拷问数据,它自然会坦白。

——罗纳德·考斯

网络取证,顾名思义,就是为非法行为发生后的调查收集证据。网络/计算机取证是数字取证科学的一个分支,为提升网络安全而生。2002年出版的《计算机取证》一书中,计算机取证被定义为:对计算机数据的保存、鉴别、抽取、归档和解释。

那么,取证调查员干些什么呢?

他们基本上就是遵循一定的调查标准流程。首先,将被感染设备从网络中物理隔离出来,给设备做个备份,并保证设备不会被外部入侵所污染。一旦保住了设备,设备本身就留待进一步处理,而调查都是在克隆的设备上做的。

为更好地理解计算机上的东西,我们可以假设计算机是忠实的见证者,而且绝对不会骗人。除非被什么外部人士操纵,否则网络/计算机取证的唯一目的,就是搜索、保存并分析从受害设备上获取到的信息,并将这些信息用作证据。

于是,这些计算机取证专业人士都用的是什么工具呢?信息安全研究所给我们列出了一张单子,内含7种常用工具,并附有简要描述及主要功能介绍。

1. SIFT – SANS调查取证工具包

SIFT具备检查原始磁盘(比如直接从硬盘或其他任何存储设备上获取的字节级数据)、多种文件系统及证据格式的能力。该工具包基本基于Ubuntu系统,是包含了执行深度取证调查或响应调查所需工具的一张 Live CD。SIFT工具包最值得赞赏的就是:开源&免费。

SIFT堪比SANS高级事件响应课程中主打的任何现代事件响应及取证工具套装。那么,SIFT都支持哪些证据格式呢?从高级取证格式(AFF)到RAW(dd)证据格式都支持!

SIFT的主要特点有:

  • 基于 Ubuntu LTS 14.04;

  • 支持64位系统;

  • 内存利用率更高;

  • 自动数字取证及事件响应(DFIR)包更新及自定义设置;

  • 最新的取证工具和技术;

  • 可用 VMware Appliance 进行取证;

  • 兼容Linux和Windows;

  • 可选择通过(.iso)镜像文件单独安装或经 VMware Player/Workstation 使用ReadTheDocs上有在线文档项目;

  • 扩展了支持的文件系统。

https://digital-forensics.sans.org/community/downloads

2. ProDiscover Forensic

ProDiscover Forensic 是可在给定计算机存储磁盘上定位全部数据,同时还能保护证据并产生文档报告的计算机/网络安全工具。

该工具可以从受害系统中恢复任意已删除文件并检查剩余空间,还可以访问 Windows NTFS 备用数据流,预览并搜索/捕获(比如截屏或其他方式)硬件保护区(HPA)的进程。ProDiscover Forensic 有自己的技术来执行这些操作。

任何系统或组织中对数据的硬件防护都是非常重要的事,想突破硬件防护并不容易。ProDiscover Forensic 在扇区级读取磁盘,因而没有数据可以在该工具面前隐身。

ProDiscover Forensic 的主要功能有:

  • 创建包含隐藏HPA段(专利申请中)的磁盘比特流副本供分析,可以保证原始证据不受污染;

  • 搜索文件或整颗磁盘(包括剩余空间、HPA段和 Windows NT/2000/XP 备份数据流),可进行完整的磁盘取证分析;

  • 不修改磁盘任何数据(包含文件元数据)的情况下,预览所有文件——即便文件被隐藏或删除;

  • 在文件级或磁盘簇级检查数据并交叉对比,以确保没漏掉任何东西,即便是在磁盘剩余空间中;

  • 使用Perl脚本自动化调查任务。

https://www.arcgroupny.com/products/prodiscover-forensic-edition/

3. Volatility Framework

Volatility Framework 是黑帽独家发布的一个框架,与高级内存分析及取证直接相关。后者基本上就是分析受害系统中的易变内存。易变内存或易变数据是频繁刷新的数据,就是在重启系统时可能丢失的那些数据。对此类数据的分析可以采用 Volatility Framework 进行。该框架向世界引入了使用RAM(易变内存)数据监视运行时进程和任意系统状态的强大力量。

该框架也为数字调查员提供了高效进行取证研究的独特平台。国家司法机构、国防力量或全球任意商业调查机构都使用该工具。

Volatility Framework 的主要特点有:

