本文由Igor Mikhailov原創(chuàng)，Rockie、Leon編譯,，轉(zhuǎn)載請(qǐng)注明,。

譯者注：本文不同于以往所見(jiàn)羅列“XXX的10種工具”并配上人云亦云、泛泛介紹的水文,，或者廠商以推廣產(chǎn)品為目的的軟文,。本文作者具有豐富的工具使用經(jīng)驗(yàn)，并發(fā)表了自己較為客觀的獨(dú)到見(jiàn)解,。雖然列出的工具種類(lèi)不盡完善,，但對(duì)需要了解國(guó)際上工具發(fā)展趨勢(shì)或者工具功能的從業(yè)人員具有一定的參考價(jià)值。

*編譯本文不代表譯者認(rèn)同其全部觀點(diǎn),。

伊戈?duì)枴っ坠谅宸颍↖gor Mikhailov）是Group-IB計(jì)算機(jī)取證與惡意代碼研究實(shí)驗(yàn)室的一名電子數(shù)據(jù)取證專(zhuān)家,，下圖展示他所用工具的硬件加密狗。僅這些工具的成本就超過(guò)數(shù)萬(wàn)美元,，這還不包括其它免費(fèi)和付費(fèi)的軟件產(chǎn)品,。哪個(gè)工具更適合于檢驗(yàn)鑒定？

本文將分享一些電子數(shù)據(jù)取證軟硬件工具解決方案及評(píng)價(jià),。

1,、手機(jī)取證：硬件類(lèi)

Cellebrite UFED Touch 2最初是為現(xiàn)場(chǎng)取證而開(kāi)發(fā)的產(chǎn)品，在概念設(shè)計(jì)上有兩個(gè)分支：

• 定制平板電腦Cellebrite UFED Touch 2（或安裝在檢驗(yàn)用臺(tái)式機(jī)或筆記本上的類(lèi)似Cellebrite UFED Touch 2的軟件UFED 4PC）——僅用于數(shù)據(jù)提取,。

• UFED Physical Analyzer軟件——用于分析從移動(dòng)設(shè)備中提取的數(shù)據(jù),。

該產(chǎn)品的設(shè)計(jì)理念是借助Cellebrite UFED Touch 2在現(xiàn)場(chǎng)提取數(shù)據(jù)，然后在實(shí)驗(yàn)室中用UFED Physical Analyzer分析這些數(shù)據(jù),。該產(chǎn)品的實(shí)驗(yàn)室版本是兩個(gè)獨(dú)立的軟件產(chǎn)品：UFED 4PC和 UFED Physical Analyzer,，都安裝在鑒定工作站上。目前為止,，這個(gè)復(fù)合軟件可以從盡可能多的移動(dòng)設(shè)備中提取數(shù)據(jù),。在分析過(guò)程中使用UFED Physical Analyzer可能會(huì)遺漏某些數(shù)據(jù)，這是因?yàn)橐恍┡f的bug在新版本中被大致修復(fù)了,，但仍然修復(fù)不完全,。這就是為什么我們建議復(fù)核一下UFED Physical Analyzer的數(shù)據(jù)分析是否已全部完成。

MSAB XRY / MSAB XRY Field是一款瑞典Micro Systemation公司開(kāi)發(fā)的類(lèi)似Cellebrite的產(chǎn)品,，與Cellebrite的模式不同,，Micro Systemation表示他們的產(chǎn)品在大多數(shù)情況下用于臺(tái)式機(jī)或筆記本。該產(chǎn)品附帶具有顯著品牌標(biāo)識(shí)的USB集線器,、一系列適配器和用于連接不同移動(dòng)設(shè)備的數(shù)據(jù)線,。該公司還提供了硬件產(chǎn)品MSAB XRY Field及MSAB XRY Kiosk，用于從移動(dòng)設(shè)備中提取數(shù)據(jù),。產(chǎn)品有平板電腦和一體機(jī)兩種形式,，實(shí)踐證明這些產(chǎn)品非常適合從老掉牙的移動(dòng)設(shè)備中提取數(shù)據(jù),。

