一篇鑑識工具心得(轉)


網友:flyfiresl 2009-06-11 22:35
正想諮詢這方面的問題,就看到了這篇文章。
還想請教一下GUO 哥。目前在郵件分析、聊天記錄分析、互聯網歷史記錄分析等方面都有那些較好的工具(包括法政工具和一些專用工具)?各自的特點都是什麼?謝了!


Sprite:
這個問題涉及內容有點多,有時間多寫點慢慢比較。簡單先說說。

最近測試了幾個聊天記錄分析工具,我比較喜歡的是 Forensic IM Analyzer。
此外,Paraben公司也有一個 Chat Examiner v1.0.2, 目前可以支持 ICQ 1999-2003b, Yahoo, MSN 6.1, 6.2, 7.0, & 7.5, Trillian, Skype, Hello, & Miranda

Forensic IM Analyzer支持 ICQ (all versions from 97a to ICQ6), Microsoft MSN/LiveMessenger, Skype, Yahoo! Messenger, MySpace IM, &RQ, Miranda, SIM, QIP, QIP Infium, Google Hello, Trillian, QQ 和 AIM,比Chat Examiner多出不少類型。特別是親自測試了 Skype和QQ2008之後,感到這個工具非常好用,對中文聊天記錄支持也不錯。QQ2009的支持將在8月前完成。

兩個軟件圖過兩天補上來。




郵件分析的工具,目前有Nuix最新推出「郵件分析大師」、Intella、Paraben的
E-mail Examiner v5.9 Network E-mail Examiner v2.2 ,Belkasoft的Belkasoft Outlook Analyzer Pro 等。

其中郵件分析大師以中文索引和電子郵件關聯分析,元數據分析,支持Foxmail及中文郵件為主要特點;
支持PST,DBX,Foxmail.

Intella以關鍵詞的搜索、元數據、郵件查找為主要特點;支持PST,Lotus Notes .NSF,DBX;

Email Examiner以對郵件支持種類多為特點,但僅支持郵件的展開和查看;
  • Aid4Mail console for importing, exporting, and converting
  • Updated AOL & PST (with 2003 support) Converters
  • Export any e-mail format to PST
  • Added support for Opera (.mbs) mail files
  • Export to MHTML with XLS or Database index
  • **Recovers Deleted/Deleted E-mail**
  • America Online (AOL) 9.0
  • Outlook Exchange (PST)
  • USENET Groups
  • Eudora
  • Netscape Messenger
  • Pegasus Mail
  • Outlook Express
  • The Bat!
  • Forte Agent
  • PocoMail
  • Barca
  • Calypso
  • FoxMail
  • Juno 3.x
  • EML message files
  • Mozilla Mail
  • MSN Mail
  • Opera 9 .mbs
  • maildir files
  • Generic mailboxes (mbox, Berkeley mail format, BSD mail format, Unix mail format)
Belkasoft Outlook Analyzer Pro可以支持PST和DBX,解釋和查看對於加密的PST郵件可以直接處理。印象深的是導出郵件非常簡便,效率很高,200多mb的pst中的幾千封郵 件只用了幾秒鐘。而且這個軟件價格很便宜,性價比超高。


此外值得一提的是X-Ways可以對恢復刪除的郵箱,解析破損的郵件。這個功能上述幾個軟件都無法解決。特別是對於破損的PST文件,可以先使用X-Ways Forensics對pst郵箱解析,再導單獨的郵件利用「郵件分析大師」處理。效果非常理想。



對於互聯網歷史記錄分析,目前可以使用x-ways Trace,NetAnalysis,和 Belkasoft Browser Analyzer。特別是最近試驗了幾個工具之後,感到 Belkasoft Browser Analyzer竟然是非常的出色,出乎意料。它支持
  • Microsoft Internet Explorer 7 及其早期版本,IE8正在開發中。
  • Mozilla Firefox,特別是支持 Firefox 3
  • Opera
  • Google Chrome
而且中文支持的很好。相比來看,另外兩個軟件對中文的支持就不是很好了。而且還都不支持Firefox 3和Google Chrome。

圖片後補



Trace 3.1目前支持IE, Firefox 2和Opera。特色還包括回收站的info2的解析。

X-Ways Trace screenshot




NetAnalysis 目前支持種類最多,而且支持Mac IE。但缺點是中文支持不好。
Internet Explorer 3, 4, 5, 6, 7 & 8; MAC IE Browser

Netscape Communicator / Navigator up to 4.80 & Apple Mac Netscape Bookmark

Netscape 6, 7 and 8
Mozilla Browser / FIREFOX / AOL ARL File
MAC Safari
Opera



轉自計算機取證










Netanalysis 網路歷史記錄分析工具(轉)


