()

電影電視里常會出現計算機專家運用各種取證工具鎖定罪犯的場景，但專家們用的網絡取證工具都有哪些呢？這里就為大家奉上全球調查人員和專業人士偏愛的7種網絡取證工具。

拷問數據，它自然會坦白。

——羅納德·考斯

網絡取證，顧名思義，就是為非法行為發生后的調查收集證據。網絡/計算機取證是數字取證科學的一個分支，為提升網絡安電腦全而生。2002年出版的《計算機取證》一書中，計算機取證被定義為：對計算機數據的保存、鑒別、抽取、歸檔和解釋。

那么，取證調查員干些什么呢？

他們基本上就是遵循一定的調查標準流程。首先，將被感染設備從網絡中物理隔離出來，給設備做個備份，并保證設備不會被外部入侵所污染。一旦保住了設備，設備本身就留待進一步處理，而調查都是在克隆的設備上做的。

為更好地理解計算機上的東西，我們可以假設計算機是忠實的見證者，而且絕對不會騙人。除非被什么外部人士操縱，否則網絡/計算機取證的唯一目的，就是搜索、保存并分析從受害設備上獲取到的信息，并將這些信息用作證據。

于是，這些計算機取證專業人士都用的是什么工具呢？信息安全研究所給我們列出了一張單子，內含7種常用工具，并附有簡要描述及主要功能介紹。

1. SIFT – SANS調查取證工具包

SIFT具備檢查原始磁盤（比如直接從硬盤或其他任何存儲設備上獲取的字節級數據）、多種文件系統及證據格式的能力。該工具包基本基于Ubuntu系統，是包含了執行深度取證調查或響應調查所需工具的一張 Live CD。SIFT工具包最值得贊賞的就是：開源&免費。

SIFT堪比SANS高級事件響應課程中主打的任何現代事件響應及取證工具套裝。那么，SIFT都支持哪些證據格式呢？從高級取證格式(AFF)到RAW(dd)證據格式都支持！

SIFT的主要特點有：電腦

基于 Ubuntu LTS 14.04；支持64位系統；內存利用率更高；自動數字取證及事件響應(DFIR)包更新及自定義設置；最新的取證工具和技術；可用 VMware Appliance 進行取證；兼容Linux和Windows；可選擇通過(.iso)鏡像文件單獨安裝或經 VMware Player/Workstation 使用ReadTheDocs上有在線文檔項目；擴展了支持的文件系統。

2. ProDiscover Forensic

ProDiscover Forensic 是可在給定計算機存儲磁盤上定位全部數據，同時還能保護證據并產生文檔報告的計算機/網絡安全工具。

該工具可以從受害系統中恢復任意已刪除文件并檢查剩余空間，還可以訪問 Windows NTFS 備用數據流，預覽并搜索/捕獲（比如截屏或其他方式）硬件保護區(HPA)的進程。ProDiscover Forensic 有自己的技術來執行這些操作。

任何系統或組織中對數據的硬件防護都是非常重要的事，想突破硬件防護并不容易。

ProDiscover Forensic 的主要功能有：

創建包含隱藏HPA段（專利申請中）的磁盤比特流副本供分析，可以保證原始證據不受污染；搜索文件或整顆磁盤（包括剩余空間、HPA段和 Windows NT/2000/XP 備份數據流），可進行完整的磁盤取證分析；不修改磁盤任何數據（包含文件元數據）的情況下，預覽所有文件——即便文件被隱藏或刪除；在文件級或磁盤簇級檢查數據并交叉對比，以確保沒漏掉任何東西，即便是在磁盤剩余空間中；使用Perl腳本自動化調查任務。

3. Volatility Framework

Volatility Framework 是黑帽獨家發布的一個框架，與高級內存分析及取證直接相關。后者基本上就是分析受害系統中的易變內存。易變內存或易變數據是頻繁刷新的數據，就是在重啟系統時可能丟失的那些數據。對此類數據的分析可以采用 Volatility Framework 進行。該框架向世界引入了使用RAM(易變內存)數據監視運行時進程和任意系統狀態的強大力量。

