数字取证工具介绍_网络觅食者_新浪博客
数字取证工具介绍
& 来自FreeBuf黑客与极客（FreeBuf.COM）
1、ChromeForensics
谷歌浏览器及其他变种浏览器的一个自动取证分析工具。
2、android-forensics
开源的安卓取证App和框架，它可以对安卓设备的&通话记录、联系电话、彩信、MMSParts、以及短信进行提取。
3、Timesketch
Timesketch是一款实验性的依据时间轴进行协同取证分析的POC开源工具&,使用sketchs你和你的同伴可以很容易的组织时间轴并同时进行分析。
4、USBTracker
USBTracker可以对quick&&&dirty&代码进行应急响应并通过取证Python从windows系统去转储USB相关的信息等。
5、Linux&Security&Auditing&Tool&(LSAT)
Linux&Security&Auditing&Tool&(LSAT)是一个安装后安全审计工具，它采用了模块化设计使得新功能可以快速添加。它可以检查&inetd条目并扫描不需要的RPM包。
6、RAT&Decoders
通过python脚本来获取木马中的配置文件，诸如ftp、ssh等信息，反向对黑客进行攻击。目前支持Adwind、Adzok、Albertino&Advanced&RAT等40多个木马。
Bro是一个与你所知道的典型IDS完全不同的强有力的网络分析框架，具有适应性强、高效、灵活、开放接口、开源等优点。
Xplico 是一款开源网络取证分析工具，主要用于数字取证和渗透测
试：&Kali&Linux,&BackTrack,&DEFT,&Security&Onion,&Matriux,&BackBox,&CERT&Forensics&Tools&and&Pentoo。
9、PowerForensics&
PowerForensics是一个Powershell数字取证框架。它目前支持NTFS，并且在论证过程中添加了ext4文件系统。
10、GRR&Rapid&Response
GRR&Rapid&Response是一款专注于远程现场取证的事件应急响应框架。它是一个被安装在目标系统的Python&代理客户端，可以对Python基础设施进行管理和交流。
11、Mozilla&InvestiGator
Mozilla&InvestiGator&是一个进行远程端点的调查取证的OpSec平台，由安装在基础设施（实时查询的文件系统、网络状态、内存或端点配置）的所有系统的代理组成。
12、Autopsy
Autopsy是一款数字取证平台，也是Sleuth&Kit和其他数字取证工具的图形接口。它被用于关于计算机的法律执行、军事、企业审查等，甚至还可以用它来恢复从相机记忆卡中的照片。
可以用来捕获和分析网络流量数据和内网流量数据的包，主要用于进行网络调查、安全监控和取证。
14、Rekall
Rekall框架是一个完全开放的工具集合，旨在向人们介绍技术以及从RAM中进行数字取证的复杂度，并提供一个平台去对这一领域进行进一步更为深入的研究。
15、FastIR&Collector(红外刀)
Windows取证/信息收集神器，可收集的东西包括了所有你能想到的东西，不限于内存，注册表，文件信息等。
*作者：SecDarker，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM
缃戠粶瑙呴
博客等级：
博客积分：0
博客访问：2,598
关注人气：0
荣誉徽章：取证工具autopsy怎么打开.img文件_百度知道
取证工具autopsy怎么打开.img文件
答题抽奖
首次认真答题后
即可获得3次抽奖机会，100%中奖。
若以下回答无法解决问题，邀请你更新回答
腾讯电脑管家
有实力 无所惧
腾讯电脑管家
腾讯电脑管家是腾讯公司推出的免费安全管理软件，能有效预防和解决计算机上常见的安全风险，并帮助用户解决各种电脑“疑难杂症”、优化系统和网络环境，是中国综合能力最强、最稳定的安全软件。
img格式是一种镜像文件,可以制作数据光盘
本回答被网友采纳
1条折叠回答
为你推荐：
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。全球七大顶尖数字取证工具
