一篇鑑識工具心得(轉)

2009/06/15 09:45 張貼者: Mr.J 標籤:


網友:flyfiresl 2009-06-11 22:35
正想諮詢這方面的問題,就看到了這篇文章。
還想請教一下GUO 哥。目前在郵件分析、聊天記錄分析、互聯網歷史記錄分析等方面都有那些較好的工具(包括法政工具和一些專用工具)?各自的特點都是什麼?謝了!


Sprite:
這個問題涉及內容有點多,有時間多寫點慢慢比較。簡單先說說。

最近測試了幾個聊天記錄分析工具,我比較喜歡的是 Forensic IM Analyzer。
此外,Paraben公司也有一個 Chat Examiner v1.0.2, 目前可以支持 ICQ 1999-2003b, Yahoo, MSN 6.1, 6.2, 7.0, & 7.5, Trillian, Skype, Hello, & Miranda

Forensic IM Analyzer支持 ICQ (all versions from 97a to ICQ6), Microsoft MSN/LiveMessenger, Skype, Yahoo! Messenger, MySpace IM, &RQ, Miranda, SIM, QIP, QIP Infium, Google Hello, Trillian, QQ 和 AIM,比Chat Examiner多出不少類型。特別是親自測試了 Skype和QQ2008之後,感到這個工具非常好用,對中文聊天記錄支持也不錯。QQ2009的支持將在8月前完成。

兩個軟件圖過兩天補上來。




郵件分析的工具,目前有Nuix最新推出「郵件分析大師」、Intella、Paraben的E-mail Examiner v5.9 Network E-mail Examiner v2.2 ,Belkasoft的Belkasoft Outlook Analyzer Pro 等。

其中郵件分析大師以中文索引和電子郵件關聯分析,元數據分析,支持Foxmail及中文郵件為主要特點;
支持PST,DBX,Foxmail.

Intella以關鍵詞的搜索、元數據、郵件查找為主要特點;支持PST,Lotus Notes .NSF,DBX;

Email Examiner以對郵件支持種類多為特點,但僅支持郵件的展開和查看;
  • Aid4Mail console for importing, exporting, and converting
  • Updated AOL & PST (with 2003 support) Converters
  • Export any e-mail format to PST
  • Added support for Opera (.mbs) mail files
  • Export to MHTML with XLS or Database index
  • **Recovers Deleted/Deleted E-mail**
  • America Online (AOL) 9.0
  • Outlook Exchange (PST)
  • USENET Groups
  • Eudora
  • Netscape Messenger
  • Pegasus Mail
  • Outlook Express
  • The Bat!
  • Forte Agent
  • PocoMail
  • Barca
  • Calypso
  • FoxMail
  • Juno 3.x
  • EML message files
  • Mozilla Mail
  • MSN Mail
  • Opera 9 .mbs
  • maildir files
  • Generic mailboxes (mbox, Berkeley mail format, BSD mail format, Unix mail format)
Belkasoft Outlook Analyzer Pro可以支持PST和DBX,解釋和查看對於加密的PST郵件可以直接處理。印象深的是導出郵件非常簡便,效率很高,200多mb的pst中的幾千封郵 件只用了幾秒鐘。而且這個軟件價格很便宜,性價比超高。


此外值得一提的是X-Ways可以對恢復刪除的郵箱,解析破損的郵件。這個功能上述幾個軟件都無法解決。特別是對於破損的PST文件,可以先使用X-Ways Forensics對pst郵箱解析,再導單獨的郵件利用「郵件分析大師」處理。效果非常理想。



對於互聯網歷史記錄分析,目前可以使用x-ways Trace,NetAnalysis,和 Belkasoft Browser Analyzer。特別是最近試驗了幾個工具之後,感到 Belkasoft Browser Analyzer竟然是非常的出色,出乎意料。它支持
  • Microsoft Internet Explorer 7 及其早期版本,IE8正在開發中。
  • Mozilla Firefox,特別是支持 Firefox 3
  • Opera
  • Google Chrome
而且中文支持的很好。相比來看,另外兩個軟件對中文的支持就不是很好了。而且還都不支持Firefox 3和Google Chrome。

圖片後補



Trace 3.1目前支持IE, Firefox 2和Opera。特色還包括回收站的info2的解析。

X-Ways Trace screenshot




NetAnalysis 目前支持種類最多,而且支持Mac IE。但缺點是中文支持不好。
Internet Explorer 3, 4, 5, 6, 7 & 8; MAC IE Browser

Netscape Communicator / Navigator up to 4.80 & Apple Mac Netscape Bookmark
Netscape 6, 7 and 8
Mozilla Browser / FIREFOX / AOL ARL File
MAC Safari
Opera



轉自計算機取證

 

0 意見:

訂閱: 張貼留言 (Atom)