计算机取证工具

计算机取证工具报告

作为安全维护人员，要想知道怎样最好的使用计算机取证工具首先要知道的是计算机取证工具应工作在万能的，灵活的，生命力旺盛的操作系统，文件系统的环境下，同时我们还应当掌握好我们所需要分析的应用文件的种类：如果我们要取证的对象具有从单一的功能成分到复杂的计算机系统和服务，我们就应当采用硬件取证工具；如果我们想要知道取证对象所输入的命令行，图形用户界面等，我们就需要采用软件取证工具。取证工具还应具有大容量或适宜容量的版本，其自动化功能要非常的理想，此外，还应确保我们所购买商品的卖主的名声要非常的好。这样才能保证计算机取证工具存活在一个非常健康的环境中，适当的发挥其作用。

一、评价使用计算机取证工具的需求

寻找万能的，灵活的，精力充沛的操作系统，文件系统，版本容量，自动化的功能，卖主的名声

二、掌握好你所要分析的应用文件的种类

计算机取证工具的种类：硬件取证工具，从单一功能的成分到复杂的计算机系统和服务软件取证工具：类型：命令行，图形用户界面：经常用于将数据从嫌疑人的光驱上变成图像文件。

专用的（SafeBack – Disk acquisition only），普遍的（Encase，FTK）

Digital Intelligence UltraKit

Digital Intelligence F.R.E.D.(Forensic Recovery of Evidence Device)

Digital Intelligence F.R.E.D.D.I.E Forensic Recovery of Evidence Device (Diminutive Interrogation Equipment)

Digital Intelligence FRED L

Digital Intelligence FRED Sr

Digital Intelligence FRED M

DIBS USA

三、计算机取证软件的工作

获取：为了得到罪犯不法记录的证据，计算机取证要求我们得到的可能是数据的逻辑或物理版本格式，或者是是用户图层界面，或者是命令行的获取，及远距离的信息获取。其中物理数据要求得到的是整个驱动装置的信息，逻辑数据是磁盘的部分信息。

计算机取证工具的用途：获取，验证和描述，抽取，重建，报告

（一）获取：

1、逻辑数据版本（copy）

（1）数据获取格式

（2）命令行获取

（3）图形用户界面获取

（4）远距离的获取

2、校验

3、两种数据复制方法在软件取证中的应用

（1）整个磁盘的物理复制

（2）部分磁盘的逻辑复制

4、千变万化的磁盘取证形式

从原始数据到卖主专用的私有压缩数据。

5、使用任何十六进制的编辑器你都可以浏览到未经修改的文件夹的内容。

6、现在能买到的获取工具都是具有讲一个文件分割到好几个小部分的特征。

7、每一种计算机取证工具都有一种校验数据复制过程的功能。

（二）辨别和描述

1、验证

保证所复制的数据的完整性

2、数据的描述

包括分类和调查全部的调查数据

3、验证使所有的描述成为正确的

如果没有调查，那么你就不可能说明数据的作用

4、其他的一些功能

（1）哈希值

CRC-32, MD5, Secure Hash Algorithms

（2）过滤

建立在哈希值的基础上的

（3）分析文件的标题

根据他们的类型对文件进行分类

（4）全国软件参考图书馆(NSRL)编写了已知的文件名单切细

为各种各样OSs、应用和图象

（5）很多的计算机取证工具项目中包含一些普通的标题评估列表

如这样的文件：你可以很清楚一个文件具有这种文件扩展名是否正确

（6）大多数的取证工具能验证标题的评估过程

（三）抽取，析出

很多时候我们会问为什么要进行数据的抽取，下面是抽取数据的重要性

1、在计算机调查中恢复计算机原本的工作内容

2、有时候在调查的过程中需要掌握很多的工作内容

3、恢复数据往往在调查中是第一步

4、其他的一些作用

（1）数据浏览

在进行数据浏览的过程中，我们应知道

1.1数据被怎样的浏览时取决于我们使用的是什么样的工具

1.2磁盘间谍——逻辑结构

1.3装入/FTK——多样性浏览器

（2）关键字搜查

在关键字的搜索的过程中，是很容易就可以加快分析或调查的速度的，但是在使用关键字的搜索的过程中，我们也需要掌握：

2.1保证恢复关键字的准确性

2.2这个过程可能会非常的耗费时间并且很发杂

2.3必须明确使用的工具是否能完成直接搜索或调查

2.4使用索引可以提升搜索的速度（但是这需要更长的分析时间）

（3）解压，减压

这部分工作的内容如下：

3.1ＦＴＫ能解压档案文件和封锁的文件，而装入技术却不行

3.2装入技术要求创建原本，而解压技术则没有此种规则

（4）刻录

下面是一些刻录的要求和内容以及其重要性

4.1重建已删除的文件中或其他的一些没有定位空间的图标的信息

4.2可能需要用到一些文件标题中的一些信息

（5）翻译，解密

下面是对解密技术的一些相关的技术要求：

5.1很有可能在文件上，隔离空间或磁盘上的一些数据等都很重要

5.2 许多密码补救工具有引起密码列出是潜在的一个特点(FTK) ，引起密码库的被攻击5.3如果密码库遭到工具，你就可能会遭遇暴力攻击的经历

（6）作标签

在第一次找到证据的时候就在一下标签，以方便下来的引用或报告的工作

（四）重构，恢复机制

1、重新构建犯罪嫌疑人的驱动等来显示在犯罪或事故的时间段内，嫌疑人在干什么？

2、其他的一些功能

（1）磁盘对磁盘的复制

（2）镜像对磁盘的复制

（3）部分对部分的复制

（4）镜像对部分的复制

3、一些被用作于镜像对磁盘的工具

SafeBack，SnapBack，EnCase，FTK Imager，ProDiscover

（五）报告

1、为了完成对磁盘取证的分析和测试，我们需要建立一个报告

2、一些其他的作用

（1）原报告

（2）报告大概的事件

3、这份报告可以作为你调查的最终的报告结果

（六）计算机取证工具的一些其他的内容

1、考虑的内容

（1）灵活性

（2）可靠性

（3）可扩展性

（4）在你的工具中表留一个老版本的库

2、建立一个软件的库包括老版本的取证工具设施，操作系统和其他的一些项目

3、基本的一些策略：命令行，如DOS，LINIX/UNIX，或者图形用户界面

四、计算机软件取证工具

1、第一个可以从封装的粗盘里或硬盘中读取并分析数据的工具是用于IBM个人电脑的文件系统的MS-DOS工具

2、诺顿的磁盘编辑器

第一个MS-DOS工具用于计算机调查的一种工具

3、优点

命令行工具需要很少的文件系统资源：在一种很小的形势下运行

4、*NIX的命令行工具：此种工具收到越来越多的家庭用户的青睐，很多不同版本的操作系统可以使用