曾幾何時(shí)，波蘭公司Rusolut設(shè)計(jì)的用于芯片摘?。ㄖ苯訌囊苿?dòng)設(shè)備的存儲(chǔ)芯片提取數(shù)據(jù)的方法）的硬件工具變得越來(lái)越流行,。使用該設(shè)備，我們可以從損壞的移動(dòng)設(shè)備,、被PIN碼或圖形密碼鎖定的移動(dòng)設(shè)備中提取數(shù)據(jù),。Rusolut提供了幾組適配器，用于從某些機(jī)型中提取數(shù)據(jù),。比如,，一組專(zhuān)門(mén)用于“中國(guó)山寨機(jī)”數(shù)據(jù)提取的適配器。然而,，移動(dòng)設(shè)備開(kāi)發(fā)商在頂級(jí)機(jī)型中廣泛使用的用戶數(shù)據(jù)加密技術(shù)導(dǎo)致了該解決方案正逐漸失寵,。從存儲(chǔ)芯片中提取數(shù)據(jù)或許是可行的，但是提取到的數(shù)據(jù)都是加密的,，而解密是一個(gè)棘手的問(wèn)題。

2,、手機(jī)取證：軟件類(lèi)

隨著手機(jī)取證技術(shù)的發(fā)展,，顯而易見(jiàn)的是移動(dòng)設(shè)備分析軟件緊緊跟隨移動(dòng)設(shè)備功能的更新。早些時(shí)候,，取證鑒定人員或下令調(diào)查的人只能從電話簿,、短信、彩信,、通話記錄,、圖片和視頻文件中獲取數(shù)據(jù)。現(xiàn)在,，需要提取的數(shù)據(jù)種類(lèi)更多了,。除了上述提到的，通常還需要提?。?/p>

• 聊天軟件的數(shù)據(jù),；

• 電子郵件；

• 瀏覽器歷史記錄,；

• 地理位置數(shù)據(jù),；

• 被刪除的文件和其它被刪除的信息/記錄。

這個(gè)列表仍在不斷擴(kuò)張,，所有這些類(lèi)型的數(shù)據(jù)都可以用下述軟件提取,。

Oxygen是從移動(dòng)設(shè)備分析中提取數(shù)據(jù)的最好軟件之一。如果想從移動(dòng)設(shè)備中最大化提取數(shù)據(jù),，該軟件是最佳選擇,。Oxygen中集成的SQLite和plist查看器可供按需手動(dòng)檢驗(yàn)特定的SQLite數(shù)據(jù)庫(kù)和plist文件,。

該軟件一開(kāi)始是為在電腦上使用而開(kāi)發(fā)的，因此在上網(wǎng)本或平板電腦（屏幕尺寸不超過(guò)13英寸的設(shè)備）上使用會(huì)感到不舒服,。

該軟件的一個(gè)特點(diǎn)是對(duì)應(yīng)用程序數(shù)據(jù)庫(kù)文件所在的路徑的緊密綁定,。安裝在智能手機(jī)上的所有應(yīng)用程序都將數(shù)據(jù)存儲(chǔ)在一個(gè)或多個(gè)文件數(shù)據(jù)庫(kù)中，這些數(shù)據(jù)庫(kù)位于特定的目錄中,。如果在應(yīng)用程序更新后更改了數(shù)據(jù)庫(kù)的位置,，Oxygen將無(wú)法找到數(shù)據(jù)庫(kù)（它認(rèn)為特定應(yīng)用程序的文件必須位于指定的路徑上，而不是在其它地方）,，因此將無(wú)法提取數(shù)據(jù),。這造成檢驗(yàn)必須依賴Oxygen文件瀏覽器和輔助工具手工完成。

Oxygen Forensic Suite中對(duì)手機(jī)的檢驗(yàn)結(jié)果：

近年來(lái)的趨勢(shì)是軟件功能的“融合”,。最初為手機(jī)取證開(kāi)發(fā)軟件的開(kāi)發(fā)商在他們的產(chǎn)品中引入了硬盤(pán)檢驗(yàn)的功能,，專(zhuān)門(mén)從事硬盤(pán)檢驗(yàn)的取證產(chǎn)品開(kāi)發(fā)商增加了移動(dòng)設(shè)備檢驗(yàn)的功能。這兩波開(kāi)發(fā)商都增加了從云存儲(chǔ)中提取數(shù)據(jù)等功能,，因此我們有了“多功能軟件”,，在這些軟件的幫助下，我們可以對(duì)移動(dòng)設(shè)備,、硬盤(pán)進(jìn)行檢驗(yàn),，也可以從云存儲(chǔ)中提取數(shù)據(jù)，并分析從所有這些來(lái)源中提取的數(shù)據(jù),。

在我們的最佳手機(jī)取證軟件列表中,，這類(lèi)軟件占據(jù)了兩個(gè)位置：Magnet AXIOM （加拿大Magnet取證公司的軟件）和Belkasoft Evidence Center （Belkasoft的解決方案）。與上述的軟件和硬件工具相比,，這些軟件在數(shù)據(jù)提取方面的功能較差,，但它們對(duì)數(shù)據(jù)分析很有幫助，可以用于掌控完全不同類(lèi)型的數(shù)據(jù)提取,。這兩個(gè)軟件都在積極開(kāi)發(fā),，并在移動(dòng)設(shè)備檢驗(yàn)中快速拓展它們的功能。

