【OSForensics】从计算机中提取取证数据的工具
目录:
计算机取证 是指检查计算机是否有可能解决问题的数据痕迹 - 无论是合法还是工作场所相关或个人使用。虽然术语计算机取证是一种专业人士使用高端工具恢复和检查数据的形象,但即使是外行人员也可以使用这些工具。本文讲述了一些最好的 免费计算机取证工具 和我在某个时间点遇到的软件。
免费计算机取证工具
P2 eXplorer
这是一个我最喜欢的工具。并不是说我已经有了真正的用途,但是我发现它很有趣,因为它可以让您浏览磁盘映像而不必将其刻录到DVD。您只需将磁盘映像安装到计算机上的其中一个可用字母上,然后在Windows资源管理器中打开它。由于它是一个磁盘映像,因此它是只读的。这意味着您可以查看内容但无法对其进行更改。尽管如此,如果您必须详细检查磁盘或者有太多计算机磁盘需要检查时,它是一个重要的工具。您在一个界面中拥有所有数据,您只需安装图像文件并进行研究即可。
P2 eXplorer提供免费和付费版本。免费版仅在32位操作系统中运行。它不安装EnCase v7映像,也不安装任何虚拟机文件。付费版本在其网站上突出显示,但免费版本链接位于网站右侧。
数字取证框架
这是一个开源软件,它允许:
- 写入阻止
- 读取不同类型的文件格式,而不考虑操作系统;您也可以使用此软件从Windows操作系统恢复原始Linux文件
- 远程访问磁盘和驱动器
- 恢复和检查已删除和隐藏的文件
- 可以轻松读取文件的标题,以便知道哪些文件深入挖掘以获取更多信息
最重要的是,具有良好计算机知识的人可以构建自己的代码,并将其与数字取证框架API一起使用。
HxD
这是另一个易于使用的工具,可分析文件系统并恢复已故意删除或以其他方式删除的文件。它也可以修改RAM(系统内存)。它可以处理任何大小的文件。该界面易于使用,因此可供任何人不知道计算机工作方式的人使用。您可以从制造商的网站下载HXD。
PlainSlight
PlainSlight是另一款免费的计算机取证工具,它是开源的,可帮助您以不同的方式预览整个系统。它易于使用界面和自解释标签,使人们(即使对电脑的内部功能知之甚少)也能毫不费力地使用它。它可以恢复已删除的文件,恢复隐藏的文件和文件夹。它可以帮助获取硬盘信息,查看用户组和群组信息,检查USB存储信息等。尽管我喜欢它的易用性,但除了计算机取证的基础知识之外,它不提供许多功能。我们已经看到P2 eXplorer可以恢复文件片段并将它们以可读形式放置。相比之下,真的很简单。
Bulk Extractor
这是一个很好的工具,因为它会忽略文件表并直接解析磁盘。这使它能够记录隐藏的,系统和删除的文件。然后可以将这些信息汇总成类似的条目并使用其他工具进行分析。您可以从GitHub下载批量提取器。
所有这些工具都适用于大多数最新的Windows版本。如果我错过了任何免费或开源的计算机取证工具,请告诉我们。