日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
全球調(diào)查人員和專(zhuān)業(yè)人士偏愛(ài)的七大頂尖網(wǎng)絡(luò)取證工具

電影電視里常會(huì)出現(xiàn)計(jì)算機(jī)專(zhuān)家運(yùn)用各種取證工具鎖定罪犯的場(chǎng)景,但專(zhuān)家們用的網(wǎng)絡(luò)取證工具都有哪些呢?這里就為大家奉上全球調(diào)查人員和專(zhuān)業(yè)人士偏愛(ài)的7種網(wǎng)絡(luò)取證工具。

在靈山等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力,以專(zhuān)注、極致的服務(wù)理念,為客戶提供做網(wǎng)站、網(wǎng)站制作 網(wǎng)站設(shè)計(jì)制作定制開(kāi)發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),成都全網(wǎng)營(yíng)銷(xiāo),成都外貿(mào)網(wǎng)站制作,靈山網(wǎng)站建設(shè)費(fèi)用合理。

拷問(wèn)數(shù)據(jù),它自然會(huì)坦白。

——羅納德·考斯

網(wǎng)絡(luò)取證,顧名思義,就是為非法行為發(fā)生后的調(diào)查收集證據(jù)。網(wǎng)絡(luò)/計(jì)算機(jī)取證是數(shù)字取證科學(xué)的一個(gè)分支,為提升網(wǎng)絡(luò)安全而生。2002年出版的《計(jì)算機(jī)取證》一書(shū)中,計(jì)算機(jī)取證被定義為:對(duì)計(jì)算機(jī)數(shù)據(jù)的保存、鑒別、抽取、歸檔和解釋。

那么,取證調(diào)查員干些什么呢?

他們基本上就是遵循一定的調(diào)查標(biāo)準(zhǔn)流程。首先,將被感染設(shè)備從網(wǎng)絡(luò)中物理隔離出來(lái),給設(shè)備做個(gè)備份,并保證設(shè)備不會(huì)被外部入侵所污染。一旦保住了設(shè)備,設(shè)備本身就留待進(jìn)一步處理,而調(diào)查都是在克隆的設(shè)備上做的。

為更好地理解計(jì)算機(jī)上的東西,我們可以假設(shè)計(jì)算機(jī)是忠實(shí)的見(jiàn)證者,而且絕對(duì)不會(huì)騙人。除非被什么外部人士操縱,否則網(wǎng)絡(luò)/計(jì)算機(jī)取證的唯一目的,就是搜索、保存并分析從受害設(shè)備上獲取到的信息,并將這些信息用作證據(jù)。

于是,這些計(jì)算機(jī)取證專(zhuān)業(yè)人士都用的是什么工具呢?信息安全研究所給我們列出了一張單子,內(nèi)含7種常用工具,并附有簡(jiǎn)要描述及主要功能介紹。

1. SIFT – SANS調(diào)查取證工具包

SIFT具備檢查原始磁盤(pán)(比如直接從硬盤(pán)或其他任何存儲(chǔ)設(shè)備上獲取的字節(jié)級(jí)數(shù)據(jù))、多種文件系統(tǒng)及證據(jù)格式的能力。該工具包基本基于Ubuntu系統(tǒng),是包含了執(zhí)行深度取證調(diào)查或響應(yīng)調(diào)查所需工具的一張 Live CD。SIFT工具包最值得贊賞的就是:開(kāi)源&免費(fèi)。

SIFT堪比SANS高級(jí)事件響應(yīng)課程中主打的任何現(xiàn)代事件響應(yīng)及取證工具套裝。那么,SIFT都支持哪些證據(jù)格式呢?從高級(jí)取證格式(AFF)到RAW(dd)證據(jù)格式都支持!

SIFT的主要特點(diǎn)有:

  • 基于 Ubuntu LTS 14.04;
  • 支持64位系統(tǒng);
  • 內(nèi)存利用率更高;
  • 自動(dòng)數(shù)字取證及事件響應(yīng)(DFIR)包更新及自定義設(shè)置;
  • 最新的取證工具和技術(shù);
  • 可用 VMware Appliance 進(jìn)行取證;
  • 兼容Linux和Windows;
  • 可選擇通過(guò)(.iso)鏡像文件單獨(dú)安裝或經(jīng) VMware Player/Workstation 使用ReadTheDocs上有在線文檔項(xiàng)目;
  • 擴(kuò)展了支持的文件系統(tǒng)。

https://digital-forensics.sans.org/community/downloads

2. ProDiscover Forensic

ProDiscover Forensic 是可在給定計(jì)算機(jī)存儲(chǔ)磁盤(pán)上定位全部數(shù)據(jù),同時(shí)還能保護(hù)證據(jù)并產(chǎn)生文檔報(bào)告的計(jì)算機(jī)/網(wǎng)絡(luò)安全工具。

