每個企業(yè)的安全團隊都應(yīng)該提前儲備一款好用的數(shù)字取證工具，因為從輕微的網(wǎng)絡(luò)違規(guī)到嚴重的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件處置，數(shù)字取證軟件有助于更快速的解決問題，并查明問題根源。同時，由于互聯(lián)網(wǎng)和全球化的發(fā)展，網(wǎng)絡(luò)犯罪形式也在多樣化，借助可靠的數(shù)字取證分析工具，可以幫助執(zhí)法人員獲取關(guān)鍵性的數(shù)字證據(jù)，從而對不法分子進行處罰。

　　隨著網(wǎng)絡(luò)犯罪分子的攻擊頻率和嚴重程度不斷提高，數(shù)字取證市場目前發(fā)生了很大變化，可以用兩個詞來概括：速度和準確率。如何盡快將違法證據(jù)提交給調(diào)查人員是將網(wǎng)絡(luò)犯罪分子繩之以法的關(guān)鍵，特別是對于那些應(yīng)用廣泛的便攜移動設(shè)備。因此，安全人員正在通過將自動化技術(shù)納入數(shù)字取證工作流程來實現(xiàn)更快的取證速度，同時更完整的保留證據(jù)鏈。而擁有一個可以收集、處理和審查所有類型設(shè)備數(shù)據(jù)的協(xié)作取證平臺，正在成為企業(yè)組織優(yōu)化數(shù)字調(diào)查取證流程的最佳方式。

　　本文收集整理了目前國際市場上最熱門的數(shù)字取證和事件響應(yīng)（DFIR）軟件工具，它們有助于幫助企業(yè)打擊網(wǎng)絡(luò)犯罪和保護數(shù)字資產(chǎn)。

　　01　　Paraben

　　Paraben公司于1999年進入網(wǎng)絡(luò)安全市場，專注于數(shù)字取證、風險評估和安全解決方案。Paraben的取證調(diào)查主要針對電子郵件、計算機、智能手機和物聯(lián)網(wǎng)設(shè)備。

　　應(yīng)用特點

　　Paraben E3取證平臺實現(xiàn)了對來自多個數(shù)據(jù)源數(shù)據(jù)的簡化分析。

　　可實現(xiàn)哈希數(shù)據(jù)庫過濾，對文件、十六進制、文本、RTF以及電子郵件查看器進行自動嵌入式數(shù)據(jù)檢測（OLE）。

　　可以提供遠程訪問，從計算設(shè)備和云存儲環(huán)境進行數(shù)據(jù)采集。

　　可為Xbox和Amazon Echo等產(chǎn)品提供物聯(lián)網(wǎng)取證支持，可為Google、Dropbox和Slack提供云取證支持。

　　02　　Sleuth Kit和Autopsy

　　Sleuth Kit（TSK）和Autopsy是兩款流行的開源數(shù)字調(diào)查工具，其中Sleuth Kit可幫助管理員通過眾多用于調(diào)查磁盤映像的命令行工具庫來分析文件系統(tǒng)數(shù)據(jù)，而Autopsy是一種圖形化用戶界面（GUI）的數(shù)字取證平臺，用于公共和私有計算機系統(tǒng)調(diào)查，對TSK的功能進行補充。

　　應(yīng)用特點

　　TSK提供了備受好評的磁盤和數(shù)據(jù)捕獲工具。

　　功能包括時間軸分析、哈希過濾、文件和文件夾標記以及多媒體提取。

　　Autopsy讓用戶可以高效地分析硬盤和智能手機。

　　其插件架構(gòu)讓用戶可以查找附加模塊，或者用Java或Python開發(fā)自定義模塊。

　　TSK的核心功能是分析卷和文件系統(tǒng)數(shù)據(jù)。

　　03　　OpenText

　　OpenText公司成立于1991年，提供企業(yè)內(nèi)容管理、網(wǎng)絡(luò)、自動化、發(fā)現(xiàn)、安全和分析服務(wù)。OpenText EnCase解決方案包括Endpoint Security（端點檢測和響應(yīng)，即EDR）、Endpoint Investigator（DFIR）、Forensic、Mobile Investigator和Advanced Detection。這些解決方案有助于從多種類型的設(shè)備和硬盤驅(qū)動器中恢復證據(jù)、自動發(fā)現(xiàn)證據(jù)、深度分析證據(jù)以及收集保存證據(jù)。

