数字取证的历史在不同的取证调查分支中已经发展了数十年,并已成为全球执法活动中非常重要的一部分。同时,由于互联网的发展和全球化,犯罪形式呈现多样化。借助免费的取证调查工具,执法人员可以通过电子设备获取关键的数字证据,将罪犯送进监狱。下面,我们列出了10种免费的取证调查工具,它们可以帮助打击网络犯罪和保护数字资产。10个免费数字调查取证工具SleuthKit(+Autopsy)ForensicInvestigatorAutopsyDumpzillaBrowserHistoryFTKImagerX-WaysForensicsCAINEToolsleyExifToolSleuthKit(+Autopsy)SleuthKit是使计算机系统的取证分析更容易的有用工具之一。它提供了一个图形用户界面来检查用户的硬盘驱动器和智能手机,还提供电子邮件分析和查找所有文档和图像。它还有助于显示图像的缩略图以快速查看每张图片,并且用户可以使用任意标签名称标记文件。该软件还允许用户通过短信、通话记录、联系人等提取数据,并按名称标记文件和文件夹。ForensicInvestigator如果用户使用Splunk,那么ForensicInvestigator将是一个非常方便的工具。这是一个非常有用的应用程序,包括许多其他工具,包括Ping、BannerGrabber、PortScanner、SNBShare、NetBIOSViewer、ping、VirusTotalFinder、URLDecoder/Parser、XOR/HEX/Base64转换器等。AutopsyAutopsy是其中之一基于GUI的开源数字取证程序的一部分,可通过智能手机和硬盘驱动器执行有效分析,主要用于调查计算机问题。目前全世界有成千上万的用户正在使用该工具。Autopsy主要是为端到端平台设计的,其中的模块开箱即用,供第三方使用。很少有模块通过网络威胁描述语言STIX提供时间线分析、数据雕刻、关键字搜索和指示等信息。DumpzillaDumpzilla是一种用Python3.x编写的取证工具。它仅从Iceweasel、Firefox和Seamonkey浏览器等少数浏览器中获取所有必要和有趣的信息,并且可轻松用于Linux、Windows和Mac。当与命令行界面一起使用时,可以使用grep、cut、sed、awk等少数工具将其转储并重定向到管道,从而使用户能够提取插件、cookie、书签、历史记录、密码、下载、表单填写数据和许多其他信息。Dumpzilla还允许导出数据以获取JSON文件或纯文本文件。如果用户需要高级过滤,可以轻松使用通配符和正则表达式。BrowserHistoryBrowserHistoryBrowserHistory是一款免费的取证调查工具,可以读取来自不同网络浏览器(如Googlechrome、InternetExplorer、MozillaFirefox、MicrosoftEdge、Opera等)的数据历史记录并显示在监视器中。浏览历史表包括标题、Web浏览器、用户配置文件、访问的URL、访问次数等。此浏览器历史允许查看用户配置文件,以便运行系统。它还可以从外部硬盘驱动器获取历史浏览。输出结果显示为可过滤的交互式图表和历史数据。FTKImagerFTKImager免费取证调查工具用作数据预览,可创建数据副本而无需任何更改,并始终尝试保留证据。它将硬盘映像保存在文件中并在以后重建它。FTKImager还可以计算MD5哈希值以确认数据完整性。为了检测网络犯罪,它提供了一种向导驱动的方法。使用此软件,用户可以获得更好的可视化效果,恢复100个应用程序的密码。它还配备了自动数据分析工具,可为不同的调查管理部门提供可重复使用的配置文件。X-WaysForensicsX-WaysForensics能够与他人协作,但前提是协作的每个人都拥有该工具。该软件可以读取分区并构建.dd映像文件。该工具可以访问磁盘和RAID,支持新技术文件系统(NTFS)和备用数据流(ADS)文件格式,支持书签或注释,以及分析远程计算机。用户还可以在使用模板的同时查看二进制数据,并提供保护以保持真实性。CAINE如果您正在寻找具有图形界面的完整取证环境,这个基于Ubuntu的应用程序CAINE可以帮助您。由于这是一个模块,该工具始终与遗留软件工具集成。它还通过数字调查功能自动从RAM中提取时间线,涵盖数字调查的四个阶段。该工具提供了一个用户友好的界面来自定义CAINE功能,该软件提供了不同类型的用户友好工具。ToolsleyToolsley非常受欢迎,包括十个有用的调查工具,例如文件标识符、文件签名验证器、二进制检查器、哈希和验证、文本编码、数据URI生成器、二进制检查器和密码生成器。ExifToolExifTool是一个命令行界面工具,可以帮助用户读取、编辑和写入文件类型的元信息。通过它,用户可以轻松读取GPS、IPTC、JFIF、PhotoshopIRB、FlashPix、GeoTIFF等类型的文件。它还支持许多不同的元数据格式,包括EXIF、GPS、IPTC、XMP、JFIF、GeoTIFF、ICCProfile、PhotoshopIRB、FlashPix、AFCP、ID3和Lyrics3,以及Canon、Casio、DJI和许多数码相机制造商注释,包括:FLIR、FujiFilm、GE、GoPro、HP、JVC/Victor、Kodak、Leaf、Minolta/Konica-Minolta、Motorola、Nikon、Nintendo、Ricoh、Samsung、Sanyo、Sigma/Foveon和Sony。希望以上工具能够帮助用户更有效地处理网络安全事件,提高调查效率。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
