工具推薦：22款最流行的計算機取證工具【2017年更新版】

01-29

什麼是計算機取證？

計算機取證（Computer Forensics，又名計算機取證技術、計算機鑒識、計算機法醫學）是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，並據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言。計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。可理解為「從計算機上提取證據」即：獲取、保存、分析、出示、提供的證據必須可信；

計算機取證在打擊計算機和網路犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的「痕迹」作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網路入侵、盜用知識產權和網路欺騙等。

為了達到更好地研究和調查目的，開發人員已經創建出了很多計算機取證工具。警察部門和調查機構可以根據各種因素選擇工具，包括預算以及現有專家隊伍狀況等。

這些計算機取證工具主要可以分為以下幾種不同類別：

磁碟和數據捕獲工具；n文件查看器；n文件分析工具；n註冊表分析工具；n互聯網分析工具；n電子郵件分析工具；n移動設備分析工具； Mac OS分析工具；n網路取證工具；n資料庫取證工具；n

在接下來的文章中，我們將列舉一些最為流行和主流的數據取證工具。在進一步介紹之前，需要指出的是，以下工具是以隨機順序排列，並非代表該工具的當前排名情況：

22款計算機取證工具

1. Digital Forensics Framework

Digital Forensics Framework（DFF）是以專用API為基礎的一個開源計算機取證平台，具有GPL許可證。它是一個靈活的模塊化系統，可以輔助你的數據調查取證工作，包括：訪問遠程或本地設備、Windows或Linux操作系統的取證、由於錯誤或崩潰造成的文件恢復、快速搜索文件的元數據以及其他功能等。

此外，DFF還提出了一個替代傳統數字取證的解決方案，設計得更簡潔，自動化。DFF介面引導用戶通過一個主要的數字調查步驟，讓用戶選擇專業模式或者非專業模式來快速進行數字調查以及執行事件響應。

下載地址：About us - ArxSys

2. Open Computer Forensics Architecture

Open Computer Forensics Architecture（OCFA）是由荷蘭國家警察局負責開發的另一種較為流行的分散式開源計算機取證框架，主要用於自動化數據取證過程。該框架建立在Linux平台上，並使用postgreSQL資料庫來存儲數據。

下載地址：Open Computer Forensics Architecture

3. CAINE

CAINE（Computer Aided Investigative Environment）是用於數字取證的Linux發行版。其作為安全研究部際中心（CRIS）的數字取證項目而創建，旨在填補不同取證工具之間的互操作間隙，提供一致化的圖形用戶界面以在電子證據的獲取和分析過程中對數字調查進行指導，為文檔和報告的編寫提供一個半自動化的過程。此外，該工具也是開源的。

查看更多：computer forensics digital forensics

4. X-Ways Forensics

x-ways forensics是由德國X-ways進行研發推出的取證分析軟體。它可在 Windows XP/2003/Vista/2008/7/8/8.1/2012操作系統下運行，支持32 /64 位Standard/PE/FE等版本。

此外，X-Ways Forensics 還可隨身攜帶，能夠通過U盤在任意Windows操作系統下使用，無需安裝。不像其他一些取證分析工具那樣，X-ways Forensics不需要使用者設置資料庫等繁瑣的操作，並且超小化的安裝包可以在數秒內下載並安裝。它可以與WinHex hex和 disk editor 緊密結合，提供高效率的工作流模型，這樣計算機取證調查員就可以與使用X-Ways Investigator 的調查員共享數據，協同工作。

其主要功能包括：

磁碟克隆和鏡像功能，進行完整數據獲取；n可分析 RAW/dd/ISO/VHD/VMDK 格式原始數據鏡像文件中的完整目錄結構，支持分段保存的鏡像文件；n可讀取磁碟、RAIDs以及超過2TB大的鏡像文件（超過 232 個扇區）扇區最大為8KB；n內置解析磁碟陣列JBOD、RAID 0、RAID 5、RAID 5EE、RAID 6、Linux軟體磁碟陣列、windows動態磁碟以及LVM2邏輯卷管理器；n自動識別丟失的/已刪除的分區；n支持 FAT12、FAT16、FAT32、exFAT、TFAT、NTFS、Ext2、Ext3、Ext4、Next3、CDFS/ISO9660/Joliet、UDF文件系統；n察看並完整獲取內存轉儲，並能獲取虛擬內存中的運行進程；n使用多種數據恢復技術，能快速發現需要恢復的數據，並支持碎片級數據恢復；n……n

