国外免费计算机取证软件TOP5

互联网 | 编辑: 吴宏 2008-12-16 00:30:00转载 返回原文

国外免费计算机取证软件Top5(1)

由于公司网络上拥有的珍贵资源,许多不法分子总是想方设法寻找漏洞,潜入系统作一些不法勾当。作为单位的安全工作人员需要时刻关注其单位是否遭受了损害或攻击。但有些损害或攻击是清楚可见的,而有些攻击却留下很少痕迹。作为安全工作人员善于利用一些取证工具显得尤为重要。

就目前来看,在遭受攻击的单位中,有很多人员还不知道自己遭受了攻击。许多人相信,主要的攻击来自于公司外部。其实,很多重大的损害来自于内部。人称祸起萧墙。

那么,安全人员面临的挑战就是如何找到这些攻击,并判断其进入系统的方法和途径。因为桌面用户用得最多的是Windows系统,所以我们要看几个可以针对这种系统进行取证的简单工具。

◆Live View

使用此软件首要的一点是为用户的现有系统创建一个虚拟机,还要结合使用开源的Live View软件。此软件会检测用户的系统,如果没有检测到安装有Vmware Server 1.x或工作站版本的虚拟软件,它会为用户下载一个。

Live View是一个基于Java的图形化的取证工具,它可以创建原始磁盘映象或物理磁盘的一个 VMware虚拟机。它准许取证人员可以启动这个镜象或磁盘,并获得一个交互性的、用户级的环境视图。因为对磁盘的所有更改都被写往一个独立的文件,检查人员可以很快地恢复到磁盘的原始状态。其最终的结果是用户不需要创建额外的磁盘映象来构建虚拟机。

不过,目前此软件仅支持Windows 2003、XP、2000等系统,也Linux也仅是有限支持。

图1

◆OpenFilesView

这是一款可以列示系统上所有基于本地或网络的文件。此软件只有区区82.88k,其安装后的界面如图:

图2

此软件可穷举系统中的所有句柄。在过滤了非句柄之后,它使用临时设备驱动程序来从内核存储区读取每一个句柄。在用户从该软件退出之后,这个设备驱动程序又可以自动地将其从系统中释放。显然,在这一点上,这是其它的任务管理程序所不能及的。

如果用户试图删除或移动或打开一个文件时,收到了类似于下面的错误消息,那么此软件就极为有用:“无法删除*共享文件,源文件或目标文件正在使用”

此外,如果与网络连接的过程中,打开此软件可以监视网络进程,如果用户怀疑某进程有问题,可以在其上单击,如图:

图3

然后在弹出的菜单中选择“properties”,打开如图所示的窗口:

图4

软件对文件的多种属性进行了描述,如句柄、进程ID、删除共享等。在确信了某句柄是可疑句柄之后,可以单击“OK”按钮。再次在此文件上右击,选择“kill processes of selected files”。

国外免费计算机取证软件Top5(2)

◆Wireshark

此工具可以准许检查人员检查所有的网络通信,以查看是否有可疑的信息被发往另外一个位置。如果有的话,就有必要启用防火墙阻止这种通信。或者采用更好的方法,拨掉网络电缆,避免知识成果被窃取。

这样,我们就可以决定任何可疑的操作是否存在于系统中。在完成这一点之后,用户就可以深入地研究到底是哪些方面被篡改了。

图5

◆Helix

此工具就是大名鼎鼎的Ubuntu Linux的定制版本。它不仅仅是一个可启动的CD工具,我们还可以通过它启动进入一个包含内核、优秀的硬件检测程序以及一些专用的事件响应和取证方面的应用程序。

它可被用于检查磁盘,看看有什么发生了变化。系统的取证关键是找到什么方面受到了损害。知道受到了攻击是一个方面,而找出这些攻击者对系统做了哪些手脚是至关重要的。这正是此工具的长处所在。其工作界面如下图所示:

图6

图7

这种调查是很有必要的,否则,我们有可能遗漏被损害的重要或关键数据,也无法知道系统是如何被首次攻破的。而一旦我们作了这方面的调查,在重新构建系统时进行相应的安全部署也就可以防止类似的攻击再次发生。

而借助这些开源工具,我们就可以用较低的成本完成重要的取证工作。

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