[出自:jiwo.org]

“

拷问数据，它自然会坦白。

——罗纳德·考斯

网络取证，顾名思义，就是为非法行为发生后的调查收集证据。网络/计算机取证是数字取证科学的一个分支，为提升网络安全而生。2002年出版的《计算机取证》一书中，计算机取证被定义为：对计算机数据的保存、鉴别、抽取、归档和解释。

那么，取证调查员干些什么呢？

他们基本上就是遵循一定的调查标准流程。首先，将被感染设备从网络中物理隔离出来，给设备做个备份，并保证设备不会被外部入侵所污染。一旦保住了设备，设备本身就留待进一步处理，而调查都是在克隆的设备上做的。

为更好地理解计算机上的东西，我们可以假设计算机是忠实的见证者，而且绝对不会骗人。除非被什么外部人士操纵，否则网络/计算机取证的唯一目的，就是搜索、保存并分析从受害设备上获取到的信息，并将这些信息用作证据。

于是，这些计算机取证专业人士都用的是什么工具呢？信息安全研究所给我们列出了一张单子，内含7种常用工具，并附有简要描述及主要功能介绍。

1. SIFT - SANS调查取证工具包

SIFT具备检查原始磁盘（比如直接从硬盘或其他任何存储设备上获取的字节级数据）、多种文件系统及证据格式的能力。该工具包基本基于Ubuntu系统，是包含了执行深度取证调查或响应调查所需工具的一张 Live CD。SIFT工具包最值得赞赏的就是：开源&免费。

SIFT堪比SANS高级事件响应课程中主打的任何现代事件响应及取证工具套装。那么，SIFT都支持哪些证据格式呢？从高级取证格式(AFF)到RAW(dd)证据格式都支持！

SIFT的主要特点有：

• 基于 Ubuntu LTS 14.04；

• 支持64位系统；

• 内存利用率更高；

• 自动数字取证及事件响应(DFIR)包更新及自定义设置；

• 最新的取证工具和技术；

• 可用 VMware Appliance 进行取证；

• 兼容Linux和Windows；

• 可选择通过(.iso)镜像文件单独安装或经 VMware Player/Workstation 使用ReadTheDocs上有在线文档项目；

• 扩展了支持的文件系统。

https://digital-forensics.sans.org/community/downloads

2. ProDiscover Forensic

ProDiscover Forensic 是可在给定计算机存储磁盘上定位全部数据，同时还能保护证据并产生文档报告的计算机/网络安全工具。

该工具可以从受害系统中恢复任意已删除文件并检查剩余空间，还可以访问 Windows NTFS 备用数据流，预览并搜索/捕获（比如截屏或其他方式）硬件保护区(HPA)的进程。ProDiscover Forensic 有自己的技术来执行这些操作。

任何系统或组织中对数据的硬件防护都是非常重要的事，想突破硬件防护并不容易。ProDiscover Forensic 在扇区级读取磁盘，因而没有数据可以在该工具面前隐身。

ProDiscover Forensic 的主要功能有：

• 创建包含隐藏HPA段（专利申请中）的磁盘比特流副本供分析，可以保证原始证据不受污染；

• 搜索文件或整颗磁盘（包括剩余空间、HPA段和 Windows NT/2000/XP 备份数据流），可进行完整的磁盘取证分析；

• 不修改磁盘任何数据（包含文件元数据）的情况下，预览所有文件——即便文件被隐藏或删除；

• 在文件级或磁盘簇级检查数据并交叉对比，以确保没漏掉任何东西，即便是在磁盘剩余空间中；

• 使用Perl脚本自动化调查任务。

https://www.arcgroupny.com/products/prodiscover-forensic-edition/

3. Volatility Framework

Volatility Framework 是黑帽独家发布的一个框架，与高级内存分析及取证直接相关。后者基本上就是分析受害系统中的易变内存。易变内存或易变数据是频繁刷新的数据，就是在重启系统时可能丢失的那些数据。对此类数据的分析可以采用 Volatility Framework 进行。该框架向世界引入了使用RAM(易变内存)数据监视运行时进程和任意系统状态的强大力量。

该框架也为数字调查员提供了高效进行取证研究的独特平台。国家司法机构、国防力量或全球任意商业调查机构都使用该工具。

Volatility Framework 的主要特点有：

• 内聚的单一框架；

• 遵从开源 GPLv2 许可；

• 以Python语言编写；

• Windows、Linux、Mac可用；

• 可扩展可脚本化的API；

• 无可匹敌的功能集；

• 文件格式涵盖全面；

• 快速高效的算法；

• 严谨强大的社区；

• 专注取证/事件响应/恶意软件。

https://github.com/volatilityfoundation/volatility

4. Sleuth Kit (+Autopsy)

命令行接口是与计算机程序互操作的一种模式。命令行模式下，用户/客户端向程序发送连续的文本行，也就是编程语言中的指令。

Sleuth Kit 就是此类命令行接口/工具的集合。该工具可以检查受害设备的磁盘镜像，恢复出被破坏的文件。Sleuth Kit 一般与其他很多开源或商业取证工具一起用在Autopsy数字取证平台中。

Autopsy也是 Sleuth Kit 的图形用户接口，可令硬盘和智能手机分析工作更加高效。

Autopsy功能列表：

• 多用户情形：可供调查人员对大型案件进行协作分析；

• 时间线分析：以图形界面显示系统事件，方便发现各类活动；

• 关键词搜索：文本抽取和索引搜索模块可供发现涉及特定词句的文件，可以找出正则表达式模式；

• Web构件：从常见浏览器中抽取Web活动以辅助识别用户活动；

• 注册表分析：使用RegRipper来找出最近被访问的文档和USB设备；

• LNK文件分析：发现快捷方式文件及其指向的文件；

• 电子邮件分析：解析MBOX格式信息，比如Thunderbird；

• EXIF：从JPEG文件中抽取地理位置信息和相机信息；

• 文件类型排序：根据文件类型对文件分组，以便找出全部图片或文档；

• 媒体重放：不用外部浏览器就查看应用中的视频和图片；

• 缩略图查看器：显示图片的缩略图以快速浏览图片。

https://www.sleuthkit.org/