电影电视里常会出现计算机专家运用各种取证工具锁定罪犯的场景，但专家们用的数字取证工具都有哪些呢？这里就为大家奉上全球调查人员和专业人士偏爱的7种数字取证工具。
拷问数据，它自然会坦白。
——罗纳德·考斯
数字取证（Digital Forensic），顾名思义，就是为非法行为发生后的调查收集证据。网络/计算机取证是数字取证科学的一个分支，为提升网络安全而生。2002年出版的《计算机取证》一书中，计算机取证被定义为：对计算机数据的保存、鉴别、抽取、归档和解释。
那么，取证调查员干些什么呢？
他们基本上就是遵循一定的调查标准流程。首先，将被感染设备从网络中物理隔离出来，给设备做个备份，并保证设备不会被外部入侵所污染。一旦保住了设备，设备本身就留待进一步处理，而调查都是在克隆的设备上做的。
为更好地理解计算机上的东西，我们可以假设计算机是忠实的见证者，而且绝对不会骗人。除非被什么外部人士操纵，否则网络/计算机取证的唯一目的，就是搜索、保存并分析从受害设备上获取到的信息，并将这些信息用作证据。
于是，这些计算机取证专业人士都用的是什么工具呢？信息安全研究所给我们列出了一张单子，内含7种常用工具，并附有简要描述及主要功能介绍。
1. SIFT – SANS调查取证工具包
SIFT具备检查原始磁盘（比如直接从硬盘或其他任何存储设备上获取的字节级数据）、多种文件系统及证据格式的能力。该工具包基本基于Ubuntu系统，是包含了执行深度取证调查或响应调查所需工具的一张 Live CD。SIFT工具包最值得赞赏的就是：开源&免费。
SIFT堪比SANS高级事件响应课程中主打的任何现代事件响应及取证工具套装。那么，SIFT都支持哪些证据格式呢？从高级取证格式(AFF)到RAW(dd)证据格式都支持！
SIFT的主要特点有：
基于 Ubuntu LTS 14.04；
支持64位系统；
内存利用率更高；
自动数字取证及事件响应(DFIR)包更新及自定义设置；
最新的取证工具和技术；
可用 VMware Appliance 进行取证；
兼容Linux和Windows；
可选择通过(.iso)镜像文件单独安装或经 VMware Player/Workstation 使用ReadTheDocs上有在线文档项目；
扩展了支持的文件系统。
2. ProDiscover Forensic
ProDiscover Forensic 是可在给定计算机存储磁盘上定位全部数据，同时还能保护证据并产生文档报告的计算机/网络安全工具。
该工具可以从受害系统中恢复任意已删除文件并检查剩余空间，还可以访问 Windows NTFS 备用数据流，预览并搜索/捕获（比如截屏或其他方式）硬件保护区(HPA)的进程。ProDiscover Forensic 有自己的技术来执行这些操作。
任何系统或组织中对数据的硬件防护都是非常重要的事，想突破硬件防护并不容易。ProDiscover Forensic 在扇区级读取磁盘，因而没有数据可以在该工具面前隐身。
ProDiscover Forensic 的主要功能有：
创建包含隐藏HPA段（专利申请中）的磁盘比特流副本供分析，可以保证原始证据不受污染；
搜索文件或整颗磁盘（包括剩余空间、HPA段和 Windows NT/2000/XP 备份数据流），可进行完整的磁盘取证分析；
不修改磁盘任何数据（包含文件元数据）的情况下，预览所有文件——即便文件被隐藏或删除；
在文件级或磁盘簇级检查数据并交叉对比，以确保没漏掉任何东西，即便是在磁盘剩余空间中；
使用Perl脚本自动化调查任务。
3. Volatility Framework
Volatility Framework 是黑帽独家发布的一个框架，与高级内存分析及取证直接相关。后者基本上就是分析受害系统中的易变内存。易变内存或易变数据是频繁刷新的数据，就是在重启系统时可能丢失的那些数据。对此类数据的分析可以采用 Volatility Framework 进行。该框架向世界引入了使用RAM(易变内存)数据监视运行时进程和任意系统状态的强大力量。
该框架也为数字调查员提供了高效进行取证研究的独特平台。国家司法机构、国防力量或全球任意商业调查机构都使用该工具。
Volatility Framework 的主要特点有：
内聚的单一框架；
遵从开源 GPLv2 许可；
以Python语言编写；
Windows、Linux、Mac可用；
可扩展可脚本化的API；
无可匹敌的功能集；
文件格式涵盖全面；
快速高效的算法；
严谨强大的社区；