　　應(yīng)用特點

　　EnCase Forensic已得到部分司法機構(gòu)的認可，可用于查找、解密、收集和保存來自多種計算機設(shè)備的取證數(shù)據(jù)，同時確保證據(jù)完整性，并與司法調(diào)查流程集成。

　　EnCase可以從諸多來源獲取證據(jù)，并深入挖掘每個來源，以發(fā)現(xiàn)可能相關(guān)的信息。

　　預(yù)定義或定制的條件和過濾器可以快速找到證據(jù)。

　　證據(jù)處理、集成式工作流程和靈活的報告都是EnCase提供的功能。

　　平臺按重要性對證據(jù)排序。

　　04　　Magnet Forensics

　　Magnet Forensics由加拿大退役警務(wù)人員創(chuàng)建，主要為公共和私營組織提供數(shù)字取證調(diào)查工具。產(chǎn)品包括用于事件響應(yīng)的Magnet Axiom Cyber、Magnet Automated Enterprise以及用于分類的Magnet Ignite。

　　應(yīng)用特點

　　應(yīng)用較廣泛，目前已經(jīng)在全球100多個國家、地區(qū)擁有4000多家客戶。

　　支持多種數(shù)字取證源，而不僅僅是針對Linux和Windows操作系統(tǒng)。

　　可以用于執(zhí)行遠程獲取事件，并恢復和分析來自計算機、云和移動設(shè)備的證據(jù)。

　　是一種自動化解決方案，可用于在安全事件發(fā)生后同時收集和處理來自多個端點的證據(jù)。

　　可執(zhí)行快速遠程掃描，并對端點進行初始分析。

　　05　　CAINE

　　計算機輔助調(diào)查環(huán)境（CAINE）是一款基于Ubuntu和Linux的開源發(fā)行版工具，用于數(shù)字取證。CAINE可以與現(xiàn)有的各種Windows、Linux和Unix系統(tǒng)版本安全工具相集成。

　　應(yīng)用特點

　　CAINE提供了從隨機訪問存儲器（RAM）自動提取時間線的功能。

　　是一種可互操作的環(huán)境，在數(shù)字調(diào)查的四個階段支持數(shù)字調(diào)查人員。

　　所有模塊設(shè)備在只讀模式下都會被阻止。

　　具有圖形化的操作界面，使用方便

　　能夠確保相關(guān)磁盤都受到保護，避免意外讀寫操作。

　　06　　Kroll Computer Forensics

　　Kroll的計算機取證工具和專家服務(wù)能夠讓各種數(shù)字證據(jù)不被忽視，并在調(diào)查或訴訟流程的各個階段提供取證幫助，無論數(shù)據(jù)源如何復雜。

　　應(yīng)用特點

　　可結(jié)合使用計算機取證專長和傳統(tǒng)調(diào)查技術(shù)，分析物理和數(shù)字證據(jù)，以查明發(fā)生事件詳細情況。

　　基于防御性的解決方案可用來識別和安全保存電子數(shù)據(jù)。

　　可以滿足復雜環(huán)境下數(shù)據(jù)的采集需求，用于電子調(diào)查和取證分析或取證發(fā)現(xiàn)。

　　當數(shù)據(jù)被有意、無意的刪除或篡改時，Kroll也可以通過分析留下的數(shù)字線索，以發(fā)現(xiàn)關(guān)鍵信息。

　　提供7*24小時的專家服務(wù)，并可為客戶擔任專家證人或特別專員。

　　07　　SIFT Workstation

　　SIFT Workstation是一套免費開源的事件響應(yīng)和取證工具，用于執(zhí)行數(shù)字取證檢查。SIFT Workstation提供了一系列免費開源的DFIR解決方案，還提供了多種部署選項，包括虛擬機、Ubuntu上的原生安裝，或通過Linux子系統(tǒng)安裝。

　　應(yīng)用特點

　　可在64位操作系統(tǒng)上運行，并自動更新軟件，增添最新的取證工具和技術(shù)，還可以幫助內(nèi)存優(yōu)化。

　　SIFT Workstation應(yīng)用廣泛，下載量超過125000人次。

　　SIFT Workstation主要用作SANS事件響應(yīng)、網(wǎng)絡(luò)取證和網(wǎng)絡(luò)威脅情報培訓的一部分。

　　可以分析文件系統(tǒng)、網(wǎng)絡(luò)證據(jù)和內(nèi)存映像等。

　　支持NTFS、ISO9660 CD、HFS和FAT等文件格式。

　　08　　Exterro

　　Exterro專門開發(fā)基于工作流程的軟件和治理風險合規(guī)（GRC）解決方案，在協(xié)助內(nèi)部法務(wù)團隊、簡化合規(guī)流程和控制風險方面尤其具有價值。Exterro的產(chǎn)品涵蓋電子發(fā)現(xiàn)、隱私保護、風險管理和數(shù)字取證。公司推出的FTK取證產(chǎn)品功能包括Mac和移動數(shù)據(jù)調(diào)查、遠程代理端點收集、可擴展的數(shù)據(jù)處理環(huán)境（DPE）和自動化工作流程。

　　應(yīng)用特點

　　Exterro的操作符合SOC 2 Type 2認證和FedRAMP授權(quán)。

　　產(chǎn)品分為FTK Imager、FTK Lab、FTK Central、FTK Enterprise和FTK Connect多個模塊

　　產(chǎn)品已在數(shù)字取證領(lǐng)域使用了30多年，用于可重復、可靠性需求高的取證調(diào)查。

　　所有FTK解決方案的特點是快速處理數(shù)據(jù)，包括提取移動數(shù)據(jù)。

　　可以提供遠程端點調(diào)查、分類、收集和修復功能呢。

　　09　　Volatility

　　Volatility是一款命令行內(nèi)存分析和取證工具，用于從內(nèi)存轉(zhuǎn)儲中提取信息，其中用于事件響應(yīng)和惡意軟件分析的取證框架是用Python編寫，支持Microsoft Windows、Mac OS X和Linux操作系統(tǒng)。

　　應(yīng)用特點

　　不需要安裝Python腳本解釋器。

　　內(nèi)存取證技術(shù)使調(diào)查人員能夠使用RAM數(shù)據(jù)分析系統(tǒng)運行時狀態(tài)。

　　了解操作系統(tǒng)的內(nèi)部、惡意代碼和異常，這些信息有助于改善工具應(yīng)用功能。

　　嵌入式API可用于查找頁表條目（PTE）標志。

　　Volatility支持內(nèi)核地址空間布局隨機化（KASLR）。

　　10　　X-Ways

　　X-Ways Forensics是面向計算機取證檢驗人員的工作環(huán)境，基于WinHex十六進制和磁盤編輯器，并可以提供額外的磁盤和數(shù)據(jù)捕獲軟件、克隆、映像及其他工具。

　　應(yīng)用特點

　　便攜式應(yīng)用，可在插入任何Windows系統(tǒng)的U盤上運行，無需安裝。

　　計算機取證檢驗人員能夠與使用X-Ways 的調(diào)查人員共享數(shù)據(jù)和協(xié)作。

　　可在Windows XP/2003/Vista等舊版本的操作系統(tǒng)下運行。

　　能夠自動檢測丟失或刪除的分區(qū)。

　　11　　Cellebrite

　　Cellebrite于1999年成立，專門為需要收集、審查、分析或管理設(shè)備數(shù)據(jù)的組織提供移動設(shè)備取證服務(wù)。Digital Intelligence Investigative Platform（數(shù)字情報調(diào)查平臺）有助于統(tǒng)一調(diào)查生命周期和保存數(shù)字證據(jù)。

　　應(yīng)用特點

　　Cellebrite通用取證設(shè)備（UFED）可以提取物理和邏輯數(shù)據(jù)。

　　恢復方法包括專用引導加載程序、自動緊急下載（EDL）功能和智能安卓調(diào)試橋（ADB）。

　　Cellebrite可以在Windows和Mac上提供取證分析功能。

　　可以查找互聯(lián)網(wǎng)歷史記錄、下載件、最近搜索的內(nèi)容、熱門網(wǎng)站、位置、介質(zhì)、消息、回收站、USB連接等多種信息。

　　提供AI輔助的圖片和視頻分類、過濾以及支持全磁盤加密等功能。

　　12　　ProDiscover

　　ProDiscover成立于2001年，旨在幫助公共和私營組織打擊數(shù)字犯罪，截至2022年，這家總部位于印度的供應(yīng)商在70多個國家、地區(qū)開展業(yè)務(wù)。ProDiscover Forensics可以從計算機系統(tǒng)捕獲用于取證調(diào)查的證據(jù)，以收集、保存、過濾和分析證據(jù)。

　　應(yīng)用特點

　　ProDiscover提供三種產(chǎn)品，側(cè)重計算機取證、事件響應(yīng)、電子發(fā)現(xiàn)和公司政策合規(guī)調(diào)查。

　　ProDiscover可查找計算機磁盤上的數(shù)據(jù)，并保護證據(jù)和創(chuàng)建報告。

　　可以從JPEG文件中提取EXIF數(shù)據(jù)

　　可以復制可疑的磁盤，并進行取證分析

　　為VMware等虛擬化應(yīng)用提供運行捕獲映像功能。

　　13　　Wireshark

　　Wireshark最早開發(fā)于1998年，可取證調(diào)查和分析網(wǎng)絡(luò)數(shù)據(jù)包，并對網(wǎng)絡(luò)進行測試和故障排查，包括在封裝數(shù)據(jù)結(jié)構(gòu)的三窗格數(shù)據(jù)包瀏覽器中檢查數(shù)百種協(xié)議。

　　應(yīng)用特點

　　Wireshark可以與多平臺兼容，支持Windows、Linus、macOS、Solaris、FreeBSD和NetBSD。

　　具有網(wǎng)絡(luò)分析功能，可用于VoIP設(shè)備的取證分析。

　　Wireshark可以捕獲用gzip壓縮的文件，并導出為XML、CSV或純文本。

　　提供實時捕獲和離線分析，用戶可以看到網(wǎng)絡(luò)上發(fā)生的情況。

　　14　　Xplico

　　Xplico創(chuàng)立于2007年，這款網(wǎng)絡(luò)取證分析工具可通過數(shù)據(jù)包嗅探器重構(gòu)數(shù)據(jù)，擅長與端口無關(guān)的協(xié)議識別（PIPI），以重構(gòu)應(yīng)用程序數(shù)據(jù)來識別協(xié)議。作為一款免費開源工具，Xplico旨在從捕獲的互聯(lián)網(wǎng)流量中提取應(yīng)用程序數(shù)據(jù)。

　　應(yīng)用特點

　　Xplico支持HTTP、IMAP、POP、SMTP和IPv6等協(xié)議。

　　Xplico可創(chuàng)建XML文件，識別重新組裝的每個數(shù)據(jù)結(jié)構(gòu)中含有的數(shù)據(jù)流和pcap（輸入文件）。

　　提供多線程機制，沒有數(shù)據(jù)輸入限制。

　　可以從DNS包中執(zhí)行反向域名系統(tǒng)（DNS）查找。

　　15　　LogRhythm

　　LogRhythm公司以SIEM、威脅情報以及UEBA產(chǎn)品為主要業(yè)務(wù)，成立于2003年。目前，公司通過一項名為NetMon的方案添加了網(wǎng)絡(luò)取證功能，這是其整體安全解決方案的一部分，但也可以作為獨立的模塊來交付提供。

　　應(yīng)用特點

　　LogRhythm聚合數(shù)據(jù)包捕獲和派生的元數(shù)據(jù)，保存日志數(shù)據(jù)，并使用網(wǎng)絡(luò)取證傳感器填補空白。

　　LogRhythm會重點關(guān)注事件取證的平均響應(yīng)時間（MTTR）。

　　LogRhythm可以識別3000多個應(yīng)用程序及元數(shù)據(jù)，可以深入了解網(wǎng)絡(luò)會話。

　　基于腳本的深度數(shù)據(jù)包分析（DPA），可用于實現(xiàn)實時的檢測取證。

　　16　　Global Digital Forensic

　　Global Digital Forensic公司提供計算機取證分析和訴訟支持服務(wù)超過20年，支持目前幾乎所有數(shù)字化設(shè)備的取證服務(wù)，同時還提供電子發(fā)現(xiàn)服務(wù)、滲透測試和漏洞響應(yīng)服務(wù)。

　　應(yīng)用特點

　　Global Digital Forensic有自己的實驗室和全球響應(yīng)網(wǎng)絡(luò)，能夠針對各種IT環(huán)境中的幾乎任何信息化系統(tǒng)進行取證分析。

　　在部分國家，GDF取證結(jié)果可在司法訴訟中作為證據(jù)。

　　可以提供數(shù)據(jù)檢索和恢復服務(wù)。

　　可以為客戶提供取證準備和就緒情況的評估。

　更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<