国外免费计算机取证软件Top5(2)
◆Wireshark
此工具可以准许检查人员检查所有的网络通信,以查看是否有可疑的信息被发往另外一个位置。如果有的话,就有必要启用防火墙阻止这种通信。或者采用更好的方法,拨掉网络电缆,避免知识成果被窃取。
这样,我们就可以决定任何可疑的操作是否存在于系统中。在完成这一点之后,用户就可以深入地研究到底是哪些方面被篡改了。
图5
◆Helix
此工具就是大名鼎鼎的Ubuntu Linux的定制版本。它不仅仅是一个可启动的CD工具,我们还可以通过它启动进入一个包含内核、优秀的硬件检测程序以及一些专用的事件响应和取证方面的应用程序。
它可被用于检查磁盘,看看有什么发生了变化。系统的取证关键是找到什么方面受到了损害。知道受到了攻击是一个方面,而找出这些攻击者对系统做了哪些手脚是至关重要的。这正是此工具的长处所在。其工作界面如下图所示:
图6
图7
这种调查是很有必要的,否则,我们有可能遗漏被损害的重要或关键数据,也无法知道系统是如何被首次攻破的。而一旦我们作了这方面的调查,在重新构建系统时进行相应的安全部署也就可以防止类似的攻击再次发生。
而借助这些开源工具,我们就可以用较低的成本完成重要的取证工作。
网友评论