专注取证/事件响应/恶意软件。
4. Sleuth Kit (+Autopsy)
命令行接口是与计算机程序互操作的一种模式。命令行模式下，用户/客户端向程序发送连续的文本行，也就是编程语言中的指令。
Sleuth Kit 就是此类命令行接口/工具的集合。该工具可以检查受害设备的磁盘镜像，恢复出被破坏的文件。Sleuth Kit 一般与其他很多开源或商业取证工具一起用在Autopsy数字取证平台中。
Autopsy也是 Sleuth Kit 的图形用户接口，可令硬盘和智能手机分析工作更加高效。
Autopsy功能列表：
多用户情形：可供调查人员对大型案件进行协作分析；
时间线分析：以图形界面显示系统事件，方便发现各类活动；
关键词搜索：文本抽取和索引搜索模块可供发现涉及特定词句的文件，可以找出正则表达式模式；
Web构件：从常见浏览器中抽取Web活动以辅助识别用户活动；
注册表分析：使用RegRipper来找出最近被访问的文档和USB设备；
LNK文件分析：发现快捷方式文件及其指向的文件；
电子邮件分析：解析MBOX格式信息，比如Thunderbird；
EXIF：从JPEG文件中抽取地理位置信息和相机信息；
文件类型排序：根据文件类型对文件分组，以便找出全部图片或文档；
媒体重放：不用外部浏览器就查看应用中的视频和图片；
缩略图查看器：显示图片的缩略图以快速浏览图片。
5. CAINE（计算机辅助调查环境）
CAINE基于Linux系统打造，通常是包含了一系列取证工具的一张 Live CD。由于最新版CAINE建立在 Ubuntu Linux LTX、MATE和LightDM上，熟悉这些系统的人便可以无缝使用CAINE。
CAINE的主要功能有：
CAINE界面——集成了一些著名取证工具的用户友好界面，其中很多工具都是开源的；
经过更新优化的取证分析环境；
半自动化的报告生成器。
Xplico是又一款开源网络取证分析工具，可以重建Wireshark、ettercap等包嗅探器抓取的网络流量内容，来自任何地方的内容都可以。
Xplico的特性包括：
支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6协议；
端口无关的协议识别(PIPI)；
可在SQLite数据库或Mysql数据库及文件中输出数据和信息；
Xplico重组的每个数据都与一个XML文件相关联，该XML文件唯一标识了该数据流及包含该重组数据的pcap包；
对数据记录的大小或文件数量没有任何限制（唯一的限制只存在于硬盘大小）；
模块化。每个Xplico组件都是模块化的。
某些数字取证及渗透测试操作系统，如 Kali Linux、BackTrack等，默认安装了Xplico。
7. X-Ways Forensics
X-Ways Forensics 是取证调查人员广泛使用的高级工作平台。调查人员使用取证工具包时面对的问题之一，就是这些工具往往很耗资源，很慢，还不能探查到所有角落。而 X-Ways Forensics 就不怎么占资源，更快，还能找出所有被删除的文件，还有其他一些附加功能。该取证工具用户友好，完全可移植，可以存放在U盘中，在Windows系统上无需任何额外的安装。
X-Ways Forensics 的主要特点包括：
磁盘克隆与镜像；
能读取RAW(.dd)镜像文件、ISO、VHD和VMDK镜像中的分区和文件系统结构；
可读取磁盘、磁盘阵列和超过2TB的镜像；
自动识别丢失/已删除的分区；
可用模板查看并编辑二进制数据结构；
递归浏览所有子目录中的所有现有及已删除文件。
本文由安全牛授权发布，请勿转载
第一时间获取面向IT决策者的独家深度资讯，敬请关注IT经理网微信号：ctociocom
&&&除非注明，本站文章均为原创或编译，转载请务必注明出处并保留： 文章来自
相关文章：
最牛的信息安全新媒体 (www.aqniu.com)
来自楼宇自动化和物联网领域的企业携手推出了一个综合多个安全标准的商业建筑物联网安全架构。
企业员工对WiFi的依赖性越来越高，企业的安全边界和数据安全正在面临与日俱增的WiFi移动安全威胁
来自开源组件和开源代码的安全威胁呈几何级数增长，严重威胁到信息安全“上游水源地”——安全开发和代码安全
一个电子商务网站只要速度慢一秒钟，每年的销售额损失就可能高达16亿美元。
对于大多数的企业技术和业务决策者来说，制定符合自身需求的物联网技术和方案开发展战略非常困难