NetAnalysis v1.37g 最新版本的互聯網歷史紀錄分析工具

在各種民事和刑事案件中,對於用戶在計算機系統中的行為分析是一件非常重要的事情。

隨著網絡色情現象和網絡犯罪的增長,對於計算機取證人員來說更加重要的是能夠以一種容易被理解的方式準確地分析數據和提取證據。

更加重要的是,作為一個取證專業人員,你需要確定的是你所使用的軟件是能夠準確無誤地在嫌疑係統內恢復現有的和已刪除的數據。

Internet History Analysis


NetAnalysis 於2001年由原英國警局電子證據專業調查人員開發,目前已經成為了對於互聯網歷史紀錄分析和恢復的行業標準。經世界各國的執法部門人員廣泛應用後證明,該軟件是分析互聯網歷史紀錄的理想工具。一些取證工具僅僅具有只讀那些可能來自成千上萬種地址的數據的能力。你怎樣通過篩選過濾所有的數據以識別所有重要的證據呢?答案是使用NetAnalysis互聯網歷史紀錄分析工具!它具有強大的搜索、過濾和證據識別以及特定的目標證據顯示功能。



查看緩存數據


離線緩存數據察看器具有非常強大的功能。 - NetAnalysis 能夠從緩存數據中分析數據,自動將頁面中的原始圖片找出來,自動重建 HTML 頁面,恢復出的頁面與嫌疑人所看到的頁面完全一樣。
離線緩存數據察看器還可以作為其他分析軟件,如Encase,X-Ways Forensics協同工作,是一個體積小,速度快,支持Flash、圖像,和office文檔、PDF的外掛查看器,


自動分析功能


NetAnalysis 還具有一個特殊的功能,即可以自動、快速檢測可能存在的兒童色情網站,通過搜索用戶輸入的搜索分類、口令、帳戶名,並自動登陸網站。
NetAnalysis 能自動過濾並分類搜索詞彙。這使得可以將其作為證據單獨提交。如果嫌疑人宣稱某些圖片是意外出現或無意被保存下來的,但調查員卻找到了大量的相應詞彙的搜 索分類表明他/她正在搜索這些材料,那麼嫌疑人最終也是無法抵賴的。此外,NetAnalysis 還支持關鍵詞庫和SQL 查詢。這些詞庫和查詢可以與其他調查員分享或留作其他分析時使用。

恢復刪除的數據


NetAnalsis軟件還支持從未分配空間中恢復互聯網歷史紀錄。可以從未分配空間、Swap交換文件、 File Slack, 文件殘留區、未使用磁盤空間 、DD 鏡像和二進制文件中查找、恢復歷史記錄。一個案件中,調查員成功恢復出22 00萬條歷史記錄。軟件還可以直接從寫保護的物理和邏輯磁盤中查找記錄。

HstEx v3 即將發佈。此版本可以直接從Encase 證據文件中查找數據。




下面是 NetAnalysis 的工作界面。點擊可放大查看。

軟件界面

點擊放大

Normal Analysis Window with Additional Analytical Views常用的帶特定分析觀點的分析窗口

這是主要的帶有可見的主機列表的NetAnalysis窗口。這個主機列表窗口在主要界面中標出了經過記錄過濾的用戶曾經訪問過的範圍.

點擊放大

Cookie Analysis Window

這個窗口展示了已激活的Cookie察看器,調查員正在主地址欄中尋找一個Cookie記錄。一般情況下,如果Cookie記錄伴隨著索引文件從你的主要取證工具中被輸出,NetAnalysis也會展示出這些文件的目錄。

點擊放大

Reporting Window報告窗口



NetAnalysis擁有數量強大的內置報告,這個窗口展示了所有你也許會需要涉及的適當領域細目的高級報告。

點擊放大

HstEx v2 - History Extractor


NetAnalysis 使用其獨特的工具來提取已被刪除的數據。不管你所看見的產品是什麼類型的,HstEx都可以幫助你獲取那些已刪除數據。HstEx能夠從傳統的dd鏡像文件、二進制輸出文件、交換文件等中提取出已刪除數據 。

HstEx第三版本即將面世. 這一版本可以從眾多標準的鏡像文件中直接提取諸如以下文件:Encase使用的專門證據壓縮格式,分段的DD鏡像文件, FTK數據存取鏡像文件和智能鏡像。

這個窗口顯示了HstEX v2 偵查出的一個單一的2.44TB的DD鏡像文件。.

Click on the image to enlarge


轉自計算機取證