  • 内聚的单一框架;

  • 遵从开源 GPLv2 许可;

  • 以Python语言编写;

  • Windows、Linux、Mac可用;

  • 可扩展可脚本化的API;

  • 无可匹敌的功能集;

  • 文件格式涵盖全面;

  • 快速高效的算法;

  • 严谨强大的社区;

  • 专注取证/事件响应/恶意软件。

https://github.com/volatilityfoundation/volatility

4. Sleuth Kit (+Autopsy)

命令行接口是与计算机程序互操作的一种模式。命令行模式下,用户/客户端向程序发送连续的文本行,也就是编程语言中的指令。

Sleuth Kit 就是此类命令行接口/工具的集合。该工具可以检查受害设备的磁盘镜像,恢复出被破坏的文件。Sleuth Kit 一般与其他很多开源或商业取证工具一起用在Autopsy数字取证平台中。

Autopsy也是 Sleuth Kit 的图形用户接口,可令硬盘和智能手机分析工作更加高效。

Autopsy功能列表:

  • 多用户情形:可供调查人员对大型案件进行协作分析;

  • 时间线分析:以图形界面显示系统事件,方便发现各类活动;

  • 关键词搜索:文本抽取和索引搜索模块可供发现涉及特定词句的文件,可以找出正则表达式模式;

  • Web构件:从常见浏览器中抽取Web活动以辅助识别用户活动;

  • 注册表分析:使用RegRipper来找出最近被访问的文档和USB设备;

  • LNK文件分析:发现快捷方式文件及其指向的文件;

  • 电子邮件分析:解析MBOX格式信息,比如Thunderbird;

  • EXIF:从JPEG文件中抽取地理位置信息和相机信息;

  • 文件类型排序:根据文件类型对文件分组,以便找出全部图片或文档;

  • 媒体重放:不用外部浏览器就查看应用中的视频和图片;

  • 缩略图查看器:显示图片的缩略图以快速浏览图片。

https://www.sleuthkit.org/

5. CAINE(计算机辅助调查环境)

CAINE基于Linux系统打造,通常是包含了一系列取证工具的一张 Live CD。由于最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上,熟悉这些系统的人便可以无缝使用CAINE。

CAINE的主要功能有:

  • CAINE界面——集成了一些著名取证工具的用户友好界面,其中很多工具都是开源的;

  • 经过更新优化的取证分析环境;

  • 半自动化的报告生成器。

https://www.caine-live.net/

6. Xplico

Xplico是又一款开源网络取证分析工具,可以重建Wireshark、ettercap等包嗅探器抓取的网络流量内容,来自任何地方的内容都可以。

Xplico的特性包括:

  • 支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6协议;

  • 端口无关的协议识别(PIPI);

  • 多线程;

  • 可在SQLite数据库或Mysql数据库及文件中输出数据和信息;

  • Xplico重组的每个数据都与一个XML文件相关联,该XML文件唯一标识了该数据流及包含该重组数据的pcap包;

  • 对数据记录的大小或文件数量没有任何限制(唯一的限制只存在于硬盘大小);

  • 模块化。每个Xplico组件都是模块化的。

某些数字取证及渗透测试操作系统,如 Kali Linux、BackTrack等,默认安装了Xplico。

Home

7. X-Ways Forensics

X-Ways Forensics 是取证调查人员广泛使用的高级工作平台。调查人员使用取证工具包时面对的问题之一,就是这些工具往往很耗资源,很慢,还不能探查到所有角落。而 X-Ways Forensics 就不怎么占资源,更快,还能找出所有被删除的文件,还有其他一些附加功能。该取证工具用户友好,完全可移植,可以存放在U盘中,在Windows系统上无需任何额外的安装。

X-Ways Forensics 的主要特点包括:

  • 磁盘克隆与镜像;

  • 能读取RAW(.dd)镜像文件、ISO、VHD和VMDK镜像中的分区和文件系统结构;

  • 可读取磁盘、磁盘阵列和超过2TB的镜像;

  • 自动识别丢失/已删除的分区;

  • 可用模板查看并编辑二进制数据结构;

  • 递归浏览所有子目录中的所有现有及已删除文件。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。