电子取证工具
分享一下我老師大神的人工智能教程!零基礎(chǔ),通俗易懂!http://blog.csdn.net/jiangjunshow
也歡迎大家轉(zhuǎn)載本篇文章。分享知識(shí),造福人民,實(shí)現(xiàn)我們中華民族偉大復(fù)興!
電子取證工具 你準(zhǔn)備好了嗎?在計(jì)算機(jī)取證過(guò)程中,相應(yīng)的取證工具必不可少,常見(jiàn)的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot,Tripwires、Network monitor,鏡像工具等。在國(guó)外計(jì)算機(jī)取證過(guò)程中比較流行的是鏡像工具和專業(yè)的取證軟件,但很多工具都屬于付費(fèi)軟件,很多讀者不可能免費(fèi)擁有它們,但有一些開(kāi)源工具或者操作系統(tǒng)自身的工具也可以實(shí)現(xiàn)很好的使用效果。
? ?知識(shí)鏈接:對(duì)計(jì)算機(jī)犯罪評(píng)定的標(biāo)準(zhǔn)主要來(lái)自于計(jì)算機(jī)取證。計(jì)算機(jī)取證又稱為數(shù)字取證或電子取證,是指對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為利用計(jì)算機(jī)軟硬件技術(shù),按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取、保存、分析和出示的過(guò)程。從技術(shù)上,計(jì)算機(jī)取證是一個(gè)對(duì)受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解,以對(duì)入侵事件進(jìn)行重建的過(guò)程。
? ?最著名的免費(fèi)軟件是1999年Dan Farmer和Wietse Venema編寫(xiě)Coroners工具包。它是能夠幫助對(duì)計(jì)算機(jī)犯罪進(jìn)行取證檢查的一些工具軟件的集合,它的最初設(shè)計(jì)平臺(tái)是UNIX系統(tǒng),但也能對(duì)非UNIX的磁盤(pán)、介質(zhì)做有限的數(shù)據(jù)獲取和分析。是目前應(yīng)用較廣泛的免費(fèi)計(jì)算機(jī)取證工具包,它包括下列工具:
? Grave-robber:以數(shù)據(jù)的易變性為序搜集數(shù)據(jù)供以后的取證分析工具使用,它搜集的數(shù)據(jù)包括進(jìn)程和網(wǎng)絡(luò)信息、磁盤(pán)文件信息等;
? Unrm:磁盤(pán)數(shù)據(jù)恢復(fù)工具,拷貝所有未分配的數(shù)據(jù)塊到指定文件;
? Lazarus:恢復(fù)已刪除文件的工具;
? Mactime:確定在一個(gè)特定的時(shí)間段內(nèi)那些文件被訪問(wèn)或修改過(guò);
? ?準(zhǔn)備取證工具
? 文件瀏覽器:這類工具是專門用來(lái)查看數(shù)據(jù)文件的閱讀工具。只用于查看而沒(méi)有編輯和恢復(fù)功能,從而體積較小并可以防止證據(jù)的破壞。比較好的軟件是Quik View Plus。它可以識(shí)別200種以上文件類型,可以瀏覽各種電子郵件文檔。
? 圖片檢查工具:Thumbs Plus是一個(gè)功能很全面的進(jìn)行圖片檢查的工具。
? 反刪除工具:這方面的取證分析工具中最主要的是諾頓工具,雖然這是一個(gè)老式的工具,但在有些時(shí)候是很有用的。
? CD-ROM工具:使用CD-R Diagnostics可以看到在一般情況下看不到的數(shù)據(jù)。
? 文本搜索工具:dtSearch是一個(gè)很好的用于文本搜索的工具,特別是具有搜索Outlook的.pst文件的能力。
? 驅(qū)動(dòng)器映像程序:可以滿足取證分析,即逐位拷貝以建立整個(gè)驅(qū)動(dòng)器的映像的磁盤(pán)映像軟件包括SafeBackSnapBack、Ghost、dd等。
? 磁盤(pán)擦除工具:這類工具主要用在使用取證分析機(jī)器之前,為了確保分析機(jī)器的驅(qū)動(dòng)器中不包含殘余數(shù)據(jù),顯然,只是簡(jiǎn)單的格式化肯定不行。從軟盤(pán)啟動(dòng)后運(yùn)行NTI公司的DiskScrub程序即可把硬盤(pán)上的每一扇區(qū)的數(shù)據(jù)都清除掉。
