法证工具
| 提示! | |
|---|---|
 |
| 提示! | |
|---|---|
 |
在数字取证分析师的早期,他们不得不使用现有的系统管理或信息安全工具。 这些工具很多,但并不特别适合法证调查的更正式方法。 特别是,许多软件需要您在实时系统上运行它,这会引入各种修改证据的问题(“获取”在第一部分中详细说明了实时分析的问题)。
然而,在 1980 年代和 1990 年代,该领域的资金增加和兴趣促进了各种专业商业和免费软件工具的开发。 这些通常可以分为三类
- 通用法证工具
- 允许在数字媒体上进行各种调查,特别是关键字搜索的工具。
- 专业法证工具
- 专注于特定法证材料的调查 - 也许是图像或互联网文物。 通常依赖于来自通用工具之一的输出。
- 案件管理工具
- 这些用于跟踪、审核和报告案件
此外,还有第四类有用软件,它是一种可以有效地用于法证调查的普通软件。
本节提到了几个商业工具。 这并不意味着认可这些工具,它们仅用作探索示例
| 提示! | |
|---|---|
| 虽然商业工具价格昂贵,但有些提供免费试用(如 Helix3) |
许多这些工具都很复杂,是商业生产的,并且带有企业级价格标签(每年数千美元)。 大多数商业工具运行在 Windows 上,而免费工具倾向于运行在 Linux 上。
稍后我们将更深入地讨论调查数字媒体的方法,但目前重要的是要理解,通用法证软件通常围绕着对数字媒体进行关键字搜索的行为。 执行此类搜索的两种最常见的方法是“实时搜索”(对数字媒体进行解析以查找一组关键字并存储命中位置的书签)和“索引”(创建数字媒体的文本索引,允许使用索引快速执行搜索)。 两种风格都有优点和缺点。
“事实上的”行业标准工具通常被认为是 Guidance Software 生产的EnCase。 它是一款针对 Windows 系统量身定制的通用取证工具,专注于实时搜索方法。 它包含一个名为 EnScript 的脚本接口,这对于开发自定义工具以提取信息很有用。 EnCase 紧随其后的是 Access Data 的 取证工具包(或 FTK)。 其他基于 Windows 的工具包括 ILOOK、Paraben 的 E3 和 ISEEK(它使用新的混合取证方法)。 开源 Linux 工具包括 The Sleuth Kit 和 SANS 调查取证工具包 (SIFT)。
专业工具专注于法证调查的特定方面; 例如,对图像进行分类或恢复互联网文物。 工具和软件的范围非常广泛,包括商业和免费产品。
其中比较知名的一个免费工具叫做“Categoriser 4 Pictures”,它是一个用于对图像进行分类和展示结果的辅助工具。 C4P 属于一类依赖于 EnCase 输出的工具,它使用 EnScript 来解析和提取图像以进行处理。 我们在“图像调查”中更详细地讨论了 C4P。
另一个专业工具的常见主题是互联网文物; 这可以从恢复互联网缓存数据(网页和其他片段)到分析互联网历史记录或恢复聊天记录。 互联网文物通常包含大量有用的证据,是调查的常见重点。 一些值得注意的工具包括
- Netanalysis; 商业工具,解析互联网历史文件(.dat)并允许搜索/分析数据。
- Internet Evidence Finder; 商业工具,扫描数字媒体以查找各种互联网文物(例如聊天、网络邮件和互联网历史记录)
- Virtual Forensic Computing; 允许包含操作系统的数字媒体作为 虚拟机 安装
我们在“记录证据”中已经谈到了案件管理,但这里为了完整性也将其包含在内。 很少(如果有的话)存在用于完整案件管理的软件工具(尽管一些从业者会调整法律领域的案件管理工具)。 有几个免费的案件记录工具可以用于创建可审计的记录; 主要示例是 CaseNotes。
许多分析师仍然使用纸质文件,部分原因是这是一个法院理解和接受的审计追踪!
存在各种可以用于法证调查的工具; 例如,系统管理工具通常可以告诉你很多关于系统的信息。 VMWare 是一款商业/免费工具,可用于将数字媒体查看为虚拟机。 VLC 媒体播放器对于处理各种媒体很有用。