AXIOM軟件的手機(jī)數(shù)據(jù)證據(jù)窗口：

Belkasoft Evidence Center檢驗(yàn)移動(dòng)設(shè)備的結(jié)果：

3,、計(jì)算機(jī)取證：只讀接口

Tableau T35U——Tableau公司的一種硬件只讀接口,，可以通過(guò)USB3總線將需檢硬盤(pán)安全地連接到鑒定工作站上。這個(gè)只讀接口提供IDE和SATA接口的硬盤(pán)插槽,，如果有適配器,，也可以將硬盤(pán)連接到其它接口。這個(gè)只讀接口的特點(diǎn)是可以模擬“讀寫(xiě)”操作,，在對(duì)含有惡意軟件的硬盤(pán)進(jìn)行檢驗(yàn)時(shí)很有用,。

Wiebitech Forensic UltraDock v5——由CRU公司開(kāi)發(fā)的只讀接口。該產(chǎn)品的功能可以跟Tableau T35U媲美,。這個(gè)只讀接口可以通過(guò)大量的接口與鑒定工作站連接（除了USB3,，它還可以通過(guò)eSATA和FireWire接口連接）,。如果將硬盤(pán)連接到此只讀接口，并且訪問(wèn)權(quán)限受到ATA密碼限制,，那么只讀接口的顯示屏上將顯示一條關(guān)于限制的消息,。此外，當(dāng)連接一個(gè)具有DCO隱西藏域的硬盤(pán)時(shí),，該區(qū)域?qū)⒆詣?dòng)顯現(xiàn),，以便復(fù)制其中的數(shù)據(jù)。

以上兩個(gè)只讀接口都首選USB3總線連接,，為制作鏡像和分析存儲(chǔ)介質(zhì)的過(guò)程提供了便利的工作條件,。

4、計(jì)算機(jī)取證：軟件類(lèi)

1.“不走尋常路”的老炮

5年前,，電子數(shù)據(jù)取證領(lǐng)域毋庸置疑的排頭兵是Encase Forensics和AccessData FTK,。它們的功能相互補(bǔ)充，能從檢材中最大化提取不同類(lèi)型的數(shù)據(jù),。如今,，這兩個(gè)項(xiàng)目都是市場(chǎng)的局外人。當(dāng)前Encase Forensics的功能難以滿足對(duì)運(yùn)行Windows系統(tǒng)的計(jì)算機(jī)和服務(wù)器與時(shí)俱進(jìn)的檢驗(yàn)需求,。對(duì)于一些非“一鍵到底”的場(chǎng)景,，Encase Forensics仍然是適用的，比如檢驗(yàn)運(yùn)行Mac OS的計(jì)算機(jī)或運(yùn)行Linux的服務(wù)器,，以及從罕見(jiàn)的文件格式中提取數(shù)據(jù)時(shí)。Encase Forensics內(nèi)置的Ensripts宏語(yǔ)言包含大量由開(kāi)發(fā)商和愛(ài)好者實(shí)現(xiàn)的腳本庫(kù),，利用它們可以分析大量不同的操作系統(tǒng)和文件系統(tǒng),。

AccessData FTK試圖最大程度擴(kuò)展產(chǎn)品功能以跟上時(shí)代，然而數(shù)據(jù)處理的時(shí)間遠(yuǎn)遠(yuǎn)超出了一般人能夠承受的合理范圍,。

AccessData FTK產(chǎn)品的特點(diǎn)是：

• 關(guān)鍵詞搜索的實(shí)現(xiàn)水準(zhǔn)很高,；

• 分析各種案例，可以識(shí)別出不同案例中檢材的相關(guān)性,；

• 提供自定義接口的選項(xiàng),；

• 支持罕見(jiàn)的文件格式（例如Lotus Notes數(shù)據(jù)庫(kù)）。

Encase Forensics和AccessData FTK都可以處理以數(shù)百TB計(jì)的海量數(shù)據(jù),。

2.軟件中的后起之秀

如今,，電子數(shù)據(jù)取證領(lǐng)域無(wú)可辯駁的領(lǐng)頭羊是Magnet Axiom。該軟件不僅后發(fā)制人,，還形成了功能完善的多個(gè)模塊：移動(dòng)設(shè)備檢驗(yàn),、云存儲(chǔ)數(shù)據(jù)提取、MacOS設(shè)備檢驗(yàn)等等,。該軟件具有友好的用戶功能界面,，可以用于與計(jì)算機(jī)或移動(dòng)設(shè)備安全相關(guān)的調(diào)查,。

