每個企業的安全團隊都應該提前儲備一款好用的數字取證工具，因為從輕微的網絡違規到嚴重的網絡攻擊和數據泄露事件處置，數字取證軟件有助于更快速的