計(jì)算機(jī)取證是與計(jì)算機(jī)和網(wǎng)絡(luò)犯罪有關(guān)的，一門非常重要的計(jì)算機(jī)學(xué)科分支。在早前，計(jì)算機(jī)只用于生成數(shù)據(jù)，但現(xiàn)在已擴(kuò)展到與數(shù)字?jǐn)?shù)據(jù)相關(guān)的所有設(shè)備。計(jì)算機(jī)取證的目標(biāo)是通過使用數(shù)字資料的證據(jù)來進(jìn)行犯罪調(diào)查，以找出網(wǎng)絡(luò)相關(guān)罪行的主要責(zé)任人。

為了更好的用于研究和調(diào)查，開發(fā)人員創(chuàng)建了多樣的計(jì)算機(jī)取證工具。公安部門和調(diào)查機(jī)構(gòu)可以根據(jù)自身情況，如預(yù)算和現(xiàn)有專家隊(duì)伍等因素，來選取合適的取證工具。

這些電腦取證工具，也被分為了不同的類別：

磁盤和數(shù)據(jù)捕獲工具文件查看器文件分析工具注冊(cè)表分析工具互聯(lián)網(wǎng)分析工具電子郵件分析工具移動(dòng)設(shè)備分析工具M(jìn)ac OS分析工具網(wǎng)絡(luò)取證工具數(shù)據(jù)庫取證工具

在本文中，我將為大家羅列一些當(dāng)前流行的計(jì)算機(jī)取證工具。這里需要說明的是，本文中工具是以隨機(jī)順序添加的，并不代表工具的排名。

1. Digital Forensics Framework

數(shù)字取證框架是另一個(gè)專門用于數(shù)字取證的流行平臺(tái)。該工具是開源的，并具有GPL許可證。它同時(shí)適用于專業(yè)或非專業(yè)人員，簡單易用。它可以用于數(shù)字監(jiān)管鏈，訪問遠(yuǎn)程或本地設(shè)備，Windows或Linux操作系統(tǒng)的取證，恢復(fù)隱藏已刪除的文件，快速搜索文件的元數(shù)據(jù)以及其他各種功能。

下載：http://www.digital-forensic.org/

2. Open Computer Forensics Architecture

開放式計(jì)算機(jī)取證架構(gòu)（OCFA）是另一種流行的分布式開源計(jì)算機(jī)取證框架。該框架建立在Linux平臺(tái)上，并使用postgreSQL數(shù)據(jù)庫存儲(chǔ)數(shù)據(jù)。

它由荷蘭國家警察局創(chuàng)建，用于自動(dòng)化數(shù)字取證過程。它可以根據(jù)GPL許可證下載。

下載：http://sourceforge.net/projects/ocfa/

3. CAINE

CAINE（計(jì)算機(jī)輔助調(diào)查環(huán)境）是用于數(shù)字取證的Linux發(fā)行版。它提供了一種以用戶友好的方式將現(xiàn)有軟件工具集成為軟件模塊的環(huán)境。這個(gè)工具是開源的。

閱讀更多：http://www.caine-live.net/

4. X-Ways Forensics

X-ways Forensics是由德國X-ways出品的一個(gè)法證分析軟件，它其實(shí)是Winhex的一個(gè)法證授權(quán)版，跟Winhex界面完全一樣。它可以運(yùn)行在所有可用的Windows版本上。下面是它的一些主要功能：

磁盤克隆和鏡像功能，進(jìn)行完整數(shù)據(jù)獲取可分析 RAW/dd/ISO/VHD/VMDK 格式原始數(shù)據(jù)鏡像文件中的完整目錄結(jié)構(gòu)，支持分段保存的鏡像文件支持磁盤，RAID,扇區(qū)大小為8KB最大2TB的鏡像的完全訪問支持對(duì)JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux軟RAID, Windows動(dòng)態(tài)磁盤和LVM2等磁盤陣列自動(dòng)識(shí)別丟失/刪除的分區(qū)支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系統(tǒng)無需修改原始硬盤或鏡像糾正分區(qū)表或文件系統(tǒng)數(shù)據(jù)結(jié)構(gòu)來解析文件系統(tǒng)察看并獲取 RAM和虛擬內(nèi)存中的運(yùn)行進(jìn)程多種數(shù)據(jù)恢復(fù)功能，可對(duì)特定文件類型恢復(fù)基于GREP符號(hào)維護(hù)文件頭簽名數(shù)據(jù)庫支持20種數(shù)據(jù)類型解釋使用模板查看和編輯二進(jìn)制數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)擦除功能，可徹底清除存儲(chǔ)介質(zhì)中殘留數(shù)據(jù)可從磁盤或鏡像文件中收集殘留空間、空余空間、分區(qū)空隙中信息創(chuàng)建證據(jù)文件中的文件和目錄列表能夠非常簡單地發(fā)現(xiàn)并分析ADS數(shù)據(jù)（NTFS交換數(shù)據(jù)流)支持多種哈希計(jì)算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)強(qiáng)大的物理搜索和邏輯搜索功能，可同時(shí)搜索多個(gè)關(guān)鍵詞在NTFS卷中為文件記錄數(shù)據(jù)結(jié)構(gòu)自動(dòng)加色書簽和注釋可以運(yùn)行在Windows FE中等Windows環(huán)境配合F-Response可進(jìn)行遠(yuǎn)程計(jì)算機(jī)分析等

