阅读更多:http://arsenalrecon.com/Apps/recon/
The Sleuth KitSleuth Kit是一个基于Unix和Windows的工具,可帮助你对计算机进行取证分析 。它配备了各种有助于数字取证的工具 。这些工具有助于分析磁盘映像,对文件系统进行深入分析以及其他各种功能 。
阅读更多:http://www.sleuthkit.org/
LlibforensicsLibforensics是一个是专门用于获取和分析数字取证的数字取证应用程序库 。它是由Python开发的,并附带各种演示工具以便从各种类型的证据中提取信息 。
阅读更多:http://code.google.com/p/libforensics/
VolatilityVolatility是一个内存取证框架 。主要用于事件响应和恶意软件分析 。使用此工具,你可以从正在运行的进程,网络套接字,网络连接,DLL和注册表蜂巢提取信息 。它还支持从Windows故障转储文件和休眠文件中提取信息 。此工具根据GPL许可证免费提供 。
阅读更多:http://code.google.com/p/volatility/
WindowsSCOPEWindowsSCOPE是用于分析易失性存储器的另一种内存取证和逆向工程工具 。它主要用于恶意软件的逆向工程 。它提供了分析Windows内核,驱动程序,DLL,虚拟和物理内存的功能 。
阅读更多:http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart
The Coroner's ToolkitCoroner工具包或TCT也是一个非常好用的数字取证分析工具 。它运行在几个与Unix相关的操作系统下 。它可用于计算机灾难分析和数据恢复 。
阅读更多:http://www.porcupine.org/forensics/tct.html
Oxygen Forensic SuiteOxygen取证套件主要用于手机上的证据收集 。Oxygen会为我们收集设备的各种信息(包括制造商,操作系统,IMEI号码,序列号),联系人,消息(电子邮件,短信,彩信),还可以恢复已删除的消息,通话记录和日历信息 。
阅读更多:http://www.oxygen-forensic.com/en/features
Bulk ExtractorBulk Extractor(批量提取器)也是一款重要和流行的取证工具 。它会扫描文件的磁盘映像,文件或目录以提取有用的信息 。由于在这个过程中,它忽略了文件系统结构,所以它比其他同类型的工具执行速度要快许多 。情报和执法机构基本上都会用这款工具,来解决一些网络犯罪问题 。
下载:http://digitalcorpora.org/downloads/bulk_extractor/
XplicoXplico是一款开源的网络取证分析工具 。主要用于,从使用Internet和网络协议的应用程序中提取有用的数据 。它支持大多数流行的协议,包括HTTP,IMAP,POP,SMTP,SIP,TCP,UDP,TCP等 。该工具的输出数据,会被存储在MySQL数据库的SQLite数据库中 。同时,它也支持IPv4和IPv6 。
阅读更多:http://www.xplico.org/about
Mandiant RedLineMandiant RedLine是一款流行的,用于内存和文件分析的工具 。Mandiant RedLine主要收集有关在主机上运行的进程信息,内存中的驱动程序,并收集其他数据,如元数据,注册表数据,任务,服务,网络信息和Internet历史记录,并最终构建适当的报告 。
阅读更多:https://www.mandiant.com/resources/download/redline
Computer Online Forensic Evidence Extractor (COFEE)计算机在线法庭科学证据提取器,是专为计算机取证专家开发设计的一款工具包 。该工具由Microsoft开发,用于从Windows系统收集证据 。它可以被安装在USB驱动器或外部硬盘上 。取证人员只需将USB插入目标计算机中,即可进行实时的分析 。COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具 。而且它的分析速度也非常的快,大概在20分钟左右就可以完成对目标系统的完整分析 。对于执法机构,此外,Microsoft还为使用该工具的执法机构,提供免费的技术支持 。
官方站点:https://cofee.nw3c.org/
P2 eXplorerP2 eXplorer 这款取证图像挂载工具的设计旨在帮助调查员管理和调查证据 。利用 P2 eXplorer,您可以将取证图像作为只读的本地逻辑磁盘和物理磁盘进行挂载 。一旦挂载完毕,您可以使用 Windows Explorer 浏览图像内容,或将其加载到您的取证调查分析工具中 。因为将图像作为物理磁盘挂载,您可以查看已删除的数据、以及未分配的图像空间 。
它可以一次安装多个图像 。它支持大多数图像格式,包括EnCasem,safeBack,PFR,FTK DD,WinImage,以及来自Linux DD的RAW图像,和VMWare图像 。
此工具有收费和免费版本,收费版本需要支付$199,免费版本的部分功能将无法使用 。
阅读更多:https://www.paraben.com/p2-explorer.html
PlainSightPlainSight是一个基于Knoppix(Linux发行版)的Live CD,它允许用户执行数字取证任务,如查看互联网历史记录,数据刻画,USB设备使用信息收集,检查物理内存转储,提取哈希密码等 。
推荐阅读
- 抖音比较流行的趣味活动 抖音年货节怎么进
- 泡茶流程图,冷泡茶的好处
- 泡茶流程,泡茶13个流程,十三道茶道操作流程如下
- 泡茶13个流程,泡茶13个流程,十三道茶道操作流程如下
- 淘宝开店的流程,必须符合哪些条件 在淘宝开店的规则和要求
- 淘宝直播付费引流有用吗 淘宝直播推广引流方法有哪些
- 出车祸保险公司怎么赔偿?出车祸后保险处理流程
- 抖音怎么样吸粉引流 抖音粉丝引流可以做吗
- 手机恢复出厂设置后,会跟新机一样流畅?其实是治标不治本
- 抖音限流怎么办? 解除抖音限流六大技巧