與Magnet AXIOM類(lèi)似的是Belkasoft Evidence Center，它可以從移動(dòng)設(shè)備,、云存儲(chǔ)和硬盤(pán)中提取和分析數(shù)據(jù),。在檢驗(yàn)硬盤(pán)時(shí)，該軟件可以檢測(cè)加密文件和分區(qū),，通過(guò)指定的擴(kuò)展名提取文件,，檢驗(yàn)網(wǎng)頁(yè)瀏覽器的數(shù)據(jù)，提取云端存儲(chǔ)的聊天記錄和信息,，分析地理位置數(shù)據(jù),、電子郵件、社交網(wǎng)絡(luò)和支付系統(tǒng)數(shù)據(jù),、縮略圖,、系統(tǒng)文件、系統(tǒng)日志等,。對(duì)于已刪除數(shù)據(jù)的提取,，它具有靈活的可定制功能。

該軟件的優(yōu)勢(shì)：

• 可以從各種數(shù)據(jù)源中提取多種類(lèi)數(shù)據(jù),；

• 相當(dāng)好的內(nèi)置SQLite數(shù)據(jù)庫(kù)查看器,；

• 從遠(yuǎn)程計(jì)算機(jī)和服務(wù)器中收集數(shù)據(jù)；

• 集成了用VirusTotal檢測(cè)病毒文件的功能,。

該軟件的基本配置價(jià)格適中,，其它擴(kuò)展功能模塊則可以單獨(dú)購(gòu)買(mǎi)。除了基本配置之外,，強(qiáng)烈建議購(gòu)買(mǎi)“文件系統(tǒng)”模塊,，沒(méi)有它就不方便調(diào)用已檢驗(yàn)過(guò)的數(shù)據(jù)源。

當(dāng)然缺點(diǎn)也是有的：軟件的界面不友好,，獨(dú)立的操作不知該從何入手,。因此要有效地將該軟件用在工作中需要先培訓(xùn)。

Belkasoft Evidence Center的主要窗口顯示了在檢驗(yàn)特定設(shè)備期間檢測(cè)到的取證數(shù)據(jù)的統(tǒng)計(jì)信息：

X-Ways Forensics一步一個(gè)腳印地征服了電子數(shù)據(jù)取證市場(chǎng),。該軟件是電子數(shù)據(jù)取證界的瑞士軍刀,，它多功能、精準(zhǔn),、可靠,、小巧。它的特點(diǎn)是數(shù)據(jù)處理非?？欤ㄅc其它同類(lèi)軟件相比）,，并且它的功能恰到好處地滿足了鑒定中最基本的需求。該軟件有一個(gè)內(nèi)置的機(jī)制將假陽(yáng)性的結(jié)果最小化,，這意味著從一個(gè)100 GB的硬盤(pán)中恢復(fù)文件不會(huì)得到1 TB的已恢復(fù)文件（其中大多數(shù)是假陽(yáng)性的誤報(bào),，通常在使用數(shù)據(jù)恢復(fù)軟件時(shí)出現(xiàn)）,，僅會(huì)恢復(fù)那些真正需要恢復(fù)的文件。

使用X-Ways Forensics可以：

• 查找并分析電子郵件數(shù)據(jù),；

• 分析網(wǎng)頁(yè)瀏覽器的歷史記錄,、Windows日志和其它系統(tǒng)痕跡；

• 過(guò)濾結(jié)果,，移除多余的內(nèi)容,，只留下有價(jià)值且相關(guān)的內(nèi)容；

• 制作時(shí)間線并查看相關(guān)時(shí)間段內(nèi)的活動(dòng),；

• 重建磁盤(pán)陣列,；

• 掛載虛擬磁盤(pán)；

• 檢查惡意軟件,。

該軟件已經(jīng)證明了它擅于手動(dòng)分析從監(jiān)控錄像機(jī)（CCTV）中拆下來(lái)的硬盤(pán),。將第三方開(kāi)發(fā)人員的功能模塊集成到軟件中調(diào)用它的功能也是可實(shí)現(xiàn)的。

X-Ways Forensics的缺點(diǎn)：

• 界面普通,；

• 沒(méi)有完整的內(nèi)置SQLite數(shù)據(jù)庫(kù)查看器,；

• 需要深度培訓(xùn)：怎樣操作可以獲得正確的結(jié)果并不是顯而易見(jiàn)的。

5,、數(shù)據(jù)恢復(fù)工具：硬件類(lèi)