? Forensic Toolkit:是一系列基于命令行的工具,可以幫助推斷Windows NT文件系統(tǒng)中的訪問(wèn)行為。這些程序包括的命令有:AFind(根據(jù)最后訪問(wèn)時(shí)間給出文件列表,而這并不改變目錄的訪問(wèn)時(shí)間)、HFind(掃描磁盤(pán)中有隱藏屬性的文件)、SFind(掃描整個(gè)磁盤(pán)尋找隱藏的數(shù)據(jù)流)、FileStat(報(bào)告所有單獨(dú)文件的屬性)、NTLast(提供標(biāo)準(zhǔn)的GUI事件瀏覽器之外對(duì)每一個(gè)會(huì)話都記錄了登錄及登出時(shí)間,并且它能夠指出登錄是遠(yuǎn)程的還是本地的)。
? ForensicX:主要運(yùn)行于Linux環(huán)境,是一個(gè)以收集數(shù)據(jù)及分析數(shù)據(jù)為主要目的的工具。它與配套的硬件組成專門工作平臺(tái)。它利用了Linux支持多種文件系統(tǒng)的特點(diǎn),提供在不同的文件系統(tǒng)里自動(dòng)裝配映像等能力、能夠發(fā)現(xiàn)分散空間里的數(shù)據(jù)、可以分析Unix系統(tǒng)是否含有木馬程序。其中的Webtrace可以自動(dòng)搜索互聯(lián)網(wǎng)上的域名,為網(wǎng)絡(luò)取證進(jìn)行必要的收集工作,新版本具有識(shí)別隱藏文件的工具。
? New Technologies Incorporated:NTI是取證軟件最為固定的商家之一。NTI以命令的形式執(zhí)行軟件,所以速度很快,軟件包的體積小,適合于在軟盤(pán)上使用。該公司提供的取證工具包括:
? CRCMD5:一個(gè)可以驗(yàn)證一個(gè)或多個(gè)文件內(nèi)容的CRC工具;
? DiskScrub:一個(gè)用于清除硬盤(pán)驅(qū)動(dòng)器中所有數(shù)據(jù)的工具;
? DiskSig:一個(gè)CRC程序,用于驗(yàn)證映像備份的精確性;
? FileList:一個(gè)磁盤(pán)目錄工具用來(lái)建立用戶在該系統(tǒng)上的行為時(shí)間表;
? Filter_we:一種用于周圍環(huán)境數(shù)據(jù)的智能模糊邏輯過(guò)濾器;
? GetSlack:一種周圍環(huán)境數(shù)據(jù)收集工具,用于捕獲未分配的數(shù)據(jù);
? GetTime:一種周圍環(huán)境數(shù)據(jù)收集工具,用于捕獲分散的文件;
? Net Threat Analyzer:網(wǎng)絡(luò)取證分析軟件,用于識(shí)別公司互聯(lián)網(wǎng)絡(luò)賬號(hào)濫用;
? M-Sweep:一種周圍環(huán)境數(shù)據(jù)清除工具;
? NTI-DOC:一種文件程序用于記錄文件的日期、時(shí)間以及屬性;
? PTable:用于分析及證明硬盤(pán)驅(qū)動(dòng)器分區(qū)的工具;
? Seized:一種用于對(duì)證據(jù)計(jì)算機(jī)上鎖及保護(hù)的程序;
? ShowFL:用于分析文件輸出清單的程序;
? TextSearch Plus:用來(lái)定位文本或圖形文件中的字符串的工具。
? ? 準(zhǔn)備鏡像工具
? ? 在采集證據(jù)的過(guò)程中最主要的工作就是對(duì)各種介質(zhì)進(jìn)行鏡像。
? ? 用磁盤(pán)鏡像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)對(duì)目標(biāo)系統(tǒng)磁盤(pán)驅(qū)動(dòng)中的所有數(shù)據(jù)進(jìn)行字符流的鏡像備份。鏡像備份后就可對(duì)計(jì)算機(jī)證據(jù)進(jìn)行處理,萬(wàn)一對(duì)收集來(lái)的電子證據(jù)產(chǎn)生疑問(wèn)時(shí),可用鏡像備份的數(shù)據(jù)恢復(fù)到系統(tǒng)的原始狀態(tài),作為分析數(shù)據(jù)的原始參考數(shù)據(jù),使得分析的結(jié)果具有可信性。
? ? UNIX環(huán)境下,dd是能夠完成這項(xiàng)工作的通用命令,盡量在你的工具包里包含各種類型、各種版本UNIX系統(tǒng)的dd命令,通過(guò)它可以很容易地為被調(diào)查機(jī)器的整個(gè)驅(qū)動(dòng)器制作一個(gè)鏡像。Windows平臺(tái)上也有很多類似的軟件,我們也可以選擇Ghost來(lái)完成這項(xiàng)工作。
? ? 準(zhǔn)備存儲(chǔ)裝置
