几十年来,数字证据收集的历史在司法调查的不同分支中不断发展,已成为全球执法活动的重要组成部分。同时,由于互联网和全球化的发展,犯罪形式多样化,执法人员可以通过电子设备获得关键的数字证据,并通过免费的证据收集调查工具将罪犯送入监狱。以下是10种免费的证据收集调查工具,有助于打击网络犯罪,保护数字资产。
10免费数字调查取证工具
- Sleuth Kit( Autopsy)
- Forensic Investigator
- Autopsy
- Dumpzilla
- Browser History
- FTK Imager
- X-Ways Forensics
- CAINE
- Toolsley
- ExifTool
Sleuth Kit( Autopsy)
Sleuth Kit它是使计算机系统更容易进行证据收集和分析的实用工具之一。它可以提供图形化UI检查用户的硬盘驱动器和智能手机,并提供电子邮件分析和搜索所有文档和图像。
它还可以帮助显示图像的缩略图快速查看每张图像,用户可以使用任何标签名称标记文件。该软件还允许用户通过短信、电话记录、联系人等方式提取数据,并根据名称标记文件和文件夹。
Forensic Investigator
若用户使用Splunk,那么Forensic Investigator这将是一个非常方便的工具。这是一个非常有用的应用程序,包括许多其他工具Ping、横幅抓取器、端口扫描器、SNB共享、NetBIOS查看器、ping、病毒总搜索,URL解码器/解析器,XOR/HEX/Base64转换器等。
Autopsy
Autopsy是基于GUI智能手机和硬盘驱动器可以有效分析开源数字取证程序之一,主要是调查计算机问题。目前,世界上有成千上万的用户在使用这个工具。
Autopsy主要为端到端平台设计,其中模块开箱即用,可供第三方使用。很少有模块通过网络威胁描述语言STIX提供时间线分析、数据雕刻、关键字搜索和指示。
Dumpzilla
Dumpzilla是一个用Python 3.x编写的取证工具。它只能从Iceweasel、Firefox和Seamonkey浏览器和其他少数浏览器可以轻松获取所有必要和有趣的信息Linux、Windows和Mac。
与命令行界面一起使用时,可以使用grep、cut、sed、awk支持用户提取插件等少数工具转储和重定向管道cookie、填写书签、历史记录、密码、下载、表格等信息。
Dumpzilla还允许导出在那里JSON从文件或纯文本文件中获得的数据。若用户需要高级过滤,可轻松使用通配符和正则表达式。
Browser History
Browser History可以从不同的网络浏览器(如Google chrome、Internet Explorer、Mozilla Firefox、Microsoft Edge、Opera等)读取数据的历史记录,并显示在同一个网络浏览器中。
浏览历史表包括标题,Web浏览器、用户配置文件、访问URL、访问次数等。此浏览器历史记录允许查看用户配置文件,以便它可以运行系统。它还可以从外部硬盘驱动器中获取历史浏览。输出结果将显示为可过滤的交互式图形和历史数据。
FTK Imager
FTK Imager免费的证据收集调查工具可以用作数据预览,创建数据副本,并始终试图保留证据,而无需任何更改。它将硬盘图像保存在文件中,然后重建。
FTK Imager还能计算MD5哈希值确认了数据的完整性。为了检测网络犯罪,它提供了一种导向驱动的方法。使用该软件,用户可以获得更好的视觉效果,并恢复100个应用程序的密码。它还配备了自动数据分析工具,为不同的调查和管理提供可重复使用的配置文件。
X-Ways Forensics
X-Ways Forensics能够与他人合作,但前提是每个人都有这个工具。该软件可以读取分区并构建.dd图像文件。
该工具可以访问磁盘和磁盘RAID,支持新技术文件系统(NTFS)备用数据流(ADS)远程计算机的文件格式、支持书签或注释和分析。用户还可以在使用模板时查看二进制数据,并提供保护,以保持真实性。
CAINE
基于图形界面的完整取证环境,如果你在寻找Ubuntu的应用程序CAINE可以帮助你。由于这是一个模块,工具总是与旧的软件工具集成。
它也可以自动从RAM具有数字调查员功能的提取时间线涵盖了数字调查的四个阶段。该工具为用户提供了一个友好的界面,可以定制CAINE该软件提供不同类型的用户友好工具。
Toolsley
Toolsley它非常受欢迎,包括文件标识符、文件签名验证器、二进制检查器、哈希和验证、文本编码、数据等十种有用的调查工具URI生成器、二进制检查器和密码生成器。
ExifTool
ExifTool它是一令行界面工具,可以帮助用户读取、编辑和写入文件类型的元信息。通过它,用户可以很容易地读取GPS、IPTC、JFIF、Photoshop IRB、FlashPix、GeoTIFF等类型的文件。
它还支持许多不同的元数据格式,包括EXIF、GPS、IPTC、XMP、JFIF、GeoTIFF、ICC Profile、Photoshop IRB、FlashPix、AFCP、ID3和Lyrics3,以及佳能、卡西欧、大疆在佳能、卡西欧和大疆的注释,包括:FLIR、FujiFilm、GE、GoPro、HP、JVC/Victor、Kodak、Leaf、Minolta/Konica-Minolta、Motorola、Nikon、Nintendo、Ricoh、Samsung、Sanyo、Sigma/Foveon和Sony。
希望上述工具能帮助用户更有效地处理网络安全事件,提高调查效率。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章