該工具可以從受害系統(tǒng)中恢復(fù)任意已刪除文件并檢查剩余空間,還可以訪問(wèn) Windows NTFS 備用數(shù)據(jù)流,預(yù)覽并搜索/捕獲(比如截屏或其他方式)硬件保護(hù)區(qū)(HPA)的進(jìn)程。ProDiscover Forensic 有自己的技術(shù)來(lái)執(zhí)行這些操作。

任何系統(tǒng)或組織中對(duì)數(shù)據(jù)的硬件防護(hù)都是非常重要的事,想突破硬件防護(hù)并不容易。ProDiscover Forensic 在扇區(qū)級(jí)讀取磁盤(pán),因而沒(méi)有數(shù)據(jù)可以在該工具面前隱身。

ProDiscover Forensic 的主要功能有:

  • 創(chuàng)建包含隱藏HPA段(專(zhuān)利申請(qǐng)中)的磁盤(pán)比特流副本供分析,可以保證原始證據(jù)不受污染;
  • 搜索文件或整顆磁盤(pán)(包括剩余空間、HPA段和 Windows NT/2000/XP 備份數(shù)據(jù)流),可進(jìn)行完整的磁盤(pán)取證分析;
  • 不修改磁盤(pán)任何數(shù)據(jù)(包含文件元數(shù)據(jù))的情況下,預(yù)覽所有文件——即便文件被隱藏或刪除;
  • 在文件級(jí)或磁盤(pán)簇級(jí)檢查數(shù)據(jù)并交叉對(duì)比,以確保沒(méi)漏掉任何東西,即便是在磁盤(pán)剩余空間中;
  • 使用Perl腳本自動(dòng)化調(diào)查任務(wù)。

https://www.arcgroupny.com/products/prodiscover-forensic-edition/

3. Volatility Framework

Volatility Framework 是黑帽獨(dú)家發(fā)布的一個(gè)框架,與高級(jí)內(nèi)存分析及取證直接相關(guān)。后者基本上就是分析受害系統(tǒng)中的易變內(nèi)存。易變內(nèi)存或易變數(shù)據(jù)是頻繁刷新的數(shù)據(jù),就是在重啟系統(tǒng)時(shí)可能丟失的那些數(shù)據(jù)。對(duì)此類(lèi)數(shù)據(jù)的分析可以采用 Volatility Framework 進(jìn)行。該框架向世界引入了使用RAM(易變內(nèi)存)數(shù)據(jù)監(jiān)視運(yùn)行時(shí)進(jìn)程和任意系統(tǒng)狀態(tài)的強(qiáng)大力量。

該框架也為數(shù)字調(diào)查員提供了高效進(jìn)行取證研究的獨(dú)特平臺(tái)。國(guó)家司法機(jī)構(gòu)、國(guó)防力量或全球任意商業(yè)調(diào)查機(jī)構(gòu)都使用該工具。

Volatility Framework 的主要特點(diǎn)有:

  • 內(nèi)聚的單一框架;
  • 遵從開(kāi)源 GPLv2 許可;
  • 以Python語(yǔ)言編寫(xiě);
  • Windows、Linux、Mac可用;
  • 可擴(kuò)展可腳本化的API;
  • 無(wú)可匹敵的功能集;
  • 文件格式涵蓋全面;
  • 快速高效的算法;
  • 嚴(yán)謹(jǐn)強(qiáng)大的社區(qū);
  • 專(zhuān)注取證/事件響應(yīng)/惡意軟件。

https://github.com/volatilityfoundation/volatility

4. Sleuth Kit (+Autopsy)

命令行接口是與計(jì)算機(jī)程序互操作的一種模式。命令行模式下,用戶/客戶端向程序發(fā)送連續(xù)的文本行,也就是編程語(yǔ)言中的指令。

Sleuth Kit 就是此類(lèi)命令行接口/工具的集合。該工具可以檢查受害設(shè)備的磁盤(pán)鏡像,恢復(fù)出被破壞的文件。Sleuth Kit 一般與其他很多開(kāi)源或商業(yè)取證工具一起用在Autopsy數(shù)字取證平臺(tái)中。

Autopsy也是 Sleuth Kit 的圖形用戶接口,可令硬盤(pán)和智能手機(jī)分析工作更加高效。

Autopsy功能列表:

  • 多用戶情形:可供調(diào)查人員對(duì)大型案件進(jìn)行協(xié)作分析;
  • 時(shí)間線分析:以圖形界面顯示系統(tǒng)事件,方便發(fā)現(xiàn)各類(lèi)活動(dòng);
  • 關(guān)鍵詞搜索:文本抽取和索引搜索模塊可供發(fā)現(xiàn)涉及特定詞句的文件,可以找出正則表達(dá)式模式;
  • Web構(gòu)件:從常見(jiàn)瀏覽器中抽取Web活動(dòng)以輔助識(shí)別用戶活動(dòng);
  • 注冊(cè)表分析:使用RegRipper來(lái)找出最近被訪問(wèn)的文檔和USB設(shè)備;
  • LNK文件分析:發(fā)現(xiàn)快捷方式文件及其指向的文件;
  • 電子郵件分析:解析MBOX格式信息,比如Thunderbird;
  • EXIF:從JPEG文件中抽取地理位置信息和相機(jī)信息;
  • 文件類(lèi)型排序:根據(jù)文件類(lèi)型對(duì)文件分組,以便找出全部圖片或文檔;
  • 媒體重放:不用外部瀏覽器就查看應(yīng)用中的視頻和圖片;
  • 縮略圖查看器:顯示圖片的縮略圖以快速瀏覽圖片。

https://www.sleuthkit.org/

5. CAINE(計(jì)算機(jī)輔助調(diào)查環(huán)境)

CAINE基于Linux系統(tǒng)打造,通常是包含了一系列取證工具的一張 Live CD。由于最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上,熟悉這些系統(tǒng)的人便可以無(wú)縫使用CAINE。

CAINE的主要功能有:

  • CAINE界面——集成了一些著名取證工具的用戶友好界面,其中很多工具都是開(kāi)源的;
  • 經(jīng)過(guò)更新優(yōu)化的取證分析環(huán)境;
  • 半自動(dòng)化的報(bào)告生成器。

https://www.caine-live.net/

6. Xplico

Xplico是又一款開(kāi)源網(wǎng)絡(luò)取證分析工具,可以重建Wireshark、ettercap等包嗅探器抓取的網(wǎng)絡(luò)流量?jī)?nèi)容,來(lái)自任何地方的內(nèi)容都可以。

Xplico的特性包括:

  • 支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6協(xié)議;
  • 端口無(wú)關(guān)的協(xié)議識(shí)別(PIPI);
  • 多線程;
  • 可在SQLite數(shù)據(jù)庫(kù)或Mysql數(shù)據(jù)庫(kù)及文件中輸出數(shù)據(jù)和信息;
  • Xplico重組的每個(gè)數(shù)據(jù)都與一個(gè)XML文件相關(guān)聯(lián),該XML文件唯一標(biāo)識(shí)了該數(shù)據(jù)流及包含該重組數(shù)據(jù)的pcap包;
  • 對(duì)數(shù)據(jù)記錄的大小或文件數(shù)量沒(méi)有任何限制(唯一的限制只存在于硬盤(pán)大小);
  • 模塊化。每個(gè)Xplico組件都是模塊化的。
  • 某些數(shù)字取證及滲透測(cè)試操作系統(tǒng),如 Kali Linux、BackTrack等,默認(rèn)安裝了Xplico。

Home

7. X-Ways Forensics

X-Ways Forensics 是取證調(diào)查人員廣泛使用的高級(jí)工作平臺(tái)。調(diào)查人員使用取證工具包時(shí)面對(duì)的問(wèn)題之一,就是這些工具往往很耗資源,很慢,還不能探查到所有角落。而 X-Ways Forensics 就不怎么占資源,更快,還能找出所有被刪除的文件,還有其他一些附加功能。該取證工具用戶友好,完全可移植,可以存放在U盤(pán)中,在Windows系統(tǒng)上無(wú)需任何額外的安裝。

X-Ways Forensics 的主要特點(diǎn)包括:

  • 磁盤(pán)克隆與鏡像;
  • 能讀取RAW(.dd)鏡像文件、ISO、VHD和VMDK鏡像中的分區(qū)和文件系統(tǒng)結(jié)構(gòu);
  • 可讀取磁盤(pán)、磁盤(pán)陣列和超過(guò)2TB的鏡像;
  • 自動(dòng)識(shí)別丟失/已刪除的分區(qū);
  • 可用模板查看并編輯二進(jìn)制數(shù)據(jù)結(jié)構(gòu);
  • 遞歸瀏覽所有子目錄中的所有現(xiàn)有及已刪除文件。

http://www.x-ways.net/forensics/index-c.html


分享題目:全球調(diào)查人員和專(zhuān)業(yè)人士偏愛(ài)的七大頂尖網(wǎng)絡(luò)取證工具
網(wǎng)頁(yè)地址:http://www.5511xx.com/article/cohjeoj.html