查看更多：X-Ways Forensics: Integrated Computer Forensics Software

5. SANS Investigative Forensics Toolkit – SIFT

SIFT是一個多用途的取證操作系統，內置數字取證過程中所需的所有必要工具。它建立在Ubuntu上，具有許多與數字取證有關的工具。今年早些時候，SIFT 3.0發布，它分為免費和收費兩種版本，並包含免費的開源取證工具。

下載地址：Investigative Forensic Toolkit Download

6. EnCase

Encase是Guidance Software公司研發的取證產品，該工具擁有強大的腳本功能，支持二次開發。可增強取證分析的針對性，使個人技能得到較大程度的發揮，是政府執法機構常用的取證工具，也被廣泛的運用與司法、軍隊、公司監察等部門。

該工具可以快速收集各種設備的數據，挖掘潛在的證據，此外，它還可以根據證據生成報告。不過，該工具屬於付費版本，費用為995美元。

查看更多：https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx

7. Registry Recon

Registry Recon是一款非常流行的註冊表分析工具。它能夠從證據中提取註冊表信息，然後重建註冊表representation。它還可以從當前和以前的Windows安裝中重建註冊表。

需要注意的是，該工具也屬於付費工具，費用為399美元。

查看更多：Computer Forensics Tools by Computer Forensics Experts

8. The Sleuth Kit

Sleuth Kit是一款基於Unix和Windows的工具，可以幫助您對計算機進行取證分析。此外，它還配備了各種有助於數字取證的工具，這些工具具有分析磁碟映像、對文件系統進行深入分析以及其他各種功能。

查看更多：Open Source Digital Forensics

9. Llibforensics

Llibforensics是數字取證應用程序庫，它是在Python中開發的，並附帶各種演示工具來從各種類型的證據中提取信息。

查看更多：http://code.google.com/p/libforensics/

10. Volatility

Volatility是開源的Windows、Linux、MaC以及Android的內存取證分析工具，主要用於事件響應和惡意軟體分析。它由python編寫而成，使用該工具，你可以從運行進程、網路套接字、網路連接、DLL和註冊表配置單元中提取信息。此外，它還支持從Windows故障轉儲文件和休眠文件中提取信息。

最重要的是，該工具是免費的。

查看更多：http://code.google.com/p/volatility/

11. WindowsSCOPE

WindowsSCOPE是另一款用於分析易失性存儲器（volatile memory）的內存取證和逆向工程工具。它主要用於惡意軟體的逆向工程，此外，它提供分析Windows內核、驅動程序、DLL、虛擬和物理內存等功能。

查看更多：Tools for Crime & Incident Response

12. The Coroner』s Toolkit

The Coroner』s Toolkit（TCT）也是一款很好的數字取證分析工具。它可以運行在幾個與Unix相關的操作系統下，它還可以用於幫助分析計算機災難和數據恢復。

查看更多：The Coroners Toolkit (TCT)

13. Oxygen Forensic Suite

Oxygen Forensic Suite是一款優秀的手機取證軟體，並不是只針對非智能手機、智能手機、平板的邏輯分析，對於物理提取及分析也有獨特的方法。

它採用底層的通訊協議，支持對手機基本信息、SIM卡信息、聯繫人列表、組信息、快速撥號、通話記錄、短消息、簡訊中心時間戳、日曆、待辦事項、文本便簽、照片、視頻、音頻、LifeBlog 數據（所有活動，包含地理信息）、Java 程序、手機內存和快閃記憶體卡中的文件系統數據、GPRS 和 Wi-Fi 使用記錄、錄音文件等信息的獲取與恢復。

查看更多：Mobile forensics solutions: software and hardware

14. Bulk Extractor

Bulk Extractor也是一款非常重要和流行的數字取證工具。它可以掃描文件的磁碟映像、文件本身以及目錄來提取有用的信息。在這一過程中，它會忽略文件系統結構，因此它要比其他類似的工具掃描速度快。

它主要被情報和執法機構用於解決網路犯罪等問題方面。

下載地址：Index of /downloads/bulk_extractor

15. Xplico

Xplico是一個開源的網路取證分析工具。它基本功能是從使用Internet和網路協議的應用程序中提取有用的數據。它支持大多數流行協議，包括HTTP、IMAP、POP、SMTP、SIP、TCP、UDP、TCP等。該工具的輸出數據存儲在MySQL資料庫或SQLite資料庫中。此外，它也支持IPv4和IPv6。

查看更多：Xplico - About

16. Mandiant RedLine

Mandiant RedLine是用於內存和文件分析的流行工具。它從內存中收集有關正在運行的進程和驅動程序的信息，並收集文件系統元數據，註冊表數據，事件日誌，網路信息，服務，任務和Internet歷史記錄，以幫助構建整體威脅評估配置文件。

