Belkasoft Forensic IM Analyzer -IM取證分析工具



俄羅斯Belkasoft公司CEO Yuri Gubanov先生給我來信,推薦他們研製的Forensic IM Analyzer工具。使用了一下,發現這個軟件非常地簡單,可對計算機中各種即時通訊工具進行檢測,並直接讀取聊天紀錄,效果非常不錯。該軟件目前可以 支持ICQ (97a 至ICQ6各版本), Microsoft MSN/LiveMessenger, Skype, Yahoo! Messenger, MySpace IM, &RQ, Miranda, SIM, QIP, Google Hello, Trillian, QQ 和 AIM,適應面很廣。利用該軟件,可自動搜索硬盤中保存的歷史紀錄,且無需口令既可打開。配合Smart Mount等工具,可以直接加載磁盤鏡像,並對鏡像文件中的數據進行分析。



從這些工具來看,世界各國的計算機法取證專家們真是努力呀。以前不知道俄羅斯在電子證據,計算機取證技術方面的進展,現在看來他們的確還是有一些積累的,除了密碼破解方面是強項,法證技術方面也一樣不遜色。

測試版可從以下地址下載:http://belkasoft.com/bfia/en/download.asp

瞭解軟件使用方法,可觀看視頻講解:http://belkasoft.com/bfia/en/How_To_Use_Product.asp

這個視頻中的故事大概是這樣的:

大 家好!我是一名 Neverland 警署的計算機法證調查官。我正在調查的是一起非常複雜的案件。案件是這樣的:一家最大的糖果製造廠被搶劫了,我們找到了嫌疑犯,名字叫做 Sweetieslover。但是,沒有明確的證據證明他參加了這起搶劫案,我們只知道他的名字。通過對他的計算機中的文檔、電子郵件進行檢查,發現他似乎是完全無辜的。我最後的希望就是對他的聊天紀錄進行分析了,其他法證專家們推薦我使用Belkasoft公司研製的 Forensic IM Analyzer聊天記錄分析工具。

現在看看我是怎麼利用這個軟件工作的。左邊窗口,可以看到三個選項,已安裝的聊天工具、發現的聊天工具和搜索結果。'已安裝的聊天工具' 似乎對我這起案件沒有什麼用處,因為我需要做的是對一塊證據硬盤進行分析,獲取的硬盤被通過Encase加載後,以網絡硬盤的方式連接在我的計算機上。

首先,我要判定嫌疑人究竟使用了那種聊天工具。通過對Program Files目錄進行分析,發現裡面包含 Yahoo! Messenger。好,那就看看裡面有什麼記錄信息吧。嗯...看來僅僅通過察看目錄和文件發現不了什麼有用的東西。不過沒關係,我手裡有處理即時通訊 記錄的專業工具。

我從新回到IM Analyzer聊天記錄分析工具,找到「發現的聊天工具」中的「Yahoo messenger」,點擊鼠標右鍵,選擇'打開此聊天軟件歷史記錄'。然後,通過瀏覽器找到Program Files文件夾。

好 了,加入了歷史記錄,這時只要使用「讀取歷史記錄」,就可以直接察看記錄了。哈哈,不少記錄呀!需要看的東西可真不少呀! 能不能縮小查看的範圍呢?當然能,可以將那些沒有聊天記錄的信息隱藏掉。選擇右鍵,「隱藏沒有聊天記錄的聯繫人」。再看看,記錄仍然不少。在導出聊天記錄 的空閒時間裡,還是先來杯咖啡吧!

察看了2個小時了
真是見鬼,還沒有什麼重要的線索。只是從他老婆的聊天記錄中得知,老婆對她老公不是那麼全心全意的,不過這是其他的事情,與本案無關吧。

是不是有些東西通過我的手動分析沒有發現呢?還是讓 Belkasoft Forensic IM Analyzer軟件搜索為我搜索一下歷史記錄吧!從菜單中,我使用了'搜索IM記錄'選項。

這 個工具可以使用多種選項。可以搜索硬盤、移動設備、光盤和網絡驅動器。但由於我搜索的網絡驅動器,因此我需要使用「搜索網絡驅動器」選項。我需要看看有沒 有其他的聊天軟件,各種格式的聊天記錄都可能會有用。根據硬盤大小不同,搜索的時間可能是幾秒鐘,或者是二、三十分鐘。

看看,軟件果然幫我發現到了我沒有注意到的,QQ 聊天記錄。QQ 聊天工具在中國非常普及,有些Neverlandiands人也使用它。

狡猾的嫌疑犯將QQ 聊天記錄保存到了一個其它的位置,但是分析工具自動找到了他。QQ 歷史記錄總是加密的,IM Analyzer在這裡就非常有用了。

現在搜索這個新的歷史記錄,看看有什麼內容與sweets有關。通過察看歷史記錄可以看到,有些聯繫人的聊天記錄比Yahoo中的紀錄還要多。

首 先,搜索一下"cookies"這個詞,這可以通過菜單中的「搜索歷史記錄」來實現。這個人似乎喜歡cookies,有很多的搜索結果。接下來,搜索一下 'sweets',嗯,還是很多結果。比如,她的總是說「Hi, sweetie」。但這些結果對我的調查沒有什麼幫助。還有什麼詞能與"sweets"相近呢?軟件允許我調用「關鍵詞列表」。我有一個詞庫包含許多詞彙 的近義詞。通過搜索,發現'candies'這個詞在聊天記錄中被使用過。但是搜索結果還是很多。我是不是該使用'steal candies'這個詞呢?這可能是嫌疑人可能會說、會做的。但搜索這個詞後,沒有任何結果。對了,這兩個詞可能並不是連續出現的,如果Steal這個詞 與candies這個詞之間有其他字符呢?可能中間有4、5、6個單詞呢?

可以利用軟件提供的「通過正則表達式搜索」功能。先輸入steal,然後後面可能會有幾個數字、符號或空格,最後是candies.

真棒,找到了一個記錄。發送者是Mr. Sweetieslover ,接收者是Mr. Evil。就是他。

好 了,調查分析結束了,我該把這些發現結果提供給其他部門的夥伴了。他們不是計算機的專家,但都是證據和文字分析的專家。我只需要把這些記錄導出為Html 格式,刻錄到光盤上就可以了。我只想導出和Mr. Evil的聊天記錄,通過點擊「選擇的聯繫人」,然後選擇目標文件夾,導出。導出的數據裡包含聊天對象和聊天時間。

好了,我的工作結束了。如果沒有這個軟件,我真不知道我怎麼才能完成這個案件的調查。謝謝Belkssoft.

文章轉自計算機取證技術


0 意見: