网络技术的发展使人与人之间的联系更加紧密,但所有的事物都有两面性,网络也同样有其不良的一面。为了提升网络的安全性,更好地杜绝网络上的非法行为发生,像SIFT、Volatility Framework等一批网络取证工具就受到了全球调查人员和专业人士的重视。
所谓的网络取证就是为非法行为发生后的调查收集证据,在2002年出版的《计算机取证》一书中,计算机取证被定义为:对计算机数据的保存、鉴别、抽取、归档和解释。字面意思看似简单,但操作起来极其复杂,要知道相比于真实的现场证据取证,网络是一个虚拟的世界,在里面取证,难度可想而知,不过如果有强大的网络取证工具协助,网络取证调查员和计算机取证专业人士就可以将这些信息用作证据,将罪犯绳之于法,为此下面就给大家介绍一下目前主流的网络取证工具有哪些(排名不分先后)。
ProDiscover Forensic
ProDiscover Forensic最大的优势就在于其可以在不修改磁盘任何数据的情况下,即便文件被隐藏或删除都可以预览所有的文件。它是一款可以定位计算机上全部数据,保护证据并产生文档报告的计算机/网络安全工具。
目前很多专业人士都使用它来进行磁盘的读取,因为在ProDiscover Forensic的扇区级读取磁盘的加持下,没有数据可以在该工具面前隐身,为网络取证提供极大的便利。
Sleuth Kit (+Autopsy)
前面说的是一种磁盘扫描取证工具,而Sleuth Kit则属于一种命令行接口/工具的集合,在该工具的加持下,专业人员就可以检查受害设备的磁盘镜像,恢复被破坏的文件,当然了Sleuth Kit一般与其他很多开源或商业取证工具一起用在Autopsy数字取证平台中,这样子的网络取证才会更加高效。
CAINE
CAINE的优势是其拥有友好的用户界面,方便使用者使用,它是一套基于Linux系统打造的产品,更多只是一个计算机辅助的调查环境工具,还需要跟其他网络取证工具协作使用才能发挥实力。
X-Ways Forensics
使用网络取证工具往往都会相当的耗费资源,而且检索也相当缓慢,但X-Ways Forensics不怎么占资源,还可以存放在U盘中,无需在Windows系统上进行额外的安装,同时在搜索被删除文件的速度上也更快,因此成为了目前取证调查人员广泛使用的高级工作平台。
Xplico
有些网络取证工具针对的是磁盘上的取证,而有些则是注重于网络流量上的内容,而Xpilco就是属于后者的代表,它是一款开源的网络取证分析工具,支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6多种协议,可以重建Wireshark、Ettercap等包嗅探器抓取的网络流量内容,实现对任何地方的内容获取。
Volatility Framework
Volatility Framework是一个与高级内存分析及取证直接相关的框架,正因为该工具可以分析到受害系统中的易变内存,实现了使用RAM(易变内存)数据监视运行时进程和任意系统状态而闻名,目前该框架已经被国家司法机构、国防力量或全球任意商业调查机构所使用,大大提升了取证的效率。
为网络取证快速提供数据支持——Gigamon
看了几款主流的网络取证工具,肯定有人会问G探长,这些网络取证工具的数据是怎么来的?那除了扫描硬盘网,网络取证的工具数据来源就要关乎到一些数据公司的合作了,而提供网络可视化服务的 Gigamon就算是其中之一。
专注速度与安全,两者兼得。成立于2004年,距今已经有16年的历史,可以说是见证了整个互联网的高速快速发展时期,它是DAN数据接入领域(Data Access Network)的开拓者,开创了DAN 数据访问网络市场,长期以来致力于网络性能提速、网络安全,在2008年的时候更是被Frost & Sullivan评为全球监测领域最佳新兴技术公司,在网络取证方面给予了强力的支持。
目前Gigamon已经与全球50个国家的运营商、金融、政府和制造等行业展开良好的合作,用户的各种性能分析与安全监测工具可以自由地从网络中获取数据,也为后续的网络取证提供了便利,大大增强了网络的安全性。
通过对目前主流的网络取证工具介绍,相信大家对如何实现网络取证已经有初步的了解,通常而言,这些工具都主攻于某一方面的取证,例如Registry Recon注重的是注册表,Sleuth Kit注重的是磁盘扫描,而在取证工具前端,Gigamon注重的是DAN数据接入领域。专业调查人员正是通过这些工具的辅助,才得以换来我们安全的网络环境,防止网络犯罪的蔓延,将犯人绳之以法。
(文中图片来源自网络)
閱讀更多 Gigamon數據偵探 的文章
