电影电视里常会出现计算机专家运用各种取证工具锁定罪犯的场景,但专家们用的网络取证工具都有哪些呢?这里就为大家奉上全球调查人员和专业人士偏爱的7种网络取证工具。
拷问数据,它自然会坦白。
——罗纳德·考斯
网络取证,顾名思义,就是为非法行为发生后的调查收集证据。网络/计算机取证是数字取证科学的一个分支,为提升网络安全而生。年出版的《计算机取证》一书中,计算机取证被定义为:对计算机数据的保存、鉴别、抽取、归档和解释。
那么,取证调查员干些什么呢?
他们基本上就是遵循一定的调查标准流程。首先,将被感染设备从网络中物理隔离出来,给设备做个备份,并保证设备不会被外部入侵所污染。一旦保住了设备,设备本身就留待进一步处理,而调查都是在克隆的设备上做的。
为更好地理解计算机上的东西,我们可以假设计算机是忠实的见证者,而且绝对不会骗人。除非被什么外部人士操纵,否则网络/计算机取证的唯一目的,就是搜索、保存并分析从受害设备上获取到的信息,并将这些信息用作证据。
于是,这些计算机取证专业人士都用的是什么工具呢?信息安全研究所给我们列出了一张单子,内含7种常用工具,并附有简要描述及主要功能介绍。
1.SIFT–SANS调查取证工具包SIFT具备检查原始磁盘(比如直接从硬盘或其他任何存储设备上获取的字节级数据)、多种文件系统及证据格式的能力。该工具包基本基于Ubuntu系统,是包含了执行深度取证调查或响应调查所需工具的一张LiveCD。SIFT工具包最值得赞赏的就是:开源免费。
SIFT堪比SANS高级事件响应课程中主打的任何现代事件响应及取证工具套装。那么,SIFT都支持哪些证据格式呢?从高级取证格式(AFF)到RAW(dd)证据格式都支持!
SIFT的主要特点有:
基于UbuntuLTS14.04;
支持64位系统;
内存利用率更高;
自动数字取证及事件响应(DFIR)包更新及自定义设置;
最新的取证工具和技术;
可用VMwareAppliance进行取证;
兼容Linux和Windows;
可选择通过(.iso)镜像文件单独安装或经VMwarePlayer/Workstation使用ReadTheDocs上有在线文档项目;
扩展了支持的文件系统。