2022年热门数字取证和事件响应(DFIR)工具盘点
作者: 日期:2022年10月21日 阅:2,095

每个企业的安全团队都应该提前储备一款好用的数字取证工具,因为从轻微的网络违规到严重的网络攻击和数据泄露事件处置,数字取证软件有助于更快速的解决问题,并查明问题根源。同时,由于互联网和全球化的发展,网络犯罪形式也在多样化,借助可靠的数字取证分析工具,可以帮助执法人员获取关键性的数字证据,从而对不法分子进行处罚。

随着网络犯罪分子的攻击频率和严重程度不断提高,数字取证市场目前发生了很大变化,可以用两个词来概括:速度和准确率。如何尽快将违法证据提交给调查人员是将网络犯罪分子绳之以法的关键,特别是对于那些应用广泛的便携移动设备。因此,安全人员正在通过将自动化技术纳入数字取证工作流程来实现更快的取证速度,同时更完整的保留证据链。而拥有一个可以收集、处理和审查所有类型设备数据的协作取证平台,正在成为企业组织优化数字调查取证流程的最佳方式。

本文收集整理了目前国际市场上最热门的数字取证和事件响应(DFIR)软件工具,它们有助于帮助企业打击网络犯罪和保护数字资产。

01 Paraben

Paraben公司于1999年进入网络安全市场,专注于数字取证、风险评估和安全解决方案。Paraben的取证调查主要针对电子邮件、计算机、智能手机和物联网设备。

应用特点

•Paraben E3取证平台实现了对来自多个数据源数据的简化分析。

•可实现哈希数据库过滤,对文件、十六进制、文本、RTF以及电子邮件查看器进行自动嵌入式数据检测(OLE)。

•可以提供远程访问,从计算设备和云存储环境进行数据采集。

•可为Xbox和Amazon Echo等产品提供物联网取证支持,可为Google、Dropbox和Slack提供云取证支持。

02 Sleuth Kit和Autopsy

Sleuth Kit(TSK)和Autopsy是两款流行的开源数字调查工具,其中Sleuth Kit可帮助管理员通过众多用于调查磁盘映像的命令行工具库来分析文件系统数据,而Autopsy是一种图形化用户界面(GUI)的数字取证平台,用于公共和私有计算机系统调查,对TSK的功能进行补充。

应用特点

•TSK提供了备受好评的磁盘和数据捕获工具。

•功能包括时间轴分析、哈希过滤、文件和文件夹标记以及多媒体提取。

•Autopsy让用户可以高效地分析硬盘和智能手机。

•其插件架构让用户可以查找附加模块,或者用Java或Python开发自定义模块。

•TSK的核心功能是分析卷和文件系统数据。

03 OpenText

OpenText公司成立于1991年,提供企业内容管理、网络、自动化、发现、安全和分析服务。OpenText EnCase解决方案包括Endpoint Security(端点检测和响应,即EDR)、Endpoint Investigator(DFIR)、Forensic、Mobile Investigator和Advanced Detection。这些解决方案有助于从多种类型的设备和硬盘驱动器中恢复证据、自动发现证据、深度分析证据以及收集保存证据。

应用特点

•EnCase Forensic已得到部分司法机构的认可,可用于查找、解密、收集和保存来自多种计算机设备的取证数据,同时确保证据完整性,并与司法调查流程集成。

•EnCase可以从诸多来源获取证据,并深入挖掘每个来源,以发现可能相关的信息。

•预定义或定制的条件和过滤器可以快速找到证据。

•证据处理、集成式工作流程和灵活的报告都是EnCase提供的功能。

•平台按重要性对证据排序。

04 Magnet Forensics

Magnet Forensics由加拿大退役警务人员创建,主要为公共和私营组织提供数字取证调查工具。产品包括用于事件响应的Magnet Axiom Cyber、Magnet Automated Enterprise以及用于分类的Magnet Ignite。