完整介紹請(qǐng)點(diǎn)擊：http://www.x-ways.net/forensics/

5.?SANS數(shù)字取證工具包?– SIFT

SIFT是SANS推出的數(shù)字取證工具包，SIFT以VMware虛擬映像的形式發(fā)布，里面集成了數(shù)字取證分析所有必須的工具。適用于Expert Witness Format (E01), Advanced Forensic Format (AFF),和 raw (dd) evidence formats。?今年早些時(shí)候，SIFT 3.0發(fā)布。

在resource.infosecinstitute.com上的一篇文章中，我們已經(jīng)詳細(xì)介紹了SIFT。你可以閱讀關(guān)于SIFT的這些帖子，以了解更多有關(guān)SIFT取證平臺(tái)的信息。

下載：http://digital-forensics.sans.org/community/downloads

6. EnCase

EnCase是另一款流行的多用途取證平臺(tái)，具有許多不錯(cuò)的取證工具。該工具可以快速收集各種設(shè)備的數(shù)據(jù)，挖掘潛在的證據(jù)。它還會(huì)根據(jù)收集的證據(jù)生成相應(yīng)的報(bào)告。

該工具并不免費(fèi)。 授權(quán)費(fèi)用為995美元。

閱讀更多關(guān)于EnCase的信息：https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx

7. Registry Recon

Registry Recon是一款流行的注冊(cè)表分析工具。它可以從證據(jù)中提取注冊(cè)表信息，然后重建注冊(cè)表。它還可以從當(dāng)前和之前的Windows安裝重建注冊(cè)表。

閱讀更多：http://arsenalrecon.com/apps/recon/

8. The Sleuth Kit

Sleuth Kit是一個(gè)基于Unix和Windows的工具，可幫助你對(duì)計(jì)算機(jī)進(jìn)行取證分析。它配備了各種有助于數(shù)字取證的工具。這些工具有助于分析磁盤映像，對(duì)文件系統(tǒng)進(jìn)行深入分析以及其他各種功能。

閱讀更多：http://www.sleuthkit.org/

9. Llibforensics

Libforensics是一個(gè)是專門用于獲取和分析數(shù)字取證的數(shù)字取證應(yīng)用程序庫。它是由Python開發(fā)的，并附帶各種演示工具以便從各種類型的證據(jù)中提取信息。

閱讀更多：http://code.google.com/p/libforensics/

10. Volatility

Volatility是一個(gè)內(nèi)存取證框架。主要用于事件響應(yīng)和惡意軟件分析。使用此工具，你可以從正在運(yùn)行的進(jìn)程，網(wǎng)絡(luò)套接字，網(wǎng)絡(luò)連接，DLL和注冊(cè)表蜂巢提取信息。它還支持從Windows故障轉(zhuǎn)儲(chǔ)文件和休眠文件中提取信息。此工具根據(jù)GPL許可證免費(fèi)提供。

閱讀更多：http://code.google.com/p/volatility/

11. WindowsSCOPE

WindowsSCOPE是用于分析易失性存儲(chǔ)器的另一種內(nèi)存取證和逆向工程工具。它主要用于惡意軟件的逆向工程。它提供了分析Windows內(nèi)核，驅(qū)動(dòng)程序，DLL，虛擬和物理內(nèi)存的功能。

閱讀更多：http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart

12. The Coroner’s Toolkit

Coroner工具包或TCT也是一個(gè)非常好用的數(shù)字取證分析工具。它運(yùn)行在幾個(gè)與Unix相關(guān)的操作系統(tǒng)下。它可用于計(jì)算機(jī)災(zāi)難分析和數(shù)據(jù)恢復(fù)。

