网络技术的发展使人与人之间的联系更加紧密,但所有的事物都有两面性。网络也同样有其不良的一面!为了提升网络的安全性,更好地杜绝网络上的非法行为发生 。像SIFT、Volatility Framework等一批网络取证工具就受到了全球调查人员和专业人士的重视 !
所谓的网络取证就是为非法行为发生后的调查收集证据 ,在2002年出版的《计算机取证》一书中。计算机取证被定义为:对计算机数据的保存、鉴别、抽取、归档和解释!字面意思看似简单,但操作起来极其复杂 。要知道相比于真实的现场证据取证 !网络是一个虚拟的世界 ,在里面取证难度可想而知 。不过如果有强大的网络取证工具协助!网络取证调查员和计算机取证专业人士就可以将这些信息用作证据 ,将罪犯绳之于法 。为此下面就给大家介绍一下目前主流的网络取证工具有哪些(排名不分先后) !
ProDiscover Forensic,
ProDiscover Forensic最大的优势就在于其可以在不修改磁盘任何数据的情况下,即便文件被隐藏或删除都可以预览所有的文件。它是一款可以定位计算机上全部数据!保护证据并产生文档报告的计算机/网络安全工具,
目前很多专业人士都使用它来进行磁盘的读取 ,因为在ProDiscover Forensic的扇区级读取磁盘的加持下 。没有数据可以在该工具面前隐身!为网络取证提供极大的便利 ,
Sleuth Kit (+Autopsy) ,
前面说的是一种磁盘扫描取证工具,而Sleuth Kit则属于一种命令行接口/工具的集合 。在该工具的加持下 !专业人员就可以检查受害设备的磁盘镜像,恢复被破坏的文件。当然了Sleuth Kit一般与其他很多开源或商业取证工具一起用在Autopsy数字取证平台中 !这样子的网络取证才会更加高效 ,
CAINE的优势是其拥有友好的用户界面,方便使用者使用 。它是一套基于Linux系统打造的产品 !更多只是一个计算机辅助的调查环境工具,还需要跟其他网络取证工具协作使用才能发挥实力。
G探长:全球调查人员和专业人士都偏爱的网络取证工具都有哪些?_随缘企登
X-Ways Forensics,
使用网络取证工具往往都会相当的耗费资源 ,而且检索也相当缓慢。但X-Ways Forensics不怎么占资源!还可以存放在U盘中,无需在Windows系统上进行额外的安装 。同时在搜索被删除文件的速度上也更快 !因此成为了目前取证调查人员广泛使用的高级工作平台,
有些网络取证工具针对的是磁盘上的取证,而有些则是注重于网络流量上的内容 。而Xpilco就是属于后者的代表 !它是一款开源的网络取证分析工具,支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6多种协议 。可以重建Wireshark、Ettercap等包嗅探器抓取的网络流量内容!实现对任何地方的内容获取 ,
Volatility Framework
,Volatility Framework是一个与高级内存分析及取证直接相关的框架,正因为该工具可以分析到受害系统中的易变内存 。实现了使用RAM(易变内存)数据监视运行时进程和任意系统状态而闻名 !目前该框架已经被国家司法机构、国防力量或全球任意商业调查机构所使用 ,大大提升了取证的效率 。
为网络取证快速提供数据支持――Gigamon ,
看了几款主流的网络取证工具,肯定有人会问G探长。这些网络取证工具的数据是怎么来的?那除了扫描硬盘网!网络取证的工具数据来源就要关乎到一些数据公司的合作了 ,而提供网络可视化服务的 Gigamon就算是其中之一。
G探长:全球调查人员和专业人士都偏爱的网络取证工具都有哪些?_随缘企登
速度与安全两者兼得成立于2004年,距今已经有16年的历史 。可以说是见证了整个互联网的高速快速发展时期 !它是DAN数据接入领域(Data Access Network)的开拓者 ,开创了DAN 数据访问网络市场 。长期以来致力于网络性能提速、网络安全!在2008年的时候更是被Frost & Sullivan评为全球监测领域最佳新兴技术公司,在网络取证方面给予了强力的支持。
目前Gigamon已经与全球50个国家的运营商、金融、政府和制造等行业展开良好的合作 ,用户的各种性能分析与安全监测工具可以自由地从网络中获取数据 。也为后续的网络取证提供了便利 !大大增强了网络的安全性,
通过对目前主流的网络取证工具介绍 ,相信大家对如何实现网络取证已经有初步的了解。通常而言这些工具都主攻于某一方面的取证 !例如Registry Recon注重的是注册表,Sleuth Kit注重的是磁盘扫描。而在取证工具前端 !Gigamon注重的是DAN数据接入领域 ,专业调查人员正是通过这些工具的辅助。才得以换来我们安全的网络环境!防止网络犯罪的蔓延,将犯人绳之以法。