飞行日志的“离线”和不透明，是威胁全球航空安全的最大隐患之一。
用一百万欧元，一个企业就可以拥有含一万六千个 x86 核的私有云架构基础，并且对成本，外来情报威胁拥有绝对控制权，这是任何国家的公有云供应商都无法提供的。
要使物联网真正成为主流，企业就需要遵循清晰的检查清单来确保其物联网计划的安全。
针对不同类型的设备和使用场景，教育机构如何能够确保学生安全进入Wi-Fi网络并获得最佳质量的连接呢？
数据质量管理国际峰会正是在此背景下由代表产、学、研、企的北京大学、国家电网全球能源互联网研究院及华矩科技于2017年共同发起的，以“数据质量”为研究主题的大数据行业分享平台。
会议地点北京希尔顿逸林酒店西城区广安门外大街168号
碰撞最前沿的技术思想和实践，交流最专业的技术管理实践与见解，探讨技术创造商业价值的途径，推动未来商业变革与创新。
会议地点乌镇枕水酒店
超过800名来自云生态链企业内CEO、CIO、CTO、技术开发者以及企业终端用户分享干货，共同探探讨全球云计算的发展、创新与实践，以及云计算在金融、电商、教育、医药、制造业等诸多热门领域的应用和实践。
&Copyright (C) 2011,ctocio.cc - IT经理网文件识别和构型——
可疑文件的初步分析
文件构型流程
收集详细信息：对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料，对可疑文件收集一些基本的文件详细信息和属性
操作系统，版本，内核版本，补丁级别
文件系统，可疑文件被发现时的完整路径
防火墙，安全软件
文件信息：文件属性，大小，数据和时间：ls -al
计算hash值：对可疑文件生成一个加密hash值或者“数字指纹”
Linux系统：md5sum filename
将生成的hash值存入文件： md5sum filename & md5_filename.txt 或者 md5sum filename &&malware-hashes.txt
-c 参数 可以从hash库中读取MD5摘要值且对其进行比较
GUI工具：MD5Summer和 Parano
比较：将可疑文件与已知的恶意文件样本进行比较生成文件相似点索引。
利用CTPH算法，该算法为一个文件计算出一系列随机大小的校验和。用于将并不完全等同但在文件内容上又很相似的文件进行关联起来。
工具：ssdeep工具
ssdeep filename ：生成hash值和完整路径
ssdeep filename && destPathandhashlistname
ssdeep -m hashlist
给出相似度评分
-p选项 文件与另一个文件进行比较
分类：对文件类型，用户编写代码所需的高级语言和编译该文件的编译器进行识别和分类
首先，识别文件类型，通过检查文件的特征，文件特征是在文件头部写入的一个独特的用于识别的字节序列。
.png文件以89 50 4e 47 开始。
windows可执行文件通过一个独特的MZ文件特征来识别
ELF（Linux可执行文件）文件特征是ELF或者是十六进制字符串 7f 45 4c 46。
识别方法：
使用文件识别工具
十六进制查看/编辑器中打开和检查文件：GHex软件或者是 Linux系统中的 hexdump 使用-C选项。
file命令 ：识别过程如下首先进行“文件系统”测试，file程序识别目标文件是否符合当前进行查询操作的系统的某一已知类型，该操作是基于一个系统调用的返回和对系统头部的识别（sys/stat.h).其次file程序会将目标文件中的数据与一个magic文件进行比较，从/etc/magic和/usr/share/fle/magic 文件读取文件特征表，在上述文件中包含一个全面的已知文件特征表。最后如果目标文件没有与magic 文件中的任一已知特征码进行匹配，那么file工具将尝试将目标文件识别成文本文件，然后尝试在文件内容中是否能发现一些特殊的字符串集。
扫描：使用反病毒和反间谍软件扫描可疑文件以确定该文件是否含有已知的恶意样本的特征码
反病毒软件：ClamAV，Avast，F-Port和AntiVir
基于网站的恶意软件扫描服务：VirusTotal，Jotti Online Malware Scanner和VirScan
检查：使用可执行文件分析工具对文件进行检查已确认文件是否具有恶意软件性质