該框架也為數字調查員提供了高效進行取證研究的獨特平臺。國家司法機構、國防力量或全球任意商業調查機構都使用該工具。

Volatility Framework 的主要特點有：

內聚的單一框架；遵從開源 GPLv2 許可；以Python語言編寫；Windows、Linux、Mac可用；可擴展可腳本化的API；無可匹敵的功能集；文件格式涵蓋全面；快速高效的算法；嚴謹強大的社區；專注取證/事件響應/惡意軟件。

4. Sleuth Kit (+Autopsy)

命令行接口是與計算機程序互操作的一種模式。命令行模式下，用戶/客戶端向程序發送連續的文本行，也就是編程語言中的指令。

Sleuth Kit 就是此類命令行接口/工具的集合。該工具可以檢查受害設備的磁盤鏡像，恢復出被破壞的文件。Sleuth Kit 一般與其他很多開源或商業取證工具一起用在Autopsy數字取證平臺中。

Autopsy也是 Sleuth Kit 的圖形用戶接口，可令硬盤和智能手機分析工作更加高效。

Autopsy功能列表：

多用戶情形：可供調查人員對大型案件進行協作分析；時間線分析：以圖形界面顯示系統事件，方便發現各類活動；關鍵詞搜索：文本抽取和索引搜索模塊可供發現涉及特定詞句的文件，可以找出正則表達式模式；Web構件：從常見瀏覽器中抽取Web活動以輔助識別用戶活動；注冊表分析：使用RegRipper來找出最近被訪問的文檔和USB設備；LNK文件分析：發現快捷方式文件及其指向的文件；電子郵件分析：解析MBOX格式信息，比如Thunderbird；EXIF：從JPEG文件中抽取地理位置信息和相機信息；文件類型排序：根據文件類型對文件分組，以便找出全部圖片或文檔；媒體重放：不用外部瀏覽器就查看應用中的視頻和圖片；縮略圖查看器：顯示圖片的縮略圖以快速瀏覽圖片。

5. CAINE（計算機輔助調查環境）

CAINE基于Linux系統打造，通常是包含了一系列取證工具的一張 Live CD。由于最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上，熟悉這些系統的人便可以無縫使用CAINE。

CAINE的主要功能有：

CAINE界面——集成了一些著名取證工具的用戶友好界面，其中很多工具都是開源的；經過更新優化的取證分析環境；半自動化的報告生成器。

6. Xplico

Xplico是又一款開源網絡取證分析工具，可以重建Wireshark、ettercap等包嗅探器抓取的網絡流量內容，來自任何地方的內容都可以。

Xplico的特性包括：

支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6協議；端口無關的協議識別(PIPI)；多線程；可在SQLite數據庫或Mysql數據庫及文件中輸出數據和信息；Xplico重組的每個數據都與一個XML文件相關聯，該XML文件唯一標識了該數據流及包含該重組數據的pcap包；對數據記錄的大小或文件數量沒有任何限制（唯一的限制只存在于硬盤大小）；模塊化。每個Xplico組件都是模塊化的。某些數字取證及滲透測試操作系統，如 Kali Linux、BackTrack等，默認安裝了Xplico。

7. X-Ways Forensics

X-Ways Forensics 是取證調查人員廣泛使用的高級工作平臺。調查人員使用取證工具包時面對的問題之一，就是電腦這些工具往往很耗資源，很慢，還不能探查到所有角落。而 X-Ways Forensics 就不怎么占資源，更快，還能找出所有被刪除的文件，還有其他一些附加功能。該取證工具用戶友好，完全可移植，可以存放在U盤中，在Windows系統上無需任何額外的安裝。

X-Ways Forensics 的主要特點包括：

磁盤克隆與鏡像；能讀取RAW(.dd)鏡像文件、ISO、VHD和VMDK鏡像中的分區和文件系統結構；可讀取磁盤、磁盤陣列和超過2TB的鏡像；自動識別丟失/已刪除的分區；可用模板查看并編輯二進制數據結構；遞歸瀏覽所有子目錄中的所有現有及已刪除文件。電腦