閱讀更多：http://www.porcupine.org/forensics/tct.html

13. Oxygen Forensic Suite

Oxygen取證套件主要用于手機(jī)上的證據(jù)收集。Oxygen會(huì)為我們收集設(shè)備的各種信息（包括制造商，操作系統(tǒng)，IMEI號(hào)碼，序列號(hào)），聯(lián)系人，消息（電子郵件，短信，彩信），還可以恢復(fù)已刪除的消息，通話記錄和日歷信息。

閱讀更多：http://www.oxygen-forensic.com/en/features

14. Bulk Extractor

Bulk Extractor（批量提取器）也是一款重要和流行的取證工具。它會(huì)掃描文件的磁盤映像，文件或目錄以提取有用的信息。由于在這個(gè)過程中，它忽略了文件系統(tǒng)結(jié)構(gòu)，所以它比其他同類型的工具執(zhí)行速度要快許多。情報(bào)和執(zhí)法機(jī)構(gòu)基本上都會(huì)用這款工具，來解決一些網(wǎng)絡(luò)犯罪問題。

下載：http://digitalcorpora.org/downloads/bulk_extractor/

15. Xplico

Xplico是一款開源的網(wǎng)絡(luò)取證分析工具。主要用于，從使用Internet和網(wǎng)絡(luò)協(xié)議的應(yīng)用程序中提取有用的數(shù)據(jù)。它支持大多數(shù)流行的協(xié)議，包括HTTP，IMAP，POP，SMTP，SIP，TCP，UDP，TCP等。該工具的輸出數(shù)據(jù)，會(huì)被存儲(chǔ)在MySQL數(shù)據(jù)庫的SQLite數(shù)據(jù)庫中。同時(shí)，它也支持IPv4和IPv6。

閱讀更多：http://www.xplico.org/about

16. Mandiant RedLine

Mandiant RedLine是一款流行的，用于內(nèi)存和文件分析的工具。Mandiant RedLine主要收集有關(guān)在主機(jī)上運(yùn)行的進(jìn)程信息，內(nèi)存中的驅(qū)動(dòng)程序，并收集其他數(shù)據(jù)，如元數(shù)據(jù)，注冊(cè)表數(shù)據(jù)，任務(wù)，服務(wù)，網(wǎng)絡(luò)信息和Internet歷史記錄，并最終構(gòu)建適當(dāng)?shù)膱?bào)告。

閱讀更多：https://www.mandiant.com/resources/download/redline

17. Computer Online Forensic Evidence Extractor (COFEE)

計(jì)算機(jī)在線法庭科學(xué)證據(jù)提取器，是專為計(jì)算機(jī)取證專家開發(fā)設(shè)計(jì)的一款工具包。該工具由Microsoft開發(fā)，用于從Windows系統(tǒng)收集證據(jù)。它可以被安裝在USB驅(qū)動(dòng)器或外部硬盤上。取證人員只需將USB插入目標(biāo)計(jì)算機(jī)中，即可進(jìn)行實(shí)時(shí)的分析。COFEE包含了超過150個(gè)信息收集、密碼破解、網(wǎng)絡(luò)嗅探等工具。而且它的分析速度也非常的快，大概在20分鐘左右就可以完成對(duì)目標(biāo)系統(tǒng)的完整分析。對(duì)于執(zhí)法機(jī)構(gòu)，此外，Microsoft還為使用該工具的執(zhí)法機(jī)構(gòu)，提供免費(fèi)的技術(shù)支持。

官方站點(diǎn)：https://cofee.nw3c.org/

18. P2 eXplorer

P2 eXplorer 這款取證圖像掛載工具的設(shè)計(jì)旨在幫助調(diào)查員管理和調(diào)查證據(jù)。利用 P2 eXplorer，您可以將取證圖像作為只讀的本地邏輯磁盤和物理磁盤進(jìn)行掛載。一旦掛載完畢，您可以使用 Windows Explorer 瀏覽圖像內(nèi)容，或?qū)⑵浼虞d到您的取證調(diào)查分析工具中。因?yàn)閷D像作為物理磁盤掛載，您可以查看已刪除的數(shù)據(jù)、以及未分配的圖像空間。

它可以一次安裝多個(gè)圖像。 它支持大多數(shù)圖像格式，包括EnCasem，safeBack，PFR，F(xiàn)TK DD，WinImage，以及來自Linux DD的RAW圖像，和VMWare圖像。

此工具有收費(fèi)和免費(fèi)版本，收費(fèi)版本需要支付$199，免費(fèi)版本的部分功能將無法使用。

閱讀更多：https://www.paraben.com/p2-explorer.html

19. PlainSight

PlainSight是一個(gè)基于Knoppix(Linux發(fā)行版)的Live CD，它允許用戶執(zhí)行數(shù)字取證任務(wù)，如查看互聯(lián)網(wǎng)歷史記錄，數(shù)據(jù)刻畫，USB設(shè)備使用信息收集，檢查物理內(nèi)存轉(zhuǎn)儲(chǔ)，提取哈希密碼等。

