计算机取证工具

计算机取证工具报告作为安全维护人员，要想知道怎样最好的使用计算机取证工具首先要知道的是计算机取证工具应工作在万能的，灵活的，生命力旺盛的操作系统，文件系统的环境下，同时我们还应当掌握好我们所需要分析的应用文件的种类:如果我们要取证的对象具有从单一的功能成分到复杂的计算机系统和服务，我们就应当采用硬件取证工具；如果我们想要知道取证对象所输入的命令行，图形用户界面等，我们就需要采用软件取证工具。取证工具还应具有大容量或适宜容量的版本，其自动化功能要非常的理想，此外，还应确保我们所购买商品的卖主的名声要非常的好。这样才能保证计算机取证工具存活在一个非常健康的环境中，适当的发挥其作用。一、 评价使用计算机取证工具的需求寻找万能的，灵活的，精力充沛的操作系统，文件系统，版本容量，自动化的功能，卖主的名声二、 掌握好你所要分析的应用文件的种类计算机取证工具的种类：硬件取证工具，从单一功能的成分到复杂的计算机系统和服务软件取证工具：类型：命令行，图形用户界面：经常用于将数据从嫌疑人的光驱上变成图像文件。专用的(SafeBack-Diskacquisitiononly),普遍的(Encase，FTK)DigitalIntelligenceUltraKitDigitalIntelligenceF.R.E.D.(ForensicRecoveryofEvidenceDevice)DigitalIntelligenceF.R.E.D.D.I.EForensicRecoveryofEvidenceDevice(DiminutiveInterrogationEquipment)DigitalIntelligenceFREDLDigitalIntelligenceFREDSrDigitalIntelligenceFREDMDIBSUSA三、 计算机取证软件的工作获取：为了得到罪犯不法记录的证据，计算机取证要求我们得到的可能是数据的逻辑或物理版本格式，或者是是用户图层界面，或者是命令行的获取，及远距离的信息获取。其中物理数据要求得到的是整个驱动装置的信息，逻辑数据是磁盘的部分信息。计算机取证工具的用途：获取，验证和描述，抽取，重建，报告获取：1、 逻辑数据版本(copy)数据获取格式命令行获取图形用户界面获取远距离的获取2、 校验3、 两种数据复制方法在软件取证中的应用整个磁盘的物理复制部分磁盘的逻辑复制4、 千变万化的磁盘取证形式从原始数据到卖主专用的私有压缩数据。5、 使用任何十六进制的编辑器你都可以浏览到未经修改的文件夹的内容。6、 现在能买到的获取工具都是具有讲一个文件分割到好几个小部分的特征。7、 每一种计算机取证工具都有一种校验数据复制过程的功能。（二） 辨别和描述1、 验证保证所复制的数据的完整性2、 数据的描述包括分类和调查全部的调查数据3、 验证使所有的描述成为正确的如果没有调查，那么你就不可能说明数据的作用4、 其他的一些功能（1） 哈希值CRC-32,MD5,SecureHashAlgorithms（2） 过滤建立在哈希值的基础上的（3） 分析文件的标题根据他们的类型对文件进行分类（4） 全国软件参考图书馆（NSRL）编写了已知的文件名单切细为各种各样OSs、应用和图象（5） 很多的计算机取证工具项目中包含一些普通的标题评估列表如这样的文件：你可以很清楚一个文件具有这种文件扩展名是否正确（6） 大多数的取证工具能验证标题的评估过程（三） 抽取，析出很多时候我们会问为什么要进行数据的抽取，下面是抽取数据的重要性1、 在计算机调查中恢复计算机原本的工作内容2、 有时候在调查的过程中需要掌握很多的工作内容3、 恢复数据往往在调查中是第一步4、 其他的一些作用（1） 数据浏览在进行数据浏览的过程中，我们应知道1.1数据被怎样的浏览时取决于我们使用的是什么样的工具1.2磁盘间谍一一逻辑结构1.3装入/FTK——多样性浏览器（2） 