法證工具
| 提示! | |
|---|---|
 |
| 提示! | |
|---|---|
 |
在數字取證分析師的早期,他們不得不使用現有的系統管理或資訊安全工具。 這些工具很多,但並不特別適合法證調查的更正式方法。 特別是,許多軟體需要您在即時系統上執行它,這會引入各種修改證據的問題(“獲取”在第一部分中詳細說明了即時分析的問題)。
然而,在 1980 年代和 1990 年代,該領域的資金增加和興趣促進了各種專業商業和免費軟體工具的開發。 這些通常可以分為三類
- 通用法證工具
- 允許在數字媒體上進行各種調查,特別是關鍵字搜尋的工具。
- 專業法證工具
- 專注於特定法證材料的調查 - 也許是影像或網際網路文物。 通常依賴於來自通用工具之一的輸出。
- 案件管理工具
- 這些用於跟蹤、稽核和報告案件
此外,還有第四類有用軟體,它是一種可以有效地用於法證調查的普通軟體。
本節提到了幾個商業工具。 這並不意味著認可這些工具,它們僅用作探索示例
| 提示! | |
|---|---|
| 雖然商業工具價格昂貴,但有些提供免費試用(如 Helix3) |
許多這些工具都很複雜,是商業生產的,並且帶有企業級價格標籤(每年數千美元)。 大多數商業工具執行在 Windows 上,而免費工具傾向於執行在 Linux 上。
稍後我們將更深入地討論調查數字媒體的方法,但目前重要的是要理解,通用法證軟體通常圍繞著對數字媒體進行關鍵字搜尋的行為。 執行此類搜尋的兩種最常見的方法是“即時搜尋”(對數字媒體進行解析以查詢一組關鍵字並存儲命中位置的書籤)和“索引”(建立數字媒體的文字索引,允許使用索引快速執行搜尋)。 兩種風格都有優點和缺點。
“事實上的”行業標準工具通常被認為是 Guidance Software 生產的EnCase。 它是一款針對 Windows 系統量身定製的通用取證工具,專注於即時搜尋方法。 它包含一個名為 EnScript 的指令碼介面,這對於開發自定義工具以提取資訊很有用。 EnCase 緊隨其後的是 Access Data 的 取證工具包(或 FTK)。 其他基於 Windows 的工具包括 ILOOK、Paraben 的 E3 和 ISEEK(它使用新的混合取證方法)。 開源 Linux 工具包括 The Sleuth Kit 和 SANS 調查取證工具包 (SIFT)。
專業工具專注於法證調查的特定方面; 例如,對影像進行分類或恢復網際網路文物。 工具和軟體的範圍非常廣泛,包括商業和免費產品。
其中比較知名的一個免費工具叫做“Categoriser 4 Pictures”,它是一個用於對影像進行分類和展示結果的輔助工具。 C4P 屬於一類依賴於 EnCase 輸出的工具,它使用 EnScript 來解析和提取影像以進行處理。 我們在“影像調查”中更詳細地討論了 C4P。
另一個專業工具的常見主題是網際網路文物; 這可以從恢復網際網路快取資料(網頁和其他片段)到分析網際網路歷史記錄或恢復聊天記錄。 網際網路文物通常包含大量有用的證據,是調查的常見重點。 一些值得注意的工具包括
- Netanalysis; 商業工具,解析網際網路歷史檔案(.dat)並允許搜尋/分析資料。
- Internet Evidence Finder; 商業工具,掃描數字媒體以查詢各種網際網路文物(例如聊天、網路郵件和網際網路歷史記錄)
- Virtual Forensic Computing; 允許包含作業系統的數字媒體作為 虛擬機器 安裝
我們在“記錄證據”中已經談到了案件管理,但這裡為了完整性也將其包含在內。 很少(如果有的話)存在用於完整案件管理的軟體工具(儘管一些從業者會調整法律領域的案件管理工具)。 有幾個免費的案件記錄工具可以用於建立可審計的記錄; 主要示例是 CaseNotes。
許多分析師仍然使用紙質檔案,部分原因是這是一個法院理解和接受的審計追蹤!
存在各種可以用於法證調查的工具; 例如,系統管理工具通常可以告訴你很多關於系統的資訊。 VMWare 是一款商業/免費工具,可用於將數字媒體檢視為虛擬機器。 VLC 媒體播放器對於處理各種媒體很有用。