當啟動RedLine時，將需選擇收集數據或分析數據。除非你已經有了一個內存轉儲文件可用，否則需要創建一個收集器從機器收集數據，直至完成。一旦你有一個內存轉儲文件，就可以開始分析了。

查看更多：Redline | FireEye

17. Computer Online Forensic Evidence Extractor (COFEE)

Computer Online Forensic Evidence Extractor （COFEE）是一款微軟免費提供給國際刑警組織使用的證據提取工具，微軟是這樣描述的COFEE的：

有了COFEE，沒有合適的計算機取證能力的執法機構可以輕鬆、可靠而且高效地收集現場證據。一個只有最基礎的計算機知識的人也可以在不超過10分鐘的時間裡學會如何使用配置好的COFEE設備，執法人員可以像專家一樣收集重要的犯罪證據，其複雜程度就像將USB插入計算機那樣。

簡單地說，COFEE就是一種是形似U盤的提取工具，COFEE包含了超過150個信息收集、密碼破解、網路嗅探等工具，可以快速繞過所有Windows的安全措施，並破解系統密碼、顯示網路瀏覽的歷史，對電腦系統進行深入地搜索來獲取證據。

官網地址：https://cofee.nw3c.org/

18. P2 eXplorer

P2 eXplorer是一款取證圖像安裝工具，旨在幫助調查人員檢查案件。利用該圖像，您可以將取證圖像作為只讀本地和物理光碟，然後使用文件瀏覽器瀏覽圖像的內容。您也可以輕鬆查看已刪除的數據和圖像的未分配空間。

它可以一次安裝多個圖像，它支持大多數圖像格式，包括EnCasem、safeBack、PFR、FTK DD、WinImage、來自Linux DD的RAW圖像以及VMWare圖像等。此外，它還支持邏輯和物理映像類型。

該工具價格為199美元，當然你也可以免費獲取該工具的有限功能版本。

查看更多：https://www.paraben.com/p2-explorer.html

19. PlainSight

PlainSight是一個基於Knoppix（Linux發行版）的Live CD（自生系統），它允許用戶執行數字取證任務，如查看互聯網歷史記錄，數據刻畫，USB設備使用信息收集，檢查物理內存轉儲，提取哈希密碼等。

當進入PlainSight時，會彈出一個窗口，要求選擇是要執行掃描，載入文件還是運行嚮導，你需要輸入選擇以開始數據提取和分析過程。該工具是免費的。

查看更多：PlainSight | Home

20. XRY

XRY是Micro Systemation開發的移動取證工具。它用於分析和恢復來自移動設備的關鍵信息。該工具附帶一個硬體設備和軟體，硬體可以將手機連接到PC，軟體可以對設備進行分析並提取數據。其設計初衷是恢複數據進行取證分析。

該工具的最新版本可以恢復來自Android、iPhone以及BlackBerry等各種智能手機的數據。此外，它還可以收集刪除的數據，如通話記錄、圖像、簡訊和文本信息等。

查看更多：Home

21. HELIX3

HELIX3是一款基於live CD（自生系統）的數字取證套件，主要用於事件響應。它配有許多開源數字取證工具，包括十六進位編輯器、數據雕刻以及密碼破解工具。

該工具可以從物理內存、網路連接、用戶帳戶、執行進程和服務、Windows Fegistry、聊天日誌、屏幕截圖、SAM文件、應用程序、驅動程序、環境變數和Internet歷史記錄中收集數據。然後根據報告對數據進行分析和評估，以生成符合要求的結果。

免費版本下載地址：ShareFile

企業版下載地址：Cyber Security & Computer Forensics Software

22. Cellebrite UFED

Cellebrite公司的UFED解決方案提供了一個統一的工作流程，允許審查員、調查員和第一響應者在保障移動數據的速度和準確性的情況下，來收集、保護和採取行動。

UFED Pro系列是專為需要最全面、最新的移動數據提取和解碼支持的法醫審查員和調查員而設計，可用於處理新數據源的湧入。UFED Field系列旨在統一現場和實驗室之間的工作流程，使其可以通過車載工作站、筆記本電腦、平板電腦或位於車站的安全自助服務亭查看，訪問和共享移動數據。

查看更多：Mobile Forensics

以上就是本次關於22款計算機取證工具的全部介紹，你還有什麼好的取證工具想要推薦上榜，歡迎給我們留言分享。

本文翻譯自：22 Popular Computer Forensics Tools [Updated for 2017]，如若轉載，請註明來源於嘶吼：工具推薦：22款最流行的計算機取證工具【2017年更新版】 - 嘶吼 RoarTalk 更多內容請關注「嘶吼專業版」——Pro4hou