算機取證是與計算機和網絡犯罪有關的，一門非常重要的計算機學科分支。在早前，計算機只用于生成數據，但現在已擴展到與數字數據相關的所有設備。計算機取證的目標是通過使用數字資料的證據來進行犯罪調查，以找出網絡相關罪行的主要責任人。

為了更好的用于研究和調查，開發人員創建了多樣的計算機取證工具。公安部門和調查機構可以根據自身情況，如預算和現有專家隊伍等因素，來選取合適的取證工具。

這些電腦取證工具，也被分為了不同的類別：

• 磁盤和數據捕獲工具

• 文件查看器

• 文件分析工具

• 注冊表分析工具

• 互聯網分析工具

• 電子郵件分析工具

• 移動設備分析工具

• Mac OS分析工具

• 網絡取證工具

• 數據庫取證工具

在本文中，我將為大家羅列一些當前流行的計算機取證工具。這里需要說明的是，本文中工具是以隨機順序添加的，并不代表工具的排名。

1. Digital Forensics Framework

數字取證框架是另一個專門用于數字取證的流行平臺。該工具是開源的，并具有GPL許可證。它同時適用于專業或非專業人員，簡單易用。它可以用于數字監管鏈，訪問遠程或本地設備，Windows或Linux操作系統的取證，恢復隱藏已刪除的文件，快速搜索文件的元數據以及其他各種功能。

下載：http://www.digital-forensic.org/

2. Open Computer Forensics Architecture

開放式計算機取證架構（OCFA）是另一種流行的分布式開源計算機取證框架。該框架建立在Linux平臺上，并使用postgreSQL數據庫存儲數據。

它由荷蘭國家警察局創建，用于自動化數字取證過程。它可以根據GPL許可證下載。

下載：http://sourceforge.net/projects/ocfa/

3. CAINE

CAINE（計算機輔助調查環境）是用于數字取證的Linux發行版。它提供了一種以用戶友好的方式將現有軟件工具集成為軟件模塊的環境。這個工具是開源的。

閱讀更多：http://www.caine-live.net/

4. X-Ways Forensics

X-ways Forensics是由德國X-ways出品的一個法證分析軟件，它其實是Winhex的一個法證授權版，跟Winhex界面完全一樣。它可以運行在所有可用的Windows版本上。下面是它的一些主要功能：

• 磁盤克隆和鏡像功能，進行完整數據獲取

• 可分析 RAW/dd/ISO/VHD/VMDK 格式原始數據鏡像文件中的完整目錄結構，支持分段保存的鏡像文件

• 支持磁盤，RAID,扇區大小為8KB最大2TB的鏡像的完全訪問

• 支持對JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux軟RAID, Windows動態磁盤和LVM2等磁盤陣列

• 自動識別丟失/刪除的分區

• 支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系統

• 無需修改原始硬盤或鏡像糾正分區表或文件系統數據結構來解析文件系統

• 察看并獲取 RAM和虛擬內存中的運行進程

• 多種數據恢復功能，可對特定文件類型恢復

• 基于GREP符號維護文件頭簽名數據庫

• 支持20種數據類型解釋

• 使用模板查看和編輯二進制數據結構

• 數據擦除功能，可徹底清除存儲介質中殘留數據

• 可從磁盤或鏡像文件中收集殘留空間、空余空間、分區空隙中信息

• 創建證據文件中的文件和目錄列表

• 能夠非常簡單地發現并分析ADS數據（NTFS交換數據流)

• 支持多種哈希計算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)

• 強大的物理搜索和邏輯搜索功能，可同時搜索多個關鍵詞

• 在NTFS卷中為文件記錄數據結構自動加色

• 書簽和注釋

• 可以運行在Windows FE中等Windows環境

• 配合F-Response可進行遠程計算機分析等

完整介紹請點擊：http://www.x-ways.net/forensics/

5. SANS數字取證工具包 – SIFT

SIFT是SANS推出的數字取證工具包，SIFT以VMware虛擬映像的形式發布，里面集成了數字取證分析所有必須的工具。適用于Expert Witness Format (E01), Advanced Forensic Format (AFF),和 raw (dd) evidence formats。 今年早些時候，SIFT 3.0發布。

在resource.infosecinstitute.com上的一篇文章中，我們已經詳細介紹了SIFT。你可以閱讀關于SIFT的這些帖子，以了解更多有關SIFT取證平臺的信息。

