本文由Igor Mikhailov原創(chuàng)，Rockie、Leon編譯，轉(zhuǎn)載請注明。

譯者注：本文不同于以往所見羅列“XXX的10種工具”并配上人云亦云、泛泛介紹的水文，或者廠商以推廣產(chǎn)品為目的的軟文。本文作者具有豐富的工具使用經(jīng)驗(yàn)，并發(fā)表了自己較為客觀的獨(dú)到見解。雖然列出的工具種類不盡完善，但對需要了解國際上工具發(fā)展趨勢或者工具功能的從業(yè)人員具有一定的參考價(jià)值。

*編譯本文不代表譯者認(rèn)同其全部觀點(diǎn)。

伊戈?duì)枴っ坠谅宸颍↖gor Mikhailov）是Group-IB計(jì)算機(jī)取證與惡意代碼研究實(shí)驗(yàn)室的一名電子數(shù)據(jù)取證專家，下圖展示他所用工具的硬件加密狗。僅這些工具的成本就超過數(shù)萬美元，這還不包括其它免費(fèi)和付費(fèi)的軟件產(chǎn)品。哪個(gè)工具更適合于檢驗(yàn)鑒定？

本文將分享一些電子數(shù)據(jù)取證軟硬件工具解決方案及評價(jià)。

1、手機(jī)取證：硬件類

Cellebrite UFED Touch 2最初是為現(xiàn)場取證而開發(fā)的產(chǎn)品，在概念設(shè)計(jì)上有兩個(gè)分支：

• 定制平板電腦Cellebrite UFED Touch 2（或安裝在檢驗(yàn)用臺式機(jī)或筆記本上的類似Cellebrite UFED Touch 2的軟件UFED 4PC）——僅用于數(shù)據(jù)提取。

• UFED Physical Analyzer軟件——用于分析從移動設(shè)備中提取的數(shù)據(jù)。

該產(chǎn)品的設(shè)計(jì)理念是借助Cellebrite UFED Touch 2在現(xiàn)場提取數(shù)據(jù)，然后在實(shí)驗(yàn)室中用UFED Physical Analyzer分析這些數(shù)據(jù)。該產(chǎn)品的實(shí)驗(yàn)室版本是兩個(gè)獨(dú)立的軟件產(chǎn)品：UFED 4PC和 UFED Physical Analyzer，都安裝在鑒定工作站上。目前為止，這個(gè)復(fù)合軟件可以從盡可能多的移動設(shè)備中提取數(shù)據(jù)。在分析過程中使用UFED Physical Analyzer可能會遺漏某些數(shù)據(jù)，這是因?yàn)橐恍┡f的bug在新版本中被大致修復(fù)了，但仍然修復(fù)不完全。這就是為什么我們建議復(fù)核一下UFED Physical Analyzer的數(shù)據(jù)分析是否已全部完成。

MSAB XRY / MSAB XRY Field是一款瑞典Micro Systemation公司開發(fā)的類似Cellebrite的產(chǎn)品，與Cellebrite的模式不同，Micro Systemation表示他們的產(chǎn)品在大多數(shù)情況下用于臺式機(jī)或筆記本。該產(chǎn)品附帶具有顯著品牌標(biāo)識的USB集線器、一系列適配器和用于連接不同移動設(shè)備的數(shù)據(jù)線。該公司還提供了硬件產(chǎn)品MSAB XRY Field及MSAB XRY Kiosk，用于從移動設(shè)備中提取數(shù)據(jù)。產(chǎn)品有平板電腦和一體機(jī)兩種形式，實(shí)踐證明這些產(chǎn)品非常適合從老掉牙的移動設(shè)備中提取數(shù)據(jù)。

曾幾何時(shí)，波蘭公司Rusolut設(shè)計(jì)的用于芯片摘?。ㄖ苯訌囊苿釉O(shè)備的存儲芯片提取數(shù)據(jù)的方法）的硬件工具變得越來越流行。使用該設(shè)備，我們可以從損壞的移動設(shè)備、被PIN碼或圖形密碼鎖定的移動設(shè)備中提取數(shù)據(jù)。Rusolut提供了幾組適配器，用于從某些機(jī)型中提取數(shù)據(jù)。比如，一組專門用于“中國山寨機(jī)”數(shù)據(jù)提取的適配器。然而，移動設(shè)備開發(fā)商在頂級機(jī)型中廣泛使用的用戶數(shù)據(jù)加密技術(shù)導(dǎo)致了該解決方案正逐漸失寵。從存儲芯片中提取數(shù)據(jù)或許是可行的，但是提取到的數(shù)據(jù)都是加密的，而解密是一個(gè)棘手的問題。

2、手機(jī)取證：軟件類

隨著手機(jī)取證技術(shù)的發(fā)展，顯而易見的是移動設(shè)備分析軟件緊緊跟隨移動設(shè)備功能的更新。早些時(shí)候，取證鑒定人員或下令調(diào)查的人只能從電話簿、短信、彩信、通話記錄、圖片和視頻文件中獲取數(shù)據(jù)。現(xiàn)在，需要提取的數(shù)據(jù)種類更多了。除了上述提到的，通常還需要提取：

• 聊天軟件的數(shù)據(jù)；

• 電子郵件；

• 瀏覽器歷史記錄；

• 地理位置數(shù)據(jù)；

• 被刪除的文件和其它被刪除的信息/記錄。

這個(gè)列表仍在不斷擴(kuò)張，所有這些類型的數(shù)據(jù)都可以用下述軟件提取。

Oxygen是從移動設(shè)備分析中提取數(shù)據(jù)的最好軟件之一。如果想從移動設(shè)備中最大化提取數(shù)據(jù)，該軟件是最佳選擇。Oxygen中集成的SQLite和plist查看器可供按需手動檢驗(yàn)特定的SQLite數(shù)據(jù)庫和plist文件。

該軟件一開始是為在電腦上使用而開發(fā)的，因此在上網(wǎng)本或平板電腦（屏幕尺寸不超過13英寸的設(shè)備）上使用會感到不舒服。

該軟件的一個(gè)特點(diǎn)是對應(yīng)用程序數(shù)據(jù)庫文件所在的路徑的緊密綁定。安裝在智能手機(jī)上的所有應(yīng)用程序都將數(shù)據(jù)存儲在一個(gè)或多個(gè)文件數(shù)據(jù)庫中，這些數(shù)據(jù)庫位于特定的目錄中。如果在應(yīng)用程序更新后更改了數(shù)據(jù)庫的位置，Oxygen將無法找到數(shù)據(jù)庫（它認(rèn)為特定應(yīng)用程序的文件必須位于指定的路徑上，而不是在其它地方），因此將無法提取數(shù)據(jù)。這造成檢驗(yàn)必須依賴Oxygen文件瀏覽器和輔助工具手工完成。

Oxygen Forensic Suite中對手機(jī)的檢驗(yàn)結(jié)果：

近年來的趨勢是軟件功能的“融合”。最初為手機(jī)取證開發(fā)軟件的開發(fā)商在他們的產(chǎn)品中引入了硬盤檢驗(yàn)的功能，專門從事硬盤檢驗(yàn)的取證產(chǎn)品開發(fā)商增加了移動設(shè)備檢驗(yàn)的功能。這兩波開發(fā)商都增加了從云存儲中提取數(shù)據(jù)等功能，因此我們有了“多功能軟件”，在這些軟件的幫助下，我們可以對移動設(shè)備、硬盤進(jìn)行檢驗(yàn)，也可以從云存儲中提取數(shù)據(jù)，并分析從所有這些來源中提取的數(shù)據(jù)。

在我們的最佳手機(jī)取證軟件列表中，這類軟件占據(jù)了兩個(gè)位置：Magnet AXIOM （加拿大Magnet取證公司的軟件）和Belkasoft Evidence Center （Belkasoft的解決方案）。與上述的軟件和硬件工具相比，這些軟件在數(shù)據(jù)提取方面的功能較差，但它們對數(shù)據(jù)分析很有幫助，可以用于掌控完全不同類型的數(shù)據(jù)提取。這兩個(gè)軟件都在積極開發(fā)，并在移動設(shè)備檢驗(yàn)中快速拓展它們的功能。

