2022年顶级数字取证和事件响应(DFIR)工具处置、数字取证软件有助于更快地解决问题并查明问题的根本原因。同时,由于互联网的发展和全球化,网络犯罪的形式也呈现多样化。可靠的数字取证分析工具可以帮助执法人员获取关键的数字证据,从而惩治犯罪分子。随着网络犯罪分子攻击的频率和严重程度的增加,数字取证市场目前正在发生变化,可以用两个词来概括:速度和准确性。如何尽快向调查人员提交违规证据是将网络犯罪分子绳之以法的关键,尤其是对于那些广泛使用的便携式移动设备。因此,安全人员通过将自动化技术整合到数字取证工作流程中来实现更快的取证,同时保留更完整的证据链。拥有一个可以收集、处理和审查所有类型的设备数据的协作取证平台正在成为组织优化其数字调查和取证流程的最佳方式。本文收集整理了当今国际市场上最流行的数字取证和事件响应(DFIR)软件工具,可以帮助企业打击网络犯罪,保护数字资产。1、ParabenParaben于1999年进入网络安全市场,专注于数字取证、风险评估和安全解决方案。Paraben的取证调查主要针对电子邮件、计算机、智能手机和物联网设备。应用特点:?ParabenE3取证平台实现对来自多个数据源的数据的简化分析。?为文件、十六进制、文本、RTF和电子邮件查看器启用散列数据库过滤、自动嵌入数据检测(OLE)。?可以为来自计算设备和云存储环境的数据收集提供远程访问。?对Xbox和AmazonEcho等产品的物联网取证支持,对谷歌、Dropbox和Slack的云取证支持。2.SleuthKit和AutopsySleuthKit(TSK)和Autopsy是两个流行的开源数字调查工具,其中SleuthKit可以帮助管理员通过许多用于调查磁盘映像的命令行工具库来分析文件系统数据,而Autopsy是一个图形用户界面(GUI)数字取证平台,用于调查补充TSK功能的公共和私人计算机系统。应用特点:?TSK提供广受好评的磁盘和数据捕获工具。?功能包括时间线分析、散列过滤、文件和文件夹标记以及多媒体提取。?Autopsy允许用户有效地分析硬盘驱动器和智能手机。?它的插件架构允许用户找到额外的模块,或者用Java或Python开发自定义模块。?TSK的核心功能是分析卷和文件系统数据。3.OpenTextOpenText成立于1991年,提供企业内容管理、网络、自动化、发现、安全和分析服务。OpenTextEnCase解决方案包括EndpointSecurity(端点检测和响应,EDR)、EndpointInvestigator(DFIR)、Forensic、MobileInvestigator和AdvancedDetection。这些解决方案有助于从多种类型的设备和硬盘中恢复证据,自动发现证据,深入分析证据,收集证据进行保存。应用特点:?EnCaseForensic已获得部分司法机构的认可,可用于从各种计算机设备中查找、解密、收集和保存法医数据,同时确保证据的完整性,并与司法调查流程相结合。?EnCase可以从多个来源获取证据并深入挖掘每个来源以发现潜在的相关信息。?用于快速查找证据的预定义或自定义标准和过滤器。?证据处理、集成的工作流程和灵活的报告都是EnCase提供的功能。?该平台按重要性对证据进行排名。4.MagnetForensicsMagnetForensics由加拿大退休警官创立,主要为公共和私人机构提供数字取证调查工具。产品包括用于事件响应的MagnetAxiomCyber??、MagnetAutomatedEnterprise和用于分类的MagnetIgnite。应用特点:?应用广泛,在全球100多个国家和地区拥有4000多家客户。?支持多种数字取证来源,而不仅仅是Linux和Windows操作系统。?可用于远程捕获事件并从计算机、云和移动设备中恢复和分析证据。?一种自动化解决方案,可用于在发生安全事件后从多个端点同时收集和处理证据。?执行快速远程扫描并执行端点的初始分析。5.CAINEComputerAidedInvestigativeEnvironment(CAINE)是一个基于Ubuntu和Linux的开源分发工具,用于数字取证。CAINE可以与现有的各种Windows、Linux和Unix系统版本安全工具集成。应用特点:?CAINE提供从随机存取存储器(RAM)中自动提取时间线的功能。?是一个可互操作的环境,在数字调查的四个阶段支持数字调查人员。?所有模块设备都被锁定为只读模式。?具有图形化操作界面,简单易用?可确保相关磁盘受到保护,避免意外的读写操作。6.Kroll计算机取证Kroll的计算机取证工具和专家服务可以让各种数字证据不被忽视,并在调查或诉讼过程的各个阶段提供取证帮助,无论数据源多么复杂。应用特点:?可以结合使用计算机取证专业知识和传统调查技术来分析物理和数字证据,以找出事件的细节。?基于防御的解决方案可用于识别和安全存储电子数据。?满足复杂环境下电子侦查取证分析或取证取证的数据采集需求。?当数据被有意或无意地删除或篡改时,Kroll也可以通过分析留下的数字线索找到关键信息。?提供7*24小时专家服务,为客户担任专家证人或特约专员。7.SIFT工作站SIFT工作站是一套免费和开源的事件响应和取证工具,用于执行数字取证检查。SIFTWorkstation提供一系列免费和开源的DFIR解决方案,还提供多种部署选项,包括虚拟机、Ubuntu上的本机安装或通过Linux子系统安装。应用特点:?可在64位操作系统上运行,自动更新软件,添加最新的取证工具和技术,还可以帮助内存优化。?SIFT工作站应用广泛,下载量超过125,000次。?SIFT工作站主要用作SANS事件响应、网络取证和网络威胁情报培训的一部分。?可以分析文件系统、网络证据和内存映像等。?