下載：http://digital-forensics.sans.org/community/downloads

6. EnCase

EnCase是另一款流行的多用途取證平臺，具有許多不錯的取證工具。該工具可以快速收集各種設備的數據，挖掘潛在的證據。它還會根據收集的證據生成相應的報告。

該工具并不免費。 授權費用為995美元。

閱讀更多關于EnCase的信息：https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx

7. Registry Recon

Registry Recon是一款流行的注冊表分析工具。它可以從證據中提取注冊表信息，然后重建注冊表。它還可以從當前和之前的Windows安裝重建注冊表。

閱讀更多：http://arsenalrecon.com/apps/recon/

8. The Sleuth Kit

Sleuth Kit是一個基于Unix和Windows的工具，可幫助你對計算機進行取證分析。它配備了各種有助于數字取證的工具。這些工具有助于分析磁盤映像，對文件系統進行深入分析以及其他各種功能。

閱讀更多：http://www.sleuthkit.org/

9. Llibforensics

Libforensics是一個是專門用于獲取和分析數字取證的數字取證應用程序庫。它是由Python開發的，并附帶各種演示工具以便從各種類型的證據中提取信息。

閱讀更多：http://code.google.com/p/libforensics/

10. Volatility

Volatility是一個內存取證框架。主要用于事件響應和惡意軟件分析。使用此工具，你可以從正在運行的進程，網絡套接字，網絡連接，DLL和注冊表蜂巢提取信息。它還支持從Windows故障轉儲文件和休眠文件中提取信息。此工具根據GPL許可證免費提供。

閱讀更多：http://code.google.com/p/volatility/

11. WindowsSCOPE

WindowsSCOPE是用于分析易失性存儲器的另一種內存取證和逆向工程工具。它主要用于惡意軟件的逆向工程。它提供了分析Windows內核，驅動程序，DLL，虛擬和物理內存的功能。

閱讀更多：http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart

12. The Coroner’s Toolkit

Coroner工具包或TCT也是一個非常好用的數字取證分析工具。它運行在幾個與Unix相關的操作系統下。它可用于計算機災難分析和數據恢復。

閱讀更多：http://www.porcupine.org/forensics/tct.html

13. Oxygen Forensic Suite

Oxygen取證套件主要用于手機上的證據收集。Oxygen會為我們收集設備的各種信息（包括制造商，操作系統，IMEI號碼，序列號），聯系人，消息（電子郵件，短信，彩信），還可以恢復已刪除的消息，通話記錄和日歷信息。

閱讀更多：http://www.oxygen-forensic.com/en/features

14. Bulk Extractor

Bulk Extractor（批量提取器）也是一款重要和流行的取證工具。它會掃描文件的磁盤映像，文件或目錄以提取有用的信息。由于在這個過程中，它忽略了文件系統結構，所以它比其他同類型的工具執行速度要快許多。情報和執法機構基本上都會用這款工具，來解決一些網絡犯罪問題。

下載：http://digitalcorpora.org/downloads/bulk_extractor/

15. Xplico

Xplico是一款開源的網絡取證分析工具。主要用于，從使用Internet和網絡協議的應用程序中提取有用的數據。它支持大多數流行的協議，包括HTTP，IMAP，POP，SMTP，SIP，TCP，UDP，TCP等。該工具的輸出數據，會被存儲在MySQL數據庫的SQLite數據庫中。同時，它也支持IPv4和IPv6。

閱讀更多：http://www.xplico.org/about

16. Mandiant RedLine

Mandiant RedLine是一款流行的，用于內存和文件分析的工具。Mandiant RedLine主要收集有關在主機上運行的進程信息，內存中的驅動程序，并收集其他數據，如元數據，注冊表數據，任務，服務，網絡信息和Internet歷史記錄，并最終構建適當的報告。

閱讀更多：https://www.mandiant.com/resources/download/redline

17. Computer Online Forensic Evidence Extractor (COFEE)

計算機在線法庭科學證據提取器，是專為計算機取證專家開發設計的一款工具包。該工具由Microsoft開發，用于從Windows系統收集證據。它可以被安裝在USB驅動器或外部硬盤上。取證人員只需將USB插入目標計算機中，即可進行實時的分析。COFEE包含了超過150個信息收集、密碼破解、網絡嗅探等工具。而且它的分析速度也非常的快，大概在20分鐘左右就可以完成對目標系統的完整分析。對于執法機構，此外，Microsoft還為使用該工具的執法機構，提供免費的技術支持。

