11、數字取證
11.1取證分割工具集
11.1.1 magicrescue 基於特徵碼文件恢復工具,該工具直接從磁盤中讀取原始數據,搜索特徵碼。一旦找到已知類型的特徵碼,就根據滲透測試人員提供的提取策略調用第三方工具提取數據,並進行保存。爲了方便對提取的數據整理,該工具還提供去重功能和分類保存功能。
11.1.2 scalpel 掃描整個鏡像文件,根據配置文件尋找相關文件類型的文件頭和文件尾,正常找到後將這段內容雕刻出來;當找到了文件的頭部,但是在它附近沒有找到文件尾標誌的時候,scalpel提供兩種處理方式,一是放棄對該文件的雕刻,二是根據自定義的各類文件的最大長度進行雕刻
11.1.3 scrounge-ntfs 該工具可以從受損的NTFS分區中恢復數據。在恢復之前,用戶需要了解目標磁盤的基本信息,如簇大小。爲了方便獲取信息,該工具也提供輔助選項,用於搜索和顯示分區信息。
11.2取證鏡像工具集
11.2.1 guymager 該工具採用圖形界面化方式,提供磁盤鏡像和磁盤克隆功能。它不僅生成dd的鏡像,還能生成EWF和AFF鏡像。在生成過程中,滲透測試人員不僅可以採用兩次讀操作驗證數據的正確性,還可以對鏡像文件進行額外的校驗。由於採用多線和多處理機技術,該工具可以極大提升讀取和壓縮速度。
11.3數字取證套件
11.3.1 autopsy 是數字取證工具-TheSleuthKit(TSK)的圖形界面,一個用來分析磁盤映像和恢復文件的開源取證工具。提供在磁盤映像中進行字符串提取,恢復文件,時間軸分析,chrome,firefox等瀏覽歷史分析,關鍵字搜索和郵件分析等功能
11.3.2 blkcalc 地址轉化工具
11.3.3 blkcat 數據單元顯示工具
11.3.4 blkls 提取數據單元工具
11.3.5 blkstat 數據單元詳情顯示工具
11.3.6 ffind 查找文件工具
11.3.7 fls 文件目錄遍歷工具
11.3.8 fsstat 顯示文件系統信息工具
11.3.9 hfind 文件哈希查詢工具
11.3.10 Icat-sleuthkit 提取節點文件工具
11.3.11 ifind 提取元數據工具
11.3.12 Img_cat 是一個shell腳本,與iTerm2結合起來使用,可以直接在終端查看服務器上的圖片。不過僅限於在iTerm2上使用
11.3.13 Img_stat 鏡像文件信息顯示工具
11.3.14 istat 顯示節點元數據工具
11.3.15 jcat 日誌文件系統塊查看工具
11.3.16 jls 日誌文件系統內容查看工具
11.3.17 mmcat 提取分區工具
11.3.18 mmls 分區表查看工具
11.3.19 mmstat 卷系統信息顯示工具
11.3.20 sigfind 二進制特徵信息查找工具
11.3.21 sorter 文件類型篩選工具
11.3.22 Tsk_comparedir 目錄內容比較工具
11.3.23 Tsk_gettimes 文件操作時間提取工具
11.3.24 Tsk_loaddb 提取元數據工具
11.3.25 Tsk_recover 恢復
11.4PDF取證工具集
11.4.1 pdfid PDF文檔掃描工具
11.4.2 pdf-parser PDF文檔快速審計工具
11.4.3 peepdf PDF綜合審計工具
11.5數字取證推薦工具
11.5.1 autopsy 是數字取證工具-TheSleuthKit(TSK)的圖形界面,一個用來分析磁盤映像和恢復文件的開源取證工具。提供在磁盤映像中進行字符串提取,恢復文件,時間軸分析,chrome,firefox等瀏覽歷史分析,關鍵字搜索和郵件分析等功能
11.5.2 binwalk 固件分析工具
11.5.3 Bulk_extractor 信息批量提取工具
11.5.4 hashdeep 該工具可以批量計算文件的哈希值,並和哈希值列表進行比對。該工具支持多種哈希算法,可以避免哈希碰撞問題。爲了滿足不同任務的需要,hashdeep提供多種檢查模式,如審計模式、正向模式、反向模式。同時,該工具支持大小寫不敏感和UTF編碼