AXIOM軟件的手機(jī)數(shù)據(jù)證據(jù)窗口：

Belkasoft Evidence Center檢驗(yàn)移動設(shè)備的結(jié)果：

3、計(jì)算機(jī)取證：只讀接口

Tableau T35U——Tableau公司的一種硬件只讀接口，可以通過USB3總線將需檢硬盤安全地連接到鑒定工作站上。這個(gè)只讀接口提供IDE和SATA接口的硬盤插槽，如果有適配器，也可以將硬盤連接到其它接口。這個(gè)只讀接口的特點(diǎn)是可以模擬“讀寫”操作，在對含有惡意軟件的硬盤進(jìn)行檢驗(yàn)時(shí)很有用。

Wiebitech Forensic UltraDock v5——由CRU公司開發(fā)的只讀接口。該產(chǎn)品的功能可以跟Tableau T35U媲美。這個(gè)只讀接口可以通過大量的接口與鑒定工作站連接（除了USB3，它還可以通過eSATA和FireWire接口連接）。如果將硬盤連接到此只讀接口，并且訪問權(quán)限受到ATA密碼限制，那么只讀接口的顯示屏上將顯示一條關(guān)于限制的消息。此外，當(dāng)連接一個(gè)具有DCO隱西藏域的硬盤時(shí)，該區(qū)域?qū)⒆詣语@現(xiàn)，以便復(fù)制其中的數(shù)據(jù)。

以上兩個(gè)只讀接口都首選USB3總線連接，為制作鏡像和分析存儲介質(zhì)的過程提供了便利的工作條件。

4、計(jì)算機(jī)取證：軟件類

1.“不走尋常路”的老炮

5年前，電子數(shù)據(jù)取證領(lǐng)域毋庸置疑的排頭兵是Encase Forensics和AccessData FTK。它們的功能相互補(bǔ)充，能從檢材中最大化提取不同類型的數(shù)據(jù)。如今，這兩個(gè)項(xiàng)目都是市場的局外人。當(dāng)前Encase Forensics的功能難以滿足對運(yùn)行Windows系統(tǒng)的計(jì)算機(jī)和服務(wù)器與時(shí)俱進(jìn)的檢驗(yàn)需求。對于一些非“一鍵到底”的場景，Encase Forensics仍然是適用的，比如檢驗(yàn)運(yùn)行Mac OS的計(jì)算機(jī)或運(yùn)行Linux的服務(wù)器，以及從罕見的文件格式中提取數(shù)據(jù)時(shí)。Encase Forensics內(nèi)置的Ensripts宏語言包含大量由開發(fā)商和愛好者實(shí)現(xiàn)的腳本庫，利用它們可以分析大量不同的操作系統(tǒng)和文件系統(tǒng)。

AccessData FTK試圖最大程度擴(kuò)展產(chǎn)品功能以跟上時(shí)代，然而數(shù)據(jù)處理的時(shí)間遠(yuǎn)遠(yuǎn)超出了一般人能夠承受的合理范圍。

AccessData FTK產(chǎn)品的特點(diǎn)是：

• 關(guān)鍵詞搜索的實(shí)現(xiàn)水準(zhǔn)很高；

• 分析各種案例，可以識別出不同案例中檢材的相關(guān)性；

• 提供自定義接口的選項(xiàng)；

• 支持罕見的文件格式（例如Lotus Notes數(shù)據(jù)庫）。

Encase Forensics和AccessData FTK都可以處理以數(shù)百TB計(jì)的海量數(shù)據(jù)。

2.軟件中的后起之秀

如今，電子數(shù)據(jù)取證領(lǐng)域無可辯駁的領(lǐng)頭羊是Magnet Axiom。該軟件不僅后發(fā)制人，還形成了功能完善的多個(gè)模塊：移動設(shè)備檢驗(yàn)、云存儲數(shù)據(jù)提取、MacOS設(shè)備檢驗(yàn)等等。該軟件具有友好的用戶功能界面，可以用于與計(jì)算機(jī)或移動設(shè)備安全相關(guān)的調(diào)查。