支持NTFS、ISO9660CD、HFS和FAT等文件格式。8.ExterroExterro专注于基于工作流的软件和治理风险合规(GRC)解决方案,这在协助内部法律团队、简化合规流程和控制风险方面特别有价值。Exterro的产品涵盖电子发现、隐私保护、风险管理和数字取证。该公司的FTK取证产品功能包括Mac和移动数据调查、远程代理端点收集、可扩展数据处理环境(DPE)和自动化工作流程。应用特性:?Exterro的运行符合SOC2类型2认证和FedRAMP授权。?产品分为多个模块:FTKImager、FTKLab、FTKCentral、FTKEnterprise和FTKConnect?产品在数字取证领域应用超过30年,用于对可重复性有要求的取证调查和高可靠性。?所有FTK解决方案都具有快速数据处理的特点,包括提取移动数据。?可以提供远程端点调查、分类、收集和修复功能。9.VolatilityVolatility是一种命令行内存分析和取证工具,用于从内存转储中提取信息。用于事件响应和恶意软件分析的取证框架是用Python编写的,支持MicrosoftWindows、MacOSX和Linux。操作系统。应用特点:?无需安装Python脚本解释器。?内存取证技术使调查人员能够使用RAM数据分析系统运行时状态。?了解有助于改进工具应用程序功能的操作系统内部结构、恶意代码和异常情况。?嵌入式API可用于查找页表条目(PTE)标志。?Volatility支持内核地址空间布局随机化(KASLR)。10.X-WaysX-WaysForensics是计算机取证检查员的工作环境,基于WinHex十六进制和磁盘编辑器,可以提供额外的磁盘和数据捕获软件、克隆、映像等工具。应用程序功能?无需安装即可在插入任何Windows系统的USB闪存驱动器上运行的便携式应用程序。?计算机取证检查员可以使用X-Ways共享数据并与调查人员协作。?可在WindowsXP/2003/Vista等老版本操作系统下运行。?能够自动检测丢失或删除的分区。11.CellebriteCellebrite成立于1999年,专门为需要收集、审查、分析或管理设备数据的组织提供移动设备取证服务。数字情报调查平台有助于统一调查生命周期并保存数字证据。应用程序功能:?Cellebrite通用取证设备(UFED)可以提取物理和逻辑数据。?恢复方法包括专用引导加载程序、自动紧急下载(EDL)功能和智能Android调试桥(ADB)。?Cellebrite在Windows和Mac上提供取证分析功能。?您可以搜索互联网历史、下载、最近搜索的内容、热门网站、位置、媒体、消息、回收站、USB连接和其他信息。?提供AI辅助图片视频分类过滤,支持全盘加密等功能。12.ProDiscoverProDiscover成立于2001年,旨在帮助公共和私人组织打击数字犯罪。截至2022年,这家总部位于印度的供应商在70多个国家和地区开展业务。ProDiscoverForensics从计算机系统中获取用于法医调查的证据,以收集、保存、过滤和分析证据。应用特点:?ProDiscover提供三种产品,专注于计算机取证、事件响应、电子发现和公司政策合规调查。?ProDiscover在计算机磁盘上查找数据、保护证据并创建报告。?可以从JPEG文件中提取EXIF数据?可以复制可疑磁盘并进行取证分析?为VMware等虚拟化应用程序提供运行捕获图像功能。13.WiresharkWireshark于1998年首次开发,它可以对网络数据包进行取证调查和分析,并对网络进行测试和故障排除,包括在封装数据结构的三窗格数据包浏览器中检查数百个协议。应用特点:?Wireshark兼容多种平台,支持Windows、Linus、macOS、Solaris、FreeBSD和NetBSD。?具有网络分析功能,可用于VoIP设备的取证分析。?Wireshark可以捕获使用gzip压缩的文件并导出为XML、CSV或纯文本。?提供实时捕获和离线分析,用户可以看到网络上发生了什么。14.XplicoXplico成立于2007年。这个网络取证分析工具可以通过数据包嗅探器重建数据。擅长端口无关协议识别(PIPI)重构应用数据识别协议。Xplico是一款免费的开源工具,旨在从捕获的互联网流量中提取应用程序数据。应用特点:?Xplico支持HTTP、IMAP、POP、SMTP和IPv6等协议。?Xplico可以创建XML文件,识别每个数据结构中包含的数据流和pcaps(输入文件)重新组装。?提供多线程机制,无数据输入限制。?可以从DNS数据包执行反向域名系统(DNS)查找。15.LogRhythmLogRhythm成立于2003年,主营业务为SIEM、威胁情报和UEBA产品。目前,该公司正在通过名为NetMon的程序添加网络取证,该程序是其整体安全解决方案的一部分,但也可以作为独立模块提供。应用程序功能:?LogRhythm聚合数据包捕获和派生元数据,保存日志数据,并使用网络取证传感器来填补空白。?LogRhythm侧重于事件取证的平均响应时间(MTTR)。?LogRhythm可以识别3,000多个应用程序和元数据,从而深入了解网络会话。?基于脚本的深度数据包分析(DPA),可用于实现实时检测和取证。16.GlobalDigitalForensicGlobalDigitalForensic提供计算机取证分析和诉讼支持服务超过20年,支持几乎所有数字设备的取证服务,同时也提供电子发现服务、渗透测试和漏洞响应服务。应用特点:?全球数字取证拥有自己的实验室和全球响应网络,可以对各种IT环境下的几乎任何信息系统进行取证分析。?在某些国家/地区,GDF取证结果可用作司法程序中的证据。?可以提供数据检索和恢复服务。?可以为客户提供取证准备和准备情况的评估。