关键字搜查在关键字的搜索的过程中，是很容易就可以加快分析或调查的速度的，但是在使用关键字的搜索的过程中，我们也需要掌握：2.1保证恢复关键字的准确性2.2这个过程可能会非常的耗费时间并且很发杂2.3必须明确使用的工具是否能完成直接搜索或调查2.4使用索引可以提升搜索的速度（但是这需要更长的分析时间）（3） 解压，减压这部分工作的内容如下：3.1FTK能解压档案文件和封锁的文件，而装入技术却不行3.2装入技术要求创建原本，而解压技术则没有此种规则（4） 刻录下面是一些刻录的要求和内容以及其重要性4.1重建已删除的文件中或其他的一些没有定位空间的图标的信息4.2可能需要用到一些文件标题中的一些信息（5） 翻译，解密下面是对解密技术的一些相关的技术要求：5.1很有可能在文件上，隔离空间或磁盘上的一些数据等都很重要5.2许多密码补救工具有引起密码列出是潜在的一个特点（FTK），引起密码库的被攻击5.3如果密码库遭到工具，你就可能会遭遇暴力攻击的经历（6） 作标签在第一次找到证据的时候就在一下标签，以方便下来的引用或报告的工作（四） 重构，恢复机制1、 重新构建犯罪嫌疑人的驱动等来显示在犯罪或事故的时间段内，嫌疑人在干什么？2、 其他的一些功能（1） 磁盘对磁盘的复制（2） 镜像对磁盘的复制（3） 部分对部分的复制（4） 镜像对部分的复制3、 一些被用作于镜像对磁盘的工具SafeBack,SnapBack,EnCase,FTKImager，ProDiscover（五） 报告1、 为了完成对磁盘取证的分析和测试，我们需要建立一个报告2、 一些其他的作用（1） 原报告（2） 报告大概的事件3、 这份报告可以作为你调查的最终的报告结果（六） 计算机取证工具的一些其他的内容1、 考虑的内容（1） 灵活性（2） 可靠性（3） 可扩展性（4） 在你的工具中表留一个老版本的库2、 建立一个软件的库包括老版本的取证工具设施，操作系统和其他的一些项目3、 基本的一些策略：命令行，如DOS,LINIX/UNIX，或者图形用户界面四、计算机软件取证工具1、 第一个可以从封装的粗盘里或硬盘中读取并分析数据的工具是用于IBM个人电脑的文件系统的MS-DOS工具2、 诺顿的磁盘编辑器第一个MS-DOS工具用于计算机调查的一种工具3、 优点命令行工具需要很少的文件系统资源：在一种很小的形势下运行4、 *NIX的命令行工具：此种工具收到越来越多的家庭用户的青睐，很多不同版本的操作系统可以使用5、 *NIX取证工具*NIX平台在很久之前就成为命令行操作系统的基础SMART:很多版本的LINUX可以被安装，linux可以分析很多SMART的文件系统，很多的插入设施要求敏捷度，SMART的十六进制浏览器中有一些其他的有用的选择。Helix：一种最简单开始适配器，你可以在一个活动的Windows系统下载它Autopsy是图形用户界面或者是浏览器用作于使用SleuthKit's的工具SleuthKit是LINUX取证工具Knoppix—STD：一种安全措施，包括计算机或者网络取证的收集6、 其他的图形用户界面取证工具计算机取证的调查分类帮助开始的调查他们大多数的是以一整套的工具出现的优点：很容易使用，可以多任务处理，没有必要学习旧的操作系统缺点：过度的需要资源，产生必然的一些问题，产生工具的依赖性五、 计算机硬件取证工具为什么会产生计算机的硬件取证工具，相信很多的计算机取证人员都是相当的清楚地:随着技术的变化的越来越快，硬件最终还是出现了问题，如日程安排上的设备的替代，当你计划你的预算时就要考虑如果硬件不再可以用，咨询和维护的费用，设备的更新的费用，这些都在一步步的将计算机硬件取证工具牵扯上计算机的取证的舞台。六、 取证的工作区或其环境在安全维护人员熟悉了解计算机取证的不同的类型之后，还需要很好的掌握取证的工具，以便在不同的环境中选择最好最实用的取证设备，只有这样才能在损失或花费最小的情况下保证取得证据是准确的完整的。在考虑计算机取证前，我们在考虑取证的环境中我们需要做到以下的几点要求：1、 认真的想清楚我们到底需要的是什么？