如今的電子數(shù)據(jù)取證市場(chǎng)上,，此類(lèi)產(chǎn)品的領(lǐng)導(dǎo)者只有一個(gè)——ACELab。該公司生產(chǎn)的硬件工具用于分析,、診斷和恢復(fù)硬盤(pán) （PC-3000 Express,、PC-3000 Portable、PC-3000 UDMA,、 PC-3000 SAS）,、固態(tài)硬盤(pán)（PC-3000 SSD complex）、USB閃存盤(pán)（PC-3000 flash complex）以及磁盤(pán)陣列（PC-3000 Express RAID complex,、PC-3000 UDMA RAID,、PC-3000 SAS RAID）,。ACELab在硬件工具市場(chǎng)的領(lǐng)導(dǎo)地位是由上述產(chǎn)品的高質(zhì)量和價(jià)格政策決定的,，這給想要進(jìn)入市場(chǎng)的競(jìng)爭(zhēng)者制造了障礙。

6,、數(shù)據(jù)恢復(fù)工具：軟件類(lèi)

盡管存在大量各種各樣的數(shù)據(jù)恢復(fù)軟件,，包括商業(yè)軟件的和免費(fèi)軟件，但是很難找到一個(gè)軟件能夠正確并完整地恢復(fù)不同文件系統(tǒng)中不同類(lèi)型的文件?，F(xiàn)在,，只有兩個(gè)軟件能滿足需求，它們具有幾乎相同的功能：R-Studio和UFS Explorer,。其它數(shù)千種數(shù)據(jù)恢復(fù)軟件要么在功能上不如它們?nèi)?，要么明顯比它們爛,。

7、開(kāi)源軟件

Autopsy是一個(gè)很方便的工具,，它可以分析Windows計(jì)算機(jī)和Android移動(dòng)設(shè)備,。它具有圖形界面，可用于與計(jì)算機(jī)有關(guān)的案件調(diào)查,。

Photorec是最好用的免費(fèi)數(shù)據(jù)恢復(fù)軟件之一,。它是類(lèi)似商業(yè)軟件的優(yōu)秀替代品。

Eric Zimmerman Tools是一組免費(fèi)工具,，其中每個(gè)工具都可以檢驗(yàn)一個(gè)特定的Windows痕跡,。實(shí)踐證明，Eric Zimmerman Tools提高了取證人員在現(xiàn)場(chǎng)的工作效率,。如今,，這些工具可以作為一組軟件使用——Kroll Artifact Parser and Extractor （KAPE）。

8,、Linux發(fā)行版

SIFT是一個(gè)Linux發(fā)行版,，由專(zhuān)門(mén)從事網(wǎng)絡(luò)安全培訓(xùn)和事件響應(yīng)的商業(yè)組織SANS Institute開(kāi)發(fā)和支持。SIFT包含大量當(dāng)前版本的免費(fèi)軟件,，可以用于從各種來(lái)源提取數(shù)據(jù)并進(jìn)行分析,。SIFT也可用于公司組織的培訓(xùn)，這些軟件也是不斷更新的,。在工作中使用該發(fā)行版中的特定工具可以提升工作的便利程度,。

Kali Linux是一個(gè)獨(dú)特的Linux發(fā)行版，可以使用它進(jìn)行安全審計(jì)和調(diào)查,。2017年,，Packt Publishing出版了Shiva V. N Parasram的《Digital Forensics with Kali Linux》一書(shū)，這本書(shū)給出了一些關(guān)于在這一套工具的幫助下如何復(fù)制,、檢驗(yàn)和分析計(jì)算機(jī),、存儲(chǔ)設(shè)備、內(nèi)存數(shù)據(jù)和網(wǎng)絡(luò)流量的提示,。

以上是我使用所述硬件和軟件工具對(duì)計(jì)算機(jī)和移動(dòng)設(shè)備進(jìn)行檢驗(yàn)鑒定的實(shí)踐經(jīng)驗(yàn)分享,，希望本文對(duì)打算購(gòu)買(mǎi)硬件和軟件工具來(lái)進(jìn)行電子數(shù)據(jù)鑒定和案件調(diào)查的人員有用。

原文鏈接:

https://www./blog/digital_forensics_tools

聲明：本文來(lái)自數(shù)據(jù)安全與取證,，版權(quán)歸作者所有,。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表安全內(nèi)參立場(chǎng),，轉(zhuǎn)載目的在于傳遞更多信息,。如有侵權(quán)，請(qǐng)聯(lián)系 [email protected]。