工具推薦：22款最流行的計算機取證工具2017年更新版

什麼是計算機取證？

計算機取證（Computer Forensics，又名計算機取證技術、計算機鑒識、計算機法醫學）是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，並據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言。計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。可理解為「從計算機上提取證據」即：獲取、保存、分析、出示、提供的證據必須可信；

計算機取證在打擊計算機和網路犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的「痕迹」作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網路入侵、盜用知識產權和網路欺騙等。

為了達到更好地研究和調查目的，開發人員已經創建出了很多計算機取證工具。警察部門和調查機構可以根據各種因素選擇工具，包括預算以及現有專家隊伍狀況等。

這些計算機取證工具主要可以分為以下幾種不同類別：

磁碟和數據捕獲工具；

文件查看器；

文件分析工具；

註冊表分析工具；

互聯網分析工具；

電子郵件分析工具；

移動設備分析工具；

Mac OS分析工具；

網路取證工具；

資料庫取證工具；

在接下來的文章中，我們將列舉一些最為流行和主流的數據取證工具。在進一步介紹之前，需要指出的是，以下工具是以隨機順序排列，並非代表該工具的當前排名情況：

22款計算機取證工具

1. Digital Forensics Framework

Digital Forensics Framework（DFF）是以專用API為基礎的一個開源計算機取證平台，具有GPL許可證。它是一個靈活的模塊化系統，可以輔助你的數據調查取證工作，包括：訪問遠程或本地設備、Windows或Linux操作系統的取證、由於錯誤或崩潰造成的文件恢復、快速搜索文件的元數據以及其他功能等。

此外，DFF還提出了一個替代傳統數字取證的解決方案，設計得更簡潔，自動化。DFF介面引導用戶通過一個主要的數字調查步驟，讓用戶選擇專業模式或者非專業模式來快速進行數字調查以及執行事件響應。

下載地址：http://www.digital-forensic.org/

2. Open Computer Forensics Architecture

Open Computer Forensics Architecture（OCFA）是由荷蘭國家警察局負責開發的另一種較為流行的分布式開源計算機取證框架，主要用於自動化數據取證過程。該框架建立在Linux平台上，並使用postgreSQL資料庫來存儲數據。

下載地址：http://sourceforge.net/projects/ocfa/

3. CAINE

CAINE（Computer Aided Investigative Environment）是用於數字取證的Linux發行版。其作為安全研究部際中心（CRIS）的數字取證項目而創建，旨在填補不同取證工具之間的互操作間隙，提供一致化的圖形用戶界面以在電子證據的獲取和分析過程中對數字調查進行指導，為文檔和報告的編寫提供一個半自動化的過程。此外，該工具也是開源的。

查看更多：http://www.caine-live.net/

4. X-Ways Forensics

x-ways forensics是由德國X-ways進行研發推出的取證分析軟體。它可在 Windows XP/2003/Vista/2008/7/8/8.1/2012操作系統下運行，支持32 /64 位Standard/PE/FE等版本。

此外，X-Ways Forensics 還可隨身攜帶，能夠通過U盤在任意Windows操作系統下使用，無需安裝。不像其他一些取證分析工具那樣，X-ways Forensics不需要使用者設置資料庫等繁瑣的操作，並且超小化的安裝包可以在數秒內下載並安裝。它可以與WinHex hex和 disk editor 緊密結合，提供高效率的工作流模型， 這樣計算機取證調查員就可以與使用X-Ways Investigator 的調查員共享數據，協同工作。

其主要功能包括：

磁碟克隆和鏡像功能，進行完整數據獲取；可分析 RAW/dd/ISO/VHD/VMDK 格式原始數據鏡像文件中的完整目錄結構，支持分段保存的鏡像文件；可讀取磁碟、RAIDs以及超過2TB大的鏡像文件（超過 232 個扇區）扇區最大為8KB；內置解析磁碟陣列JBOD、RAID 0、RAID 5、RAID 5EE、RAID 6、Linux軟體磁碟陣列、windows動態磁碟以及LVM2邏輯卷管理器；自動識別丟失的/已刪除的分區；支持 FAT12、FAT16、FAT32、exFAT、TFAT、NTFS、Ext2、Ext3、Ext4、Next3、CDFS/ISO9660/Joliet、UDF文件系統；察看並完整獲取內存轉儲，並能獲取虛擬內存中的運行進程；使用多種數據恢復技術，能快速發現需要恢復的數據，並支持碎片級數據恢復；……

查看更多：http://www.x-ways.net/forensics/

5. SANS Investigative Forensics Toolkit – SIFT

SIFT是一個多用途的取證操作系統，內置數字取證過程中所需的所有必要工具。它建立在Ubuntu上，具有許多與數字取證有關的工具。今年早些時候，SIFT 3.0發布，它分為免費和收費兩種版本，並包含免費的開源取證工具。

下載地址：http://digital-forensics.sans.org/community/downloads

6. EnCase

Encase是Guidance Software公司研發的取證產品，該工具擁有強大的腳本功能，支持二次開發。可增強取證分析的針對性，使個人技能得到較大程度的發揮，是政府執法機構常用的取證工具，也被廣泛的運用與司法、軍隊、公司監察等部門。

該工具可以快速收集各種設備的數據，挖掘潛在的證據，此外，它還可以根據證據生成報告。不過，該工具屬於付費版本，費用為995美元。

查看更多：https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx

7. Registry Recon

Registry Recon是一款非常流行的註冊表分析工具。它能夠從證據中提取註冊表信息，然後重建註冊表representation。它還可以從當前和以前的Windows安裝中重建註冊表。

需要注意的是，該工具也屬於付費工具，費用為399美元。

查看更多：http://arsenalrecon.com/apps/recon/

8. The Sleuth Kit

Sleuth Kit是一款基於Unix和Windows的工具，可以幫助您對計算機進行取證分析。此外，它還配備了各種有助於數字取證的工具，這些工具具有分析磁碟映像、對文件系統進行深入分析以及其他各種功能。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！