2、 得到的证据的形态：静态的；动态的，轻便的3、 衡量一下你所需要的和你的计算机系统可以处理的东西是否适应具体的集中取证的环境1、 警务处的实验室：需要非常多的选择，用几台个人的计算机的去构造2、 四人合作的实验室：衡量一下唯一的一种在组织中使用的系统的类型3、 除了一个软件实验室还要保留一个硬件实验室分析一下取证环境的程度1、 它并不是听起来那么具有难度2、 优点：满足你的需求的同时做到节省开支3、 缺点：很难找到问题支持的物件，如果你不小心，很有可能会造成很大的浪费4、 此外还必须认证你到底想要去分析的是什么，然后你工具你可以找到卖主去购买，当你的工具出现问题时卖主很可能解决你的燃眉之急5、 运用一个写阻止的工具：可以很容易的阻止使用者使用任何的写工具适用于取证工作区的一些推荐的方法1、 要知道你的数据获取要在什么地方进行2、 知道数据获取的技术：USB2.0，firewire33、 扩展设备需求，其中还必须使用电池来提供能量4、 如果你有受限制的预算，还将推荐你使用PCs等等一些其他的方法七、取证的一些常见的工具就目前来看，在遭受攻击的单位中，有很多人员还不知道自己遭受了攻击。许多人相信，主要的攻击来自于公司外部。其实，很多重大的损害来自于内部。人称祸起萧墙。那么，安全人员面临的挑战就是如何找到这些攻击，并判断其进入系统的方法和途径。因为桌面用户用得最多的是Windows系统,所以我们要看几个可以针对这种系统进行取证的简单工具。下面列举了国外五款著名免费计算机取证工具介绍1、 LiveView使用此软件首要的一点是为用户的现有系统创建一个虚拟机，还要结合使用开源的LiveView软件。此软件会检测用户的系统，如果没有检测到安装有VmwareServer1.x或工作站版本的虚拟软件，它会为用户下载一个。LiveView是一个基于Java的图形化的取证工具，它可以创建原始磁盘映象或物理磁盘的一个VMware虚拟机。它准许取证人员可以启动这个镜象或磁盘，并获得一个交互性的、用户级的环境视图。因为对磁盘的所有更改都被写往一个独立的文件，检查人员可以很快地恢复到磁盘的原始状态。其最终的结果是用户不需要创建额外的磁盘映象来构建虚拟机。不过，目前此软件仅支持Windows2003、XP、2000等系统，也Linux也仅是有限支持。2、 OpenFilesView这是一款可以列示系统上所有基于本地或网络的文件。此软件只有区区82.88k,其安装后的界面如图：此外，如果与网络连接的过程中，打开此软件可以监视网络进程，如果用户怀疑某进程有问题，可以在其上单击，如图：

昼OpcneilFilfisTie*FileEdit底iew^liomsKelpHandle匚怛仪〕Ian[1J.hbnC:\D0c™™iswdS*11 \L&cnlEettin.gsV...2006-11-20C:h3231oij.fst^CA9CS7}(5.3BftuJt帕:®EAOFURSD.M恥*"1cbangB.loglehhJt^.lag^DEFAULTijnEfiVLT.LOG:dsmem20D@12C^^seSelected!FileKaddlesKiillProcessesOfSelec七芒启FilesSave：Sc-lcctftdliens£^pyS^lecledIl&ns：HTMLReport-AllItemsHTMLRs-piirl=SelectedIt«m±Clrl+SCtrl+C0k]1^ciT/A2OO0-12-&2jaesas...I6B89...Handle匚怛仪〕Ian[1J.hbnC:\D0c™™iswdS*11 \L&cnlEettin.gsV...2006-11-20C:h3231oij.fst^CA9CS7}(5.3BftuJt帕:®EAOFURSD.M恥*"1cbangB.loglehhJt^.lag^DEFAULTijnEfiVLT.LOG:dsmem20D@12C^^seSelected!FileKaddlesKiillProcessesOfSelec七芒启FilesSave：Sc-lcctftdliens£^pyS^lecledIl&ns：HTMLReport-AllItemsHTMLRs-piirl=SelectedIt«m±Clrl+SCtrl+C0k]1^ciT/A2OO0-12-&2jaesas...I6B89...Ox他0x3c0k39QGx2210x2202QO8-I2-622008-12-1I20OB-12-5BS0O5-4-2412005-4-2416^dsmoiiw200ej2„6超dEmflit_3003_12_68x1bsit.mi总idst・E；£t.dllgd^tnsft.dll弩dxtr&ns.dlldb(trans,dill石diitSriliS.dllI'rfj'FjEszitTiUalIj^FlashlOafF软件对文件的多种属性进行呼描述，如句柄、进程1ID、删除共享等。在确信了某ChooseCulnm^s恤toSizeCGluffliiEClrl+PluEAlt+EnUr.OCX£ilePropertiesK-efreshFSnCiimp...ACump...\Comp...O5c57OOk280Ok2800x58^1OkTM0k1CU40x591OkTde20OB-12-GS2006-12-692006-1日2004-6-8200^-8-82Q04-S-S200<l-8-82004-6-84r4-4.4.-_C!AuifflIIWStsv5l«'32\dj*trMtE.iLlCoGp-utie门.D:\HyD«cumen官EsEe-nli^lCowpiaterFor™...C:\WlMBOViSVsysleffi32\Maeramed\FlaishiVflashlOa.ocxCbieS零Gx4b40x6eS2004-8-84:2008-1?-!(2n06-10-5Iof是可疑句柄之后,，可以单击“°K”按钮。冉次在此文件上右击，选择'“inprocessesselectedfilesBoof4、 Helix此工具就是大名鼎鼎的UbuntuLinux的定制版本。它不仅仅是一个可启动的CD工具，我们还可以通过它启动进入一个包含内核、优秀的硬件检测程序以及一些专用的事件响应和取证方面的应用程序。它可被用于检查磁盘，看看有什么发生了变化。系统的取证关键是找到什么方面受到了损害。知道受到了攻击是一个方面，而找出这些攻击者对系统做了哪些手脚是至关重要的。这正是此工具的长处所在。其工作界面如下图所示：

WniiH*dEi^miwnalEfcE-ii乂3 匚apgs鸟fiania対旦卉⑧乙囚04032加尹沪J*BGM[rwrtIIrJiimi^b'i*1ifpIIiiai^it初防叮17F上』Mhehtaurt£rdtr：WniiH*dEi^miwnalEfcE-ii乂3 匚apgs鸟fiania対旦卉⑧乙囚04032加尹沪J*BGM[rwrtIIrJiimi^b'i*1ifpIIiiai^it初防叮17F上』Mhehtaurt£rdtr：;;l/L9!SrgIPUEPJHKKMNLNim：：刚皿阳3冃冲口w~»冲dIKEi|r>rU-Z^Efnr右4call]LxI.kr30Ix^MidinlO朋gWlhl^I{1U,E-KidiS&um；Odg“p間nj7t-d»woIInil唇座旦pfMkn洽曲負问.RinPifflHm...66-213.iOSJSl.19橫2LJJ042SI讥JT.2.H乐213.3H.^Er2.LT.£.2S快Al乩弼.241样二L3JD4.”EmITT?b1.FC4$Tl$£$pSj+icim7wrf-jAffifrPSTcwto«I*TZXkeAppsn^laCa畠呻xsh«戌僅at毎^^.ntu^Iriwer172.17.2.2^1?1.]72.2»破.旳汇7常.J51IT?.]；„2„2QS6.J3J-2W.S]1U.17②曲1TJ.37乳“fiGlTi.17,2-?1*s:m2g.AiUiJi2抻20J.itIP7.WHUFKPHP*T?PTCPTCP

TCPHT1*TCPTCP

TCfrKPHWHT'P/l.D26