5. CAINE（计算机辅助调查环境）

[出自:jiwo.org]

CAINE基于Linux系统打造，通常是包含了一系列取证工具的一张 Live CD。由于最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上，熟悉这些系统的人便可以无缝使用CAINE。

CAINE的主要功能有：

• CAINE界面——集成了一些著名取证工具的用户友好界面，其中很多工具都是开源的；

• 经过更新优化的取证分析环境；

• 半自动化的报告生成器。

https://www.caine-live.net/

6. Xplico

Xplico是又一款开源网络取证分析工具，可以重建Wireshark、ettercap等包嗅探器抓取的网络流量内容，来自任何地方的内容都可以。

Xplico的特性包括：

• 支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6协议；

• 端口无关的协议识别(PIPI)；

• 多线程；

• 可在SQLite数据库或Mysql数据库及文件中输出数据和信息；

• Xplico重组的每个数据都与一个XML文件相关联，该XML文件唯一标识了该数据流及包含该重组数据的pcap包；

• 对数据记录的大小或文件数量没有任何限制（唯一的限制只存在于硬盘大小）；

• 模块化。每个Xplico组件都是模块化的。

某些数字取证及渗透测试操作系统，如 Kali Linux、BackTrack等，默认安装了Xplico。

https://www.xplico.org/

7. X-Ways Forensics

X-Ways Forensics 是取证调查人员广泛使用的高级工作平台。调查人员使用取证工具包时面对的问题之一，就是这些工具往往很耗资源，很慢，还不能探查到所有角落。而 X-Ways Forensics 就不怎么占资源，更快，还能找出所有被删除的文件，还有其他一些附加功能。该取证工具用户友好，完全可移植，可以存放在U盘中，在Windows系统上无需任何额外的安装。

X-Ways Forensics 的主要特点包括：

• 磁盘克隆与镜像；

• 能读取RAW(.dd)镜像文件、ISO、VHD和VMDK镜像中的分区和文件系统结构；

• 可读取磁盘、磁盘阵列和超过2TB的镜像；

• 自动识别丢失/已删除的分区；

• 可用模板查看并编辑二进制数据结构；

• 递归浏览所有子目录中的所有现有及已删除文件。

http://www.x-ways.net/forensics/index-c.html