? ? 用于存放證據(jù)的存儲(chǔ)介質(zhì)一定要事先進(jìn)行處理,使用公認(rèn)可靠的數(shù)據(jù)擦除軟件進(jìn)行擦除,以避免介質(zhì)中的殘余數(shù)據(jù)對(duì)證據(jù)的分析和取信造成影響。在存儲(chǔ)證據(jù)時(shí),最常用的硬件設(shè)備是移動(dòng)硬盤(pán),除了應(yīng)該具備盡量大的容量之外,硬盤(pán)盒的接口也應(yīng)該盡量豐富,至少應(yīng)該同時(shí)擁有IDE、SCSI、PCMCIA等常用接口的移動(dòng)存儲(chǔ)設(shè)備。除了移動(dòng)硬盤(pán)之外,軟盤(pán)、Zip軟盤(pán)、MO、CD-R等存儲(chǔ)介質(zhì)也應(yīng)該盡量充實(shí)到你的工具箱中,因?yàn)槲覀儗?shí)在無(wú)法知道被調(diào)查的機(jī)器到底具有怎樣的外設(shè)。
? ? 百寶箱
? ? 目前在國(guó)內(nèi)外的計(jì)算機(jī)取證產(chǎn)品中,已經(jīng)出現(xiàn)了許多不同功能、不同外觀的取證工具箱,所有這些取證設(shè)備依據(jù)其功能和形式主要分為三種:改裝型、工控型和組合型。
? ? 改裝型主要將臺(tái)式計(jì)算機(jī)主板、顯示器等部件安置于特定工具箱內(nèi),優(yōu)化各接口的連接方式,將全部端口引于面板上,便于設(shè)備的連接使用。由于普通筆記本計(jì)算機(jī)無(wú)法直接連接并快速獲取IDE硬盤(pán)數(shù)據(jù),因此這種取證箱的最大優(yōu)點(diǎn)是便于對(duì)硬盤(pán)數(shù)據(jù)的預(yù)覽和獲取。
? ? 工控型主要利用工業(yè)控制機(jī)可攜帶,擴(kuò)展方便的特點(diǎn),利用各種PCI功能擴(kuò)展卡增強(qiáng)計(jì)算機(jī)的功能。此種設(shè)備端口齊全,具有防震設(shè)計(jì)。缺點(diǎn)是體積大且重,不易偽裝。
? ? 組合型將各種常見(jiàn)的取證設(shè)備合理搭配,放置于特制的箱包中,組成功能全面的取證系統(tǒng)。主流方案是采用筆記本計(jì)算機(jī),配合各種移動(dòng)存儲(chǔ)介質(zhì)和專業(yè)計(jì)算機(jī)取證器材,實(shí)現(xiàn)對(duì)不同信息存儲(chǔ)介質(zhì)的檢查與獲取。這種方案優(yōu)點(diǎn)是端口齊全,各種設(shè)備使用靈活,便于偽裝和攜帶。
? ? 除了這些,現(xiàn)在市場(chǎng)上還可以購(gòu)買到很多專用的調(diào)查設(shè)備,比如以Forensic MD5為代表的手持式取證設(shè)備,以及Forensic Computer出品的便攜式取證箱等等,這些產(chǎn)品在復(fù)制數(shù)據(jù)的時(shí)候速度很快,具備豐富的讓你不敢相信的接口,可以應(yīng)付各種取證要求,而且便于攜帶,是計(jì)算機(jī)取證人員真正的百寶箱。
? ? 針對(duì)Windows 系統(tǒng)安全工具
? ? Sysinternals 網(wǎng)站由 Mark Russinovich 和 Bryce Cogswell 于 1996 年為了存放其高級(jí)系統(tǒng)實(shí)用程序和技術(shù)信息而創(chuàng)辦,并于 2006 年 7 月被 Microsoft 收購(gòu)。無(wú)論您是 IT 專業(yè)人員還是安全領(lǐng)域的入門者,都會(huì)發(fā)現(xiàn) Sysinternals 實(shí)用程序?qū)芾怼⒐收吓懦陀?jì)算機(jī)系統(tǒng)安全事件調(diào)查都十分實(shí)用。在計(jì)算機(jī)犯罪證據(jù)采集和計(jì)算機(jī)安全加固領(lǐng)域,尤其是對(duì)Windows操作系統(tǒng)的支持達(dá)到了一個(gè)新的歷史高度。Windows Sysinternals包含六大方面的內(nèi)容:
? 文件和磁盤(pán)實(shí)用程序:用于查看和監(jiān)控對(duì)文件與磁盤(pán)的訪問(wèn)及使用的實(shí)用程序;
? 網(wǎng)絡(luò):涵蓋了從連接監(jiān)控器到資源安全分析器的網(wǎng)絡(luò)工具;
? 進(jìn)程與線程:用于揭示哪些進(jìn)程正在執(zhí)行及其所耗費(fèi)的資源的實(shí)用程序;
? 安全實(shí)用程序:安全配置和管理實(shí)用程序,包括 Rootkit 和間諜軟件查殺程序;
? 系統(tǒng)信息:用于查看系統(tǒng)資源的使用和配置的實(shí)用程序;
? 其他:各種實(shí)用程序的集合,其中包括屏幕保護(hù)程序、演示文檔輔助工具和調(diào)試工具。????????????
給我老師的人工智能教程打call!http://blog.csdn.net/jiangjunshow
總結(jié)
- 上一篇: 长尾关键词策略
- 下一篇: uniapp自定义日历组件