提取和分析：通过审查文件中包含的任意嵌入的ASCII或者Unicode字符串，以及识别和审查任意文件元数据和符号信息来对可疑文件进行信息提取和分析
提取字符串：strings命令
如果要改变strings工具显示 的最小字符串长度，可以使用-n选项
提取不以ASCALL形式编码的字符串，使用Unicode编码 可以使用-e选项
可疑文件检查时一般为 -a（all）选项
一般通过管道 使用less或者more命令分页显示： strings -a filename | more
检查文件依赖性：动态链接或静态链接
ldd命令：ldd filename
使用-v选项可以识别出文件依赖，并打印出所有的符号版本信息。
file命令：file filename
注意：/lib/ld-linux.so.2是ELF动态链接器/加载器。
GUI工具：Filippos Papadopoulos 和Visual Dependency Walker工具
提取符号和调试信息：
符号定义：ELF二进制可执行文件的程序变量和函数名
nm 命令： nm -al filename
nm命令结果格式：十六进制值，符号类型，符号名。其中小写字符符号类型表示局部变量，大写符号类型表示全局变量
-D选项 对文件的符号信息进行分析以找到专门用于动态链接的符号，
GUI工具：Object Viewer
提取嵌入文件的元数据：
对可疑文件运行extract程序开始对文件的元数据进行挖掘。
工具：Libextrator工具
其他程序：Hachoir-Metadata
去除保护技术：识别所有的用于保护文件不被检查的代码模糊或者保护技术，包括打包，包装和加密
包装工具：
最常见的ELF可执行文件包装程序是burneye，该程序有三层保护可以独立或者共同使用来作用于程序
第一层：（最外层）保护由burneye提供，是混淆操作层，是一个简单的加密程序，该程序将二进制可执行文件的内容进行加密，该层被程序作者成为最简单的一层
第二层：密码层，用户使用一个用户自定的密码作为加密秘钥来对目标二进制文件进行加密，这使得文件内容对于恶意软件调查人员来说是加密过的和不可读的，除非将该文件使用攻击者的密码进行破解
最后一层保护是指纹层，就是收集指定操作系统的相关特征信息如CPU类型，RAM总数，将这些特征信息进行组合看做代码执行的规则。
针对burneye的解包工具是Burndump
如果没有第二层加密时可以使用BurnInHell工具
burneye还可以使用Fenris进行攻击
识别混淆过的文件：
Linux平台没有专门的查壳工具
不具有可识别的文件依赖
提取不出有意义的元数据
不显示任何符号信息
readelf命令查看入口地点不够规则
提取字符串信息都是无效的不可读的
关联分析：确定文件是动态还是静态链接，以及确定文件是否具有文件依赖关系。
研究：对可疑文件收集的信息进行在线的相关研究，并且确认文件信息是否被一些黑客，恶意的web站点，论坛，或者博客所引用过。
ELF文件（Linux/UNIX 可执行文件格式）
ELF文件的主要对象类型：
可重定位文件
可执行文件
共享对象文件
ELF可执行文件的第一个节通常是ELF头部或Elf32_ehdr，该头部标识文件类型和目标处理器，以及关于执行和加载仅内存所需要的文件结构的详细信息。
ELF头部结构：
e_ident:该结构包含ELF“幻数”（magic numbers），通过幻数就可以识别该文件为ELF文件
e_type:该结构可疑透露出文件的本质，如果e_type被标识为ET_EXEC,那么久标识该文件是可执行文件。
e_shoff：节头部表偏移值
e_phoff：程序头部表偏移值
命令：readelf -h 读取文件头部
ELF节头部表（静态试图）
定义：节头部表用来定位和解释ELF二进制文件中的所有节，由节数组或ELf32_shdr结构组成
表中结构内容：
节名（sh_name)
类型（sh_type):通过分析sh_type结构可疑识别二进制文件的符号表（SHT_SYMTAB,.symtab,SHT_DYNSYM,.dynsym）和字符串表(SHT_STRTAB,.strtab)
执行中的虚拟地址（sh-addr）
文件偏移（sh_offset)
字节大小（sh_size)
相关标志（sh_flags)
与其他节的链接（sh_link)
命令：readelf -section-headers