與Magnet AXIOM類似的是Belkasoft Evidence Center，它可以從移動設(shè)備、云存儲和硬盤中提取和分析數(shù)據(jù)。在檢驗(yàn)硬盤時(shí)，該軟件可以檢測加密文件和分區(qū)，通過指定的擴(kuò)展名提取文件，檢驗(yàn)網(wǎng)頁瀏覽器的數(shù)據(jù)，提取云端存儲的聊天記錄和信息，分析地理位置數(shù)據(jù)、電子郵件、社交網(wǎng)絡(luò)和支付系統(tǒng)數(shù)據(jù)、縮略圖、系統(tǒng)文件、系統(tǒng)日志等。對于已刪除數(shù)據(jù)的提取，它具有靈活的可定制功能。

該軟件的優(yōu)勢：

• 可以從各種數(shù)據(jù)源中提取多種類數(shù)據(jù)；

• 相當(dāng)好的內(nèi)置SQLite數(shù)據(jù)庫查看器；

• 從遠(yuǎn)程計(jì)算機(jī)和服務(wù)器中收集數(shù)據(jù)；

• 集成了用VirusTotal檢測病毒文件的功能。

該軟件的基本配置價(jià)格適中，其它擴(kuò)展功能模塊則可以單獨(dú)購買。除了基本配置之外，強(qiáng)烈建議購買“文件系統(tǒng)”模塊，沒有它就不方便調(diào)用已檢驗(yàn)過的數(shù)據(jù)源。

當(dāng)然缺點(diǎn)也是有的：軟件的界面不友好，獨(dú)立的操作不知該從何入手。因此要有效地將該軟件用在工作中需要先培訓(xùn)。

Belkasoft Evidence Center的主要窗口顯示了在檢驗(yàn)特定設(shè)備期間檢測到的取證數(shù)據(jù)的統(tǒng)計(jì)信息：

X-Ways Forensics一步一個(gè)腳印地征服了電子數(shù)據(jù)取證市場。該軟件是電子數(shù)據(jù)取證界的瑞士軍刀，它多功能、精準(zhǔn)、可靠、小巧。它的特點(diǎn)是數(shù)據(jù)處理非?？欤ㄅc其它同類軟件相比），并且它的功能恰到好處地滿足了鑒定中最基本的需求。該軟件有一個(gè)內(nèi)置的機(jī)制將假陽性的結(jié)果最小化，這意味著從一個(gè)100 GB的硬盤中恢復(fù)文件不會得到1 TB的已恢復(fù)文件（其中大多數(shù)是假陽性的誤報(bào)，通常在使用數(shù)據(jù)恢復(fù)軟件時(shí)出現(xiàn)），僅會恢復(fù)那些真正需要恢復(fù)的文件。

使用X-Ways Forensics可以：

• 查找并分析電子郵件數(shù)據(jù)；

• 分析網(wǎng)頁瀏覽器的歷史記錄、Windows日志和其它系統(tǒng)痕跡；

• 過濾結(jié)果，移除多余的內(nèi)容，只留下有價(jià)值且相關(guān)的內(nèi)容；

• 制作時(shí)間線并查看相關(guān)時(shí)間段內(nèi)的活動；

• 重建磁盤陣列；

• 掛載虛擬磁盤；

• 檢查惡意軟件。

該軟件已經(jīng)證明了它擅于手動分析從監(jiān)控錄像機(jī)（CCTV）中拆下來的硬盤。將第三方開發(fā)人員的功能模塊集成到軟件中調(diào)用它的功能也是可實(shí)現(xiàn)的。

