Linux和Windows;可选择通过(.iso)镜像文件单独安装或经 VMware Player/Workstation 使用ReadTheDocs上有在线文档项目;扩展了支持的文件系统。2. ProDiscover Forensic
电脑ProDiscover Forensic 是可在给定计算机存储磁盘上定位全部数据,同时还能保护证据并产生文档报告的计算机/网络安全工具。
该工具可以从受害系统中恢复任意已删除文件并检查剩余空间,还可以访问 Windows NTFS 备用数据流,预览并搜索/捕获(比如截屏或其他方式)硬件保护区(HPA)的进程。ProDiscover Forensic 有自己的技术来执行这些操作。
任何系统或组织中对数据的硬件防护都是非常重要的事,想突破硬件防护并不容易。
ProDiscover Forensic 的主要功能有:
创建包含隐藏HPA段(专利申请中)的磁盘比特流副本供分析,可以保证原始证据不受污染;搜索文件或整颗磁盘(包括剩余空间、HPA段和 Windows NT/2000/XP 备份数据流),可进行完整的磁盘取证分析;不修改磁盘任何数据(包含文件元数据)的情况下,预览所有文件——即便文件被隐藏或删除;在文件级或磁盘簇级检查数据并交叉对比,以确保没漏掉任何东西,即便是在磁盘剩余空间中;使用Perl脚本自动化调查任务。3. Volatility Framework
Volatility Framework 是黑帽独家发布的一个框架,与高级内存分析及取证直接相关。后者基本上就是分析受害系统中的易变内存。易变内存或易变数据是频繁刷新的数据,就是在重启系统时可能丢失的那些数据。对此类数据的分析可以采用 Volatility Framework 进行。该框架向世界引入了使用RAM(易变内电脑存)数据监视运行时进程和任意系统状态的强大力量。
该框架也为数字调查员提供了高效进行取证研究的独特平台。国家司法机构、国防力量或全球任意商业调查机构都使用该工具。
Volatility Framework 的主要特点有:
内聚的单一框架;遵从开源 GPLv2 许可;以Python语言编写;Windows、Linux、Mac可用;可扩展可脚本化的API;无可匹敌的功能集;文件格式涵盖全面;快速高效的算法;严谨强大的社区;专注取证/事件响应/恶意软件。4. Sleuth Kit (+Autopsy)
命令行接口是与计算机程序互操作的一种模式。命令行模式下,用户/客户端向程序发送连续的文本行,也就是编程语言中的指令。
Sleuth Kit 就是此类命令行接口/工具的集合。该工具可以检查受害设备的磁盘镜像,恢复出被破坏的文件。Sleuth Kit 一般与其他很多开源或商业取证工具一起用在Autopsy数字取证平台中。
Autopsy也是 Sleuth Kit 的图形用户接口,可令硬盘和智能手机分析工作更加高效。
Autopsy功能列表:
电脑 多用户情形:可供调查人员对大型案件进行协作分析;时间线分析:以图形界面显示系统事件,方便发现各类活动;关键词搜索:文本抽取和索引搜索模块可供发现涉及特定词句的文件,可以找出正则表达式模式;Web构件:从常见浏览器中抽取Web活动以辅助识别用户活动;注册表分析:使用RegRipper来找出最近被访问的文档和USB设备;LNK文件分析:发现快捷方式文件及其指向的文件;电子邮件分析:解析MBOX格式信息,比如Thunderbird;EXIF:从JPEG文件中抽取地理位置信息和相机信息;文件类型排序:根据文件类型对文件分组,以便找出全部图片或文档;媒体重放:不用外部浏览器就查看应用中的视频和图片;缩略图查看器:显示图片的缩略图以快速浏览图片。5. CAINE(计算机辅助调查环境)
CAINE基于Linux系统打造,通常是包含了一系列取证工具的一张 Live CD。由于最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上,熟悉这些系统的人便可以无缝使用CAINE。
CAINE的主要功能有:
CAINE界面——集成了一些著名取证工具的用户友好界面,其中很多工具都是开源的;经过更新优化的取证分析环境;半自动化的报告生成器。6. Xplico
Xplico是又一款开源网络取证分析工具,可以重建Wireshark、ettercap等包嗅探器抓取的网络流量内容,来自任何地方的内容都可以。
Xplico的特性包括:
支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6协议;端口无关的协议识别(PIPI);多线程;可在SQLite数据库或Mysql数据库及文件中输出数据和信息;Xplico重组的每个数据都与一个XML文件相关联,该XML文件唯一标识了该数据流及包含该重组数据的pcap包;对数据记录的大小或文件数量没有任何限制(唯一的限制只存在于硬盘大小);模块化。每个Xplico组件都是模块化的。某些数字取证及渗透测试操作系统,如 Kali Linux、BackTrack等,默认安装了Xplico。7. X-Ways Forensics
X-Ways Forensics 是取证调查人员广泛使用的高级工作平台。调查人员使用取证工具包时面对的问题之一,就是这些工具往往很耗资源,很慢,还不能探查到所有角落。而 X-Ways Forensics 就不怎么占资源,更快,还能找出所有被删除的文件,还有其他一些附加功能。该取证工具用户友好,完全可移植,可以存放在U盘中,在Windows系统上无需任何额外的安装。
X-Ways Forensics 的主要特点包括:
磁盘克隆与镜像;能读取RAW(.dd)镜像文件、ISO、VHD和VMDK镜像中的分区和文件系统结构;可读取磁盘、磁盘阵列和超过2TB的镜像;自动识别丢失/已删除的分区;可用模板查看并编辑二进制数据结构;递归浏览所有子目录中的所有现有及已删除文件。电脑