应用特点

•应用较广泛,目前已经在全球100多个国家、地区拥有4000多家客户。

•支持多种数字取证源,而不仅仅是针对Linux和Windows操作系统。

•可以用于执行远程获取事件,并恢复和分析来自计算机、云和移动设备的证据。

•是一种自动化解决方案,可用于在安全事件发生后同时收集和处理来自多个端点的证据。

•可执行快速远程扫描,并对端点进行初始分析。

05 CAINE

计算机辅助调查环境(CAINE)是一款基于Ubuntu和Linux的开源发行版工具,用于数字取证。CAINE可以与现有的各种Windows、Linux和Unix系统版本安全工具相集成。

应用特点

•CAINE提供了从随机访问存储器(RAM)自动提取时间线的功能。

•是一种可互操作的环境,在数字调查的四个阶段支持数字调查人员。

•所有模块设备在只读模式下都会被阻止。

•具有图形化的操作界面,使用方便

•能够确保相关磁盘都受到保护,避免意外读写操作。

06 Kroll Computer Forensics

Kroll的计算机取证工具和专家服务能够让各种数字证据不被忽视,并在调查或诉讼流程的各个阶段提供取证帮助,无论数据源如何复杂。

应用特点

•可结合使用计算机取证专长和传统调查技术,分析物理和数字证据,以查明发生事件详细情况。

•基于防御性的解决方案可用来识别和安全保存电子数据。

•可以满足复杂环境下数据的采集需求,用于电子调查和取证分析或取证发现。

•当数据被有意、无意的删除或篡改时,Kroll也可以通过分析留下的数字线索,以发现关键信息。

•提供7*24小时的专家服务,并可为客户担任专家证人或特别专员。

07 SIFT Workstation

SIFT Workstation是一套免费开源的事件响应和取证工具,用于执行数字取证检查。SIFT Workstation提供了一系列免费开源的DFIR解决方案,还提供了多种部署选项,包括虚拟机、Ubuntu上的原生安装,或通过Linux子系统安装。

应用特点

•可在64位操作系统上运行,并自动更新软件,增添最新的取证工具和技术,还可以帮助内存优化。

•SIFT Workstation应用广泛,下载量超过125000人次。

•SIFT Workstation主要用作SANS事件响应、网络取证和网络威胁情报培训的一部分。

•可以分析文件系统、网络证据和内存映像等。

•支持NTFS、ISO9660 CD、HFS和FAT等文件格式。

08 Exterro

Exterro专门开发基于工作流程的软件和治理风险合规(GRC)解决方案,在协助内部法务团队、简化合规流程和控制风险方面尤其具有价值。Exterro的产品涵盖电子发现、隐私保护、风险管理和数字取证。公司推出的FTK取证产品功能包括Mac和移动数据调查、远程代理端点收集、可扩展的数据处理环境(DPE)和自动化工作流程。

应用特点

•Exterro的操作符合SOC 2 Type 2认证和FedRAMP授权。

•产品分为FTK Imager、FTK Lab、FTK Central、FTK Enterprise和FTK Connect多个模块

•产品已在数字取证领域使用了30多年,用于可重复、可靠性需求高的取证调查。

•所有FTK解决方案的特点是快速处理数据,包括提取移动数据。

•可以提供远程端点调查、分类、收集和修复功能呢。

09 Volatility

Volatility是一款命令行内存分析和取证工具,用于从内存转储中提取信息,其中用于事件响应和恶意软件分析的取证框架是用Python编写,支持Microsoft Windows、Mac OS X和Linux操作系统。

应用特点

•不需要安装Python脚本解释器。

•内存取证技术使调查人员能够使用RAM数据分析系统运行时状态。

•了解操作系统的内部、恶意代码和异常,这些信息有助于改善工具应用功能。

•嵌入式API可用于查找页表条目(PTE)标志。

•Volatility支持内核地址空间布局随机化(KASLR)。

10 X-Ways

X-Ways Forensics是面向计算机取证检验人员的工作环境,基于WinHex十六进制和磁盘编辑器,并可以提供额外的磁盘和数据捕获软件、克隆、映像及其他工具。