官方站點：https://cofee.nw3c.org/

18. P2 eXplorer

P2 eXplorer 這款取證圖像掛載工具的設計旨在幫助調查員管理和調查證據。利用 P2 eXplorer，您可以將取證圖像作為只讀的本地邏輯磁盤和物理磁盤進行掛載。一旦掛載完畢，您可以使用 Windows Explorer 瀏覽圖像內容，或將其加載到您的取證調查分析工具中。因為將圖像作為物理磁盤掛載，您可以查看已刪除的數據、以及未分配的圖像空間。

它可以一次安裝多個圖像。 它支持大多數圖像格式，包括EnCasem，safeBack，PFR，FTK DD，WinImage，以及來自Linux DD的RAW圖像，和VMWare圖像。

此工具有收費和免費版本，收費版本需要支付9，免費版本的部分功能將無法使用。

閱讀更多：https://www.paraben.com/p2-explorer.html

19. PlainSight

PlainSight是一個基于Knoppix(Linux發行版)的Live CD，它允許用戶執行數字取證任務，如查看互聯網歷史記錄，數據刻畫，USB設備使用信息收集，檢查物理內存轉儲，提取哈希密碼等。

此工具是免費的。

閱讀更多：http://www.plainsight.info/index.html

20. XRY

XRY是Micro Systemation開發的移動取證工具。它用于分析和恢復來自移動設備的關鍵信息。該工具附帶硬件設備和軟件。硬件將手機連接到PC，軟件對設備進行分析并提取數據。它旨在恢復數據以用于取證分析。

該工具的最新版本可以恢復來自Android，iPhone和BlackBerry等各種智能手機的數據。它還可以收集已刪除的數據，如通話記錄，圖像，短信和短信。

閱讀更多：http://www.msab.com/xry/what-is-xry

21. HELIX3

HELIX3是一個基于Linux的Live CD，用于事件響應構建，計算機取證和電子發現方案。它包含了一堆開源工具，從十六進制編輯器到數據刻畫軟件到密碼破解工具等。

注意：你需要的HELIX3版本是2009R1。此版本是HELIX由商業供應商接管之前可用的最后一個免費版本。HELIX3 2009R1今天仍然有效，并為數字取證工具包提供有用的補充。

當使用HELIX3向導時，會詢問是要加載GUI環境還是將HELIX3安裝到磁盤。如果選擇直接加載GUI環境(推薦)，將出現一個基于Linux的屏幕，你可以選擇運行捆綁工具的圖形化版本。

Helix3 2008R1可以在這里下載到：https://e-fenseinc.sharefile.com/d/sda4309a624d48b88

企業版下載：http://www.e-fense.com/h3-enterprise.php

22. Cellebrite UFED

Cellebrite UFED取證產品是一款獨立的既適合在犯罪現場也適合在實驗室使用的設備。Cellebrite UFED能夠從全球1200多款手機中提取重要數據如電話簿、圖片、視頻、文本短信息、通話記錄、ESN和IMEI信息。UFED支持CDMA, GSM, IDEN和TDMA技術，并兼容所有的無線載波信號。Cellebrite UFED支持目前市場上95%的掌中設備，包括手機和PDA(Palm OS,Microsoft, Blackberry, Symbian)。不需要計算機的配合，方便在現場使用，通過簡單操作就可以存儲上百條電話簿和聯系人信息到一張SD卡或者USB 中。

Cellebrite UFED支持所有已知手機設備的接口，包括串口、USB接口、紅外和藍牙。提取的數據可以帶回實驗室利用報告/分析工具進行查看和校驗。現場提取數據保證在犯罪分子有機會毀壞手機或清除數據之前，保存和查看手機里的信息。

更多信息：http://www.cellebrite.com/Mobile-Forensics

總結

以上列舉的都是些執法機構在進行網絡犯罪調查時，常用到的數字取證工具。本文我為大家介紹了各種類型的工具，如如高級，免費，開源類的，針對計算機的取證，以及針對手機的取證等。如果你想學習或正在學習取證相關的知識，我建議大家可以下載以上列舉的這些工具，進行深入的研究與學習。這將會有助于提高你的學習效率。

除了本文列舉的這些工具，其實市面上還有很多類似的優秀的工具。這需要大家自己去試驗和挖掘。