X-Ways Forensics的缺點(diǎn)：

• 界面普通；

• 沒有完整的內(nèi)置SQLite數(shù)據(jù)庫查看器；

• 需要深度培訓(xùn)：怎樣操作可以獲得正確的結(jié)果并不是顯而易見的。

5、數(shù)據(jù)恢復(fù)工具：硬件類

如今的電子數(shù)據(jù)取證市場上，此類產(chǎn)品的領(lǐng)導(dǎo)者只有一個(gè)——ACELab。該公司生產(chǎn)的硬件工具用于分析、診斷和恢復(fù)硬盤 （PC-3000 Express、PC-3000 Portable、PC-3000 UDMA、 PC-3000 SAS）、固態(tài)硬盤（PC-3000 SSD complex）、USB閃存盤（PC-3000 flash complex）以及磁盤陣列（PC-3000 Express RAID complex、PC-3000 UDMA RAID、PC-3000 SAS RAID）。ACELab在硬件工具市場的領(lǐng)導(dǎo)地位是由上述產(chǎn)品的高質(zhì)量和價(jià)格政策決定的，這給想要進(jìn)入市場的競爭者制造了障礙。

6、數(shù)據(jù)恢復(fù)工具：軟件類

盡管存在大量各種各樣的數(shù)據(jù)恢復(fù)軟件，包括商業(yè)軟件的和免費(fèi)軟件，但是很難找到一個(gè)軟件能夠正確并完整地恢復(fù)不同文件系統(tǒng)中不同類型的文件?，F(xiàn)在，只有兩個(gè)軟件能滿足需求，它們具有幾乎相同的功能：R-Studio和UFS Explorer。其它數(shù)千種數(shù)據(jù)恢復(fù)軟件要么在功能上不如它們?nèi)疵黠@比它們爛。

7、開源軟件

Autopsy是一個(gè)很方便的工具，它可以分析Windows計(jì)算機(jī)和Android移動設(shè)備。它具有圖形界面，可用于與計(jì)算機(jī)有關(guān)的案件調(diào)查。

Photorec是最好用的免費(fèi)數(shù)據(jù)恢復(fù)軟件之一。它是類似商業(yè)軟件的優(yōu)秀替代品。

Eric Zimmerman Tools是一組免費(fèi)工具，其中每個(gè)工具都可以檢驗(yàn)一個(gè)特定的Windows痕跡。實(shí)踐證明，Eric Zimmerman Tools提高了取證人員在現(xiàn)場的工作效率。如今，這些工具可以作為一組軟件使用——Kroll Artifact Parser and Extractor （KAPE）。

8、Linux發(fā)行版

SIFT是一個(gè)Linux發(fā)行版，由專門從事網(wǎng)絡(luò)安全培訓(xùn)和事件響應(yīng)的商業(yè)組織SANS Institute開發(fā)和支持。SIFT包含大量當(dāng)前版本的免費(fèi)軟件，可以用于從各種來源提取數(shù)據(jù)并進(jìn)行分析。SIFT也可用于公司組織的培訓(xùn)，這些軟件也是不斷更新的。在工作中使用該發(fā)行版中的特定工具可以提升工作的便利程度。

Kali Linux是一個(gè)獨(dú)特的Linux發(fā)行版，可以使用它進(jìn)行安全審計(jì)和調(diào)查。2017年，Packt Publishing出版了Shiva V. N Parasram的《Digital Forensics with Kali Linux》一書，這本書給出了一些關(guān)于在這一套工具的幫助下如何復(fù)制、檢驗(yàn)和分析計(jì)算機(jī)、存儲設(shè)備、內(nèi)存數(shù)據(jù)和網(wǎng)絡(luò)流量的提示。

以上是我使用所述硬件和軟件工具對計(jì)算機(jī)和移動設(shè)備進(jìn)行檢驗(yàn)鑒定的實(shí)踐經(jīng)驗(yàn)分享，希望本文對打算購買硬件和軟件工具來進(jìn)行電子數(shù)據(jù)鑒定和案件調(diào)查的人員有用。

原文鏈接:

https://www./blog/digital_forensics_tools

聲明：本文來自數(shù)據(jù)安全與取證，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表安全內(nèi)參立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系 anquanneican@163.com。