此工具是免費(fèi)的。

閱讀更多：http://www.plainsight.info/index.html

20. XRY

XRY是Micro Systemation開發(fā)的移動(dòng)取證工具。它用于分析和恢復(fù)來自移動(dòng)設(shè)備的關(guān)鍵信息。該工具附帶硬件設(shè)備和軟件。硬件將手機(jī)連接到PC，軟件對(duì)設(shè)備進(jìn)行分析并提取數(shù)據(jù)。它旨在恢復(fù)數(shù)據(jù)以用于取證分析。

該工具的最新版本可以恢復(fù)來自Android，iPhone和BlackBerry等各種智能手機(jī)的數(shù)據(jù)。它還可以收集已刪除的數(shù)據(jù)，如通話記錄，圖像，短信和短信。

閱讀更多：http://www.msab.com/xry/what-is-xry

21. HELIX3

HELIX3是一個(gè)基于Linux的Live CD，用于事件響應(yīng)構(gòu)建，計(jì)算機(jī)取證和電子發(fā)現(xiàn)方案。它包含了一堆開源工具，從十六進(jìn)制編輯器到數(shù)據(jù)刻畫軟件到密碼破解工具等。

注意：你需要的HELIX3版本是2009R1。此版本是HELIX由商業(yè)供應(yīng)商接管之前可用的最后一個(gè)免費(fèi)版本。HELIX3 2009R1今天仍然有效，并為數(shù)字取證工具包提供有用的補(bǔ)充。

當(dāng)使用HELIX3向?qū)r(shí)，會(huì)詢問是要加載GUI環(huán)境還是將HELIX3安裝到磁盤。如果選擇直接加載GUI環(huán)境(推薦)，將出現(xiàn)一個(gè)基于Linux的屏幕，你可以選擇運(yùn)行捆綁工具的圖形化版本。

Helix3 2008R1可以在這里下載到：https://e-fenseinc.sharefile.com/d/sda4309a624d48b88

企業(yè)版下載：http://www.e-fense.com/h3-enterprise.php

22.?Cellebrite UFED

Cellebrite?UFED取證產(chǎn)品是一款獨(dú)立的既適合在犯罪現(xiàn)場也適合在實(shí)驗(yàn)室使用的設(shè)備。Cellebrite?UFED能夠從全球1200多款手機(jī)中提取重要數(shù)據(jù)如電話簿、圖片、視頻、文本短信息、通話記錄、ESN和IMEI信息。UFED支持CDMA,?GSM,?IDEN和TDMA技術(shù)，并兼容所有的無線載波信號(hào)。Cellebrite?UFED支持目前市場上95%的掌中設(shè)備，包括手機(jī)和PDA(Palm?OS,Microsoft,?Blackberry,?Symbian)。不需要計(jì)算機(jī)的配合，方便在現(xiàn)場使用，通過簡單操作就可以存儲(chǔ)上百條電話簿和聯(lián)系人信息到一張SD卡或者USB?中。

Cellebrite?UFED支持所有已知手機(jī)設(shè)備的接口，包括串口、USB接口、紅外和藍(lán)牙。提取的數(shù)據(jù)可以帶回實(shí)驗(yàn)室利用報(bào)告/分析工具進(jìn)行查看和校驗(yàn)?，F(xiàn)場提取數(shù)據(jù)保證在犯罪分子有機(jī)會(huì)毀壞手機(jī)或清除數(shù)據(jù)之前，保存和查看手機(jī)里的信息。

更多信息：http://www.cellebrite.com/Mobile-Forensics

總結(jié)

以上列舉的都是些執(zhí)法機(jī)構(gòu)在進(jìn)行網(wǎng)絡(luò)犯罪調(diào)查時(shí)，常用到的數(shù)字取證工具。本文我為大家介紹了各種類型的工具，如如高級(jí)，免費(fèi)，開源類的，針對(duì)計(jì)算機(jī)的取證，以及針對(duì)手機(jī)的取證等。如果你想學(xué)習(xí)或正在學(xué)習(xí)取證相關(guān)的知識(shí)，我建議大家可以下載以上列舉的這些工具，進(jìn)行深入的研究與學(xué)習(xí)。這將會(huì)有助于提高你的學(xué)習(xí)效率。

除了本文列舉的這些工具，其實(shí)市面上還有很多類似的優(yōu)秀的工具。這需要大家自己去試驗(yàn)和挖掘。