命令readelf -t 获取更细粒度的额外细节信息
常见ELF节分析：
.rodata :包含只读数据
.dynsym 包含动态链接符号表
.symtab 包含符号表
.debug 包含调试信息
. dynstr 包含动态链接需要的字符串
.comment 包含版本控制信息
.strtab 包含与符号表项相关的字符串
.text 包含程序的可执行指令
程序头部表（Elf32_Phdr)（动态视图）
定义：该表提供了二进制可执行文件中段的定位和描述信息。
命令：readelf -program-headers
提取符号信息：readelf –syms 和–symbols
提取调试信息：调试信息是源代码特征信息，包括代码行数，变量，函数名，参数和范围等。命令：readelf –debug-dump
提取版本信息：readelf -V
提取注释节：注释节是用来使用一些独特信息来对对象文件进行标记。命令：readelf -n
使用 Linux 工具进行计算机取证
本文通过介绍 Linux 系统工具（Ftkimage、xmount、Volatility、dd、netcat）来介绍使用计算机取证的方法和步骤。 硬盘数...
转载地址：http://www.freebuf.com/articles/system/50728.html
0×00 背景
最近接手了一起应急事件，事件的起因是这样，某IP地址在短时间内攻击...
在我们日常运维中，难免有几个网站或者主机被入侵，这时就出现应急响应需求。那么我们应该怎样着手分析昵？本文将为你细细道来，其中由于都是文字描述思路，所以各位要有耐心读完全文。但是这个思路...
文件 notepad里的秘密（二）0x00文接上文，前一篇关于内存取证读取进程。这篇总结一下，内存取证读取文件。0x01step1:常规操作，先读取内存类型：step2:可以得到profile类型 W...
在UNIX/Linux系统取证中，及时收集硬盘的信息至关重要，《Unix/Linux网络日志分析与流量监控》一书中，将详细讨论各种常见系统进程系统调用及镜像文件获取方法。下面简单举几个例子。...
获取基本信息
服务器配置
获取网络信息
[root@localhost ~]# ifconfig -a
[root@localho...
来源：沪检技术（ID：shjc-js）随着移动通讯技术的飞速发展和移动互联网应用的普及，智能手机已成为我们生活中难以或缺的一部分，可以说手机记录了我们每天的生活轨迹。在司法办案中，存储在手机中的各类数...
来源：山警网络安全实验室指导教师：张璇学生：李雨轩 马珺 王润正 赵一屺一、关于Linux raid部分
先了解一下raid技术吧，独立磁盘冗余数组（RAID, Redundant Array ...
没有更多推荐了，开源取证工具Autopsy4.4.0发布
Autopsy是一款易用使用的、基于图形用户界面的开源软件，适用于硬盘和智能手机的取证分析，采用插件框架，支持引入自定义模块（Java或Python）。
日，新版本AutoPsy4.4.0发布：
下载地址：http://sleuthkit.org/autopsy/download.php
GitHub地址：https://github.com/sleuthkit/autopsy/releases/
支持windows 32位和64位操作系统，同样支持Linux和OSX（下载源代码，自行编译）。
同时发布的还有Sleuth Kit4.4.1。
Sleuth Kit是一个命令行工具，用于分析磁盘信息，其核心功能是分析卷和文件系统的数据。Sleuth Kit库主要用于完成文件内容分析，插件框架支持自定义模块，同时可以并入Autopsy和其他开源或商业的取证工具中。
下载地址：http://sleuthkit.org/sleuthkit/download.php
亲喜欢吗？记得点赞| 留言| 分享
长按公众号，可“ 置顶”
----------------------------------
要闻，干货，原创，专业
华夏黑客同盟我们坚持，自由，免费，共享！
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
我们是网络世界的启明星，安全之路的垫脚石。
信息安全人才的学习、交流与分享平台！
我们的宗旨是：免费、自由、共享！
今日搜狐热点