盘点22款流行的计算机取证工具 _取证工具

在早前，计算机只用于生成数据，但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查，以找出网络相关罪行的主要责任人。
为了更好的用于研究和调查，开发人员创建了多样的计算机取证工具。这些电脑取证工具，也被分为了不同的类别：

磁盘和数据捕获工具；
文件查看器；
文件分析工具；
注册表分析工具；
互联网分析工具；
电子邮件分析工具；
移动设备分析工具；
mac OS分析工具；
网络取证工具；
数据库取证工具；

在本文中，我将为大家罗列一些当前流行的计算机取证工具。这里需要说明的是，本文中工具顺序并不代表工具的排名。
Digital Forensics Framework数字取证框架是另一个专门用于数字取证的流行平台。该工具是开源的，并具有GPL许可证。它同时适用于专业或非专业人员，简单易用。它可以用于数字监管链，访问远程或本地设备，windows或linux操作系统的取证，恢复隐藏已删除的文件，快速搜索文件的元数据以及其他各种功能。
下载：http://www.digital-forensic.org/
Open Computer Forensics Architecture开放式计算机取证架构（OCFA）是另一种流行的分布式开源计算机取证框架。该框架建立在Linux平台上，并使用postgreSQL数据库存储数据。
它由荷兰国家警察局创建，用于自动化数字取证过程。它可以根据GPL许可证下载。
下载：http://sourceforge.net/projects/ocfa/
CAINECAINE（计算机辅助调查环境）是用于数字取证的Linux发行版。它提供了一种以用户友好的方式将现有软件工具集成为软件模块的环境。这个工具是开源的。
阅读更多：http://www.caine-live.net/
X-Ways ForensicsX-ways Forensics是由德国X-ways出品的一个法证分析软件，它其实是Winhex的一个法证授权版，跟Winhex界面完全一样。它可以运行在所有可用的Windows版本上。下面是它的一些主要功能：

磁盘克隆和镜像功能，进行完整数据获取；
可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件；
支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问；
支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列；
自动识别丢失/删除的分区；
支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统；
无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统；
察看并获取 RAM和虚拟内存中的运行进程；
多种数据恢复功能，可对特定文件类型恢复；
基于GREP符号维护文件头签名数据库；
支持20种数据类型解释；
使用模板查看和编辑二进制数据结构；
数据擦除功能，可彻底清除存储介质中残留数据；
可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息；
创建证据文件中的文件和目录列表；
能够非常简单地发现并分析ADS数据（NTFS交换数据流)；
支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)；
强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词；
在NTFS卷中为文件记录数据结构自动加色；
书签和注释；
可以运行在Windows FE中等Windows环境；
配合F-Response可进行远程计算机分析等；

完整介绍请点击：http://www.x-ways.net/forensics/
SANS数字取证工具包 – SIFTSIFT是SANS推出的数字取证工具包，SIFT以VMware虚拟映像的形式发布，里面集成了数字取证分析所有必须的工具。适用于Expert Witness Format (E01), Advanced Forensic Format (AFF),和 raw (dd) evidence formats 。今年早些时候，SIFT 3.0发布。
在resource.infosecinstitute.com上的一篇文章中，我们已经详细介绍了SIFT 。你可以阅读关于SIFT的这些帖子，以了解更多有关SIFT取证平台的信息。
下载：http://digital-forensics.sans.org/community/downloads
EnCaseEnCase是另一款流行的多用途取证平台，具有许多不错的取证工具。该工具可以快速收集各种设备的数据，挖掘潜在的证据。它还会根据收集的证据生成相应的报告。
该工具并不免费。授权费用为995美元。
阅读更多关于EnCase的信息：https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx
Registry ReconRegistry Recon是一款流行的注册表分析工具。它可以从证据中提取注册表信息，然后重建注册表。它还可以从当前和之前的Windows安装重建注册表。