取证软件: 有关计算机取证你需要了解的一切
当普通人听到“计算机取证”或“取证信息处理”这类短语的时候,脑海中会立即浮现出一个佩戴眼镜的阴暗人物形象。但是这真能准确反映出计算机和数字取证的内涵吗?当然不是,你很快即可通过本篇文章一窥究竟。
尽管真正的计算机取证专家所使用的工具可能与其对手所使用的一般无二,但是数字取证的实质是数据恢复和保存。如果您曾使用过计算机数据恢复工具,如Disk Drill,来从您的计算机中恢复丢失的文件,那么您已经对取证计算机科学和计算机取证侦查员的生活的某个侧面有了一个大概的了解。通过本篇文章,您将学习了解计算机取证的其他侧面。
计算机取证的定义
Techopedia将计算机取证定义为“揭示和解读电子数据的过程”。这个过程的主要目标是“在以重构过去事件为目的通过收集,鉴定和确证数字信息进行结构式调查的同时以最原始的形式对任何证据进行保存”。
换句话说,数字取证是如你从历史犯罪剧集中所了解的同样古老的取证科学的一个分支。你知道这是一个怎样的画面:某地发生了一起耸人听闻的谋杀案。警官偕同主要调查人员首先驾驶福特银河500抵达现场。他们刚从车里下来,立即就有人在喊“不要碰现场的任何东西!我们需要我们能够找到的每一件证物。”
根据当时的条件,这类证据通常是某人的日记簿或留在水杯上的指纹。而如今,它们可能是数字元数据,日志文件,IP地址,剩余的信息组块。第一起数字犯罪可以追溯到20世纪70年代末期和80年代早期。在那时候,计算机安全和隐私还只是一小部分极客和计算机革新者的一个兴趣点而已。
其中一个重大的转折点是1978年发布的佛罗里达计算机犯罪法案,该法案承认了美国发生的第一起计算机犯罪,而且其中包含了对未经授权删除或修改计算机数据行为的立法。很快其他法案也接踵发行,如1986年的美国联邦计算机欺诈和滥用法案以及1990年的英国计算机滥用法案。
在新的千禧年到来之前,有关人员主要是围绕将计算机犯罪视作对个人,组织和国家安全的严重威胁来开展讨论的。从2000年开始,一种对标准化的新需求出现了,这也导致了“最佳计算机取证实践”的产生,而且数字取证科学组(SWGDE)也公布了ISO 17025。
这些标准和指示帮助计算机取证专家们建立起了一套应当遵循的最佳实践,同时各大计算机取证公司所生产的取证数据恢复软件解决方案也必须满足现代化背景之下的复杂标准。
标准的取证过程由若干阶段组成:起获,取证获取,分析,以及根据收集数据出具报告。每个阶段都有专业的免费取证软件工具以及付费取证工具。本文之后会介绍能够找到的数字取证工具列表。
计算机取证的分支
计算机取证专家打交道的部门分为私营和公共部门。在公共部门领域,他们的工作通常是在刑事或民事诉讼之前支持或驳斥有关的假设。私营部门的取证调查员的主要收入来源是企业调查和机构调查。
随着现代科技复杂程度的增长,计算机取证专家通常专注于一个或若干数字取证分支来学习专家级的知识。数字取证通常是根据所涉及的设备的类型的不同进行划分的。主要的分支包括计算机取证,移动设备取证,网络取证,取证数据分析,和数据库取证。
在过去几年发展最为迅速的一个分支是移动设备取证。鉴于人们逐渐使用智能手机和平板电脑来替代笔记本和台式电脑,对于能够胜任手机数据恢复取证的的手机取证软件的需求大幅上升。
计算机取证工具和设备
想要对计算机取证调查员和专家所使用的很多计算机取证工具的一部分进行描述,我们先假想一个涉及将儿童淫秽作品存储在个人电脑上的犯罪现场。在大多数情况下,调查员首先会取出电脑里的硬盘并附加一个禁止写入的硬件设备。此类设备使得调查员在采集和预览该硬盘内容时不会对其中的内容以任何方式进行任何的改动。
硬盘的位精确副本可以通过一系列不同的专业工具进行制作。现实当中不仅存在大型数字取证框架和软件解决方案,还有数不胜数的小型实用程序。前者包括数字取证框架,开放计算机取证体系结构,CAINE(计算机辅助调查环境),X-Ways取证,SANS调查取证工具套件(SIFT),EnCase,The Sleuth Kit,Llibforensics,Volatility,The Coroner’s Toolkit,Oxygen Forensic Suite,计算机在线取证证据提取器(COFEE),HELIX3,或Cellebrite UFED。
这些大型软件解决方案和取证套件以单一软件包的形式包含了许多取证数据服务。但是,很多专业的取证专家更倾向于从准确符合他们的需求和偏好的个别工具和实用程序中构建他们自己的自定义工具箱。取证数据恢复过程的每一个阶段都有很多不同的选择,包括硬盘取证或文件系统取证分析。
数据采集可以通过EnCase Forensic Imager, FTK Imager, Live RAM Capturer, 或 Disk2vhd from Microsoft完成。电子邮件可以通过EDB Viewer, Mail Viewer, 或 MBOX Viewer这类工具进行分析。部分工具是针对某些操作系统专门设计的,而其他则提供跨平台支持。适用于Mac OS X的热门工具包括Disk Arbitrator, Volafox, 和 ChainBreaker,ChainBreaker能够破解密钥链结构并提取用户信息。更不用说,任何取证分析都离开不开互联网分析工具,包括Dumpzilla from Busindre, Chrome Session Parser, IEPassView, OperaPassView, 和Web Page Saver from Magnet Forensics。
专业取证工具的功能
专业取证工具的功能根据其所面向的取证分析领域以及市场的不同会呈现出很大的差异。通常而言,大型取证软件套装具备如下功能:
- 支持全部文件哈希,允许比较过滤
- 全盘哈希以确认未更改的数据(通常一个工具用于获取而另一个工具用于确认磁盘哈希)
- 精确路径定位器
- 清除时间和日期印记
- 须包含获取功能
- 项目的搜索和过滤
- 加载iOS备份以及解析器数据的能力
相比执法机关而言,企业通常不关心不稳定的RAM采集。他们想要获得用于私人调查和/或移交执法机关的证据。他们通常对预览能力也不感兴趣。
主要的取证软件供应商
取证软件分析领域充满了思想超前的创新者以及准备好扩大其运营的富有创造力的现有软件公司。大型取证软件供应商倾向于出席大规模的企业聚会,如高科技犯罪调查协会会议,但是整个北美有很多这样的会议。
让我们了解下部分最具创造力的取证软件供应商及其产品。
BlackBag Technologies https://www.blackbagtech.com
BlackBag的BlackLight是当今市场上可排在首位的Mac取证工具,其价格大约是$2600。BlackLight在5年前推出,当时是一款仅面向Mac的取证工具。如今,它也成为了一款出色的Windows检查工具。它还能对iOS设备以及安卓设备进行分析。但是,它无法分析蓝莓设备。Blacklight本身不具备用于位元克隆的位元获取取证功能。他们有一款被称为MacQuisition的附加工具。
MacQuisition运行的是iOS的精简版本,在Apple的许可之下定价超过$1000。它在找到数据加密方面有非常出色的表现,同时还能将融合存储器连接如同一卷标。
AccessData https://accessdata.com
AccessData是面向企业,律师事务所,和政府机构的电子搜索,计算机和移动设备取证的领先供应商。他们的数字取证解决方案包括Forensic ToolKit (FTK),该套件提供了全面的处理和索引功能,所以过滤和搜索相比市场上的任何其他解决方案都要快。
该公司以其移动取证工具而为广大用户所熟知,包括Mobile Phone Examiner Plus (MPE+) 和 nFIELD。前者使得移动取证检查人员能够快速采集,轻松鉴定并高效获取其他解决方案所遗漏的核心数据。后者是敏捷开发的解决方案,使得用户能够仅通过5个步骤在所有支持MPE+的移动设备上实现数据的逻辑和物理获取。
Guidance Software https://www.guidancesoftware.com
Guidance Software,创建于1997年,开发出了EnCase取证软件,这是一款仅限于PC端的取证工具,十多年以来它一直是取证领域的中流砥柱。该工具曾两次登上头条,一次发生于2002年,其在David Westerfield的谋杀案审判中被用于检查他的计算机以找到有关儿童色情作品的证据,还有一次是法国警察将EnCase用于发现来自于Richard Colvin Reid,也被称为鞋子炸弹客的犯罪邮件。
EnCase取证软件值得一提的功能包括数据获取,硬盘恢复(逐位元克隆以及制作克隆HDD),完成全面的硬盘级调查,以及充分完善的报告机制。
Magnet Forensics https://www.magnetforensics.com
Magnet Forensics由前警官和程序员开发,是一个完全数字化的调查平台,得到了世界范围内3,000多间机构和组织的广泛应用。最初的时候,它是作为一款网际网络雕刻工具而存在,但是如今已经扩展成为非常成熟的取证套件。Magnet Forensics可以对手机(大多数安卓手机以及iPhone 4及之前版本,和蓝莓)进行物理数据获取。这些物理获取数据之后可以加载入像Cellebrite这类工具。
X-Ways https://www.x-ways.net
X-Ways相对而言可谓是数字取证领域的新秀,但是该公司快速获得了用户的认可,这有赖于其高效的创新速度。X-Ways由德国工程师团队开发,其所推出的取证工具在磁盘镜像,磁盘克隆,虚拟RAID重构,远程网络驱动器分析,远程RAM接入,云存储接入等方面有突出表现。其缺点在于它的使用需要具备丰富的经验。
Cellebrite https://www.cellebrite.com
作为日本太阳公司的子公司,Cellebrite Mobile Synchronization是一间以色列公司,被视为移动取证软件领域的领导者。他们著名的移动端工具定价非常高昂,达到了$12,000 USD,而且年度许可费用在$4000左右。价格虽然高昂,但不能否认其所提供的服务也是一流的,其通过Cellebrite的统一数字取证平台将其深刻的洞察力注入到了移动设备中去。
CERT
CERT代表计算机紧急响应团队。在美国,该机构创建于2003年,旨在保护国家的互联网基础架构免遭网络攻击。他们已经开发出了广泛应用于执法部门的若干工具,包括CERT鉴别分类工具。该工具用于采集RAM并进行现场取证。其产品还包括一款被称为“exploitable”的GNU测试工具插件,它能够根据Linux应用程序漏洞的严重程度对其进行分类。目前,CERT鉴别分类工具正在GitHub公开开发。
Disk Drill在取证数据恢复方面的表现
Disk Drill是一款获得广泛认可的数据恢复工具,其用户遍布世界范围内的各个国家,它的功能主要包括恢复文件,图片,视频文件,以及来自于各种不同的存储设备上的其他数据类型。
CleverFiles,作为Disk Drill背后的公司,其目前正在致力于软件新版本的开发,其将包括一系列有用的取证工具。新的版本界面精致,简单易用,一经在取证市场上推出有望为其用户带来耳目一新的流畅体验。