应用特点

•便携式应用,可在插入任何Windows系统的U盘上运行,无需安装。

•计算机取证检验人员能够与使用X-Ways 的调查人员共享数据和协作。

•可在Windows XP/2003/Vista等旧版本的操作系统下运行。

•能够自动检测丢失或删除的分区。

11 Cellebrite

Cellebrite于1999年成立,专门为需要收集、审查、分析或管理设备数据的组织提供移动设备取证服务。Digital Intelligence Investigative Platform(数字情报调查平台)有助于统一调查生命周期和保存数字证据。

应用特点

•Cellebrite通用取证设备(UFED)可以提取物理和逻辑数据。

•恢复方法包括专用引导加载程序、自动紧急下载(EDL)功能和智能安卓调试桥(ADB)。

•Cellebrite可以在Windows和Mac上提供取证分析功能。

•可以查找互联网历史记录、下载件、最近搜索的内容、热门网站、位置、介质、消息、回收站、USB连接等多种信息。

•提供AI辅助的图片和视频分类、过滤以及支持全磁盘加密等功能。

12 ProDiscover

ProDiscover成立于2001年,旨在帮助公共和私营组织打击数字犯罪,截至2022年,这家总部位于印度的供应商在70多个国家、地区开展业务。ProDiscover Forensics可以从计算机系统捕获用于取证调查的证据,以收集、保存、过滤和分析证据。

应用特点

•ProDiscover提供三种产品,侧重计算机取证、事件响应、电子发现和公司政策合规调查。

•ProDiscover可查找计算机磁盘上的数据,并保护证据和创建报告。

•可以从JPEG文件中提取EXIF数据

•可以复制可疑的磁盘,并进行取证分析

•为VMware等虚拟化应用提供运行捕获映像功能。

13 Wireshark

Wireshark最早开发于1998年,可取证调查和分析网络数据包,并对网络进行测试和故障排查,包括在封装数据结构的三窗格数据包浏览器中检查数百种协议。

应用特点

•Wireshark可以与多平台兼容,支持Windows、Linus、macOS、Solaris、FreeBSD和NetBSD。

•具有网络分析功能,可用于VoIP设备的取证分析。

•Wireshark可以捕获用gzip压缩的文件,并导出为XML、CSV或纯文本。

•提供实时捕获和离线分析,用户可以看到网络上发生的情况。

14 Xplico

Xplico创立于2007年,这款网络取证分析工具可通过数据包嗅探器重构数据,擅长与端口无关的协议识别(PIPI),以重构应用程序数据来识别协议。作为一款免费开源工具,Xplico旨在从捕获的互联网流量中提取应用程序数据。

应用特点

•Xplico支持HTTP、IMAP、POP、SMTP和IPv6等协议。

•Xplico可创建XML文件,识别重新组装的每个数据结构中含有的数据流和pcap(输入文件)。

•提供多线程机制,没有数据输入限制。

•可以从DNS包中执行反向域名系统(DNS)查找。

15 LogRhythm

LogRhythm公司以SIEM、威胁情报以及UEBA产品为主要业务,成立于2003年。目前,公司通过一项名为NetMon的方案添加了网络取证功能,这是其整体安全解决方案的一部分,但也可以作为独立的模块来交付提供。

应用特点

•LogRhythm聚合数据包捕获和派生的元数据,保存日志数据,并使用网络取证传感器填补空白。

•LogRhythm会重点关注事件取证的平均响应时间(MTTR)。

•LogRhythm可以识别3000多个应用程序及元数据,可以深入了解网络会话。

•基于脚本的深度数据包分析(DPA),可用于实现实时的检测取证。

16 Global Digital Forensic

Global Digital Forensic公司提供计算机取证分析和诉讼支持服务超过20年,支持目前几乎所有数字化设备的取证服务,同时还提供电子发现服务、渗透测试和漏洞响应服务。

应用特点

•Global Digital Forensic有自己的实验室和全球响应网络,能够针对各种IT环境中的几乎任何信息化系统进行取证分析。

•在部分国家,GDF取证结果可在司法诉讼中作为证据。

•可以提供数据检索和恢复服务。

•可以为客户提供取证准备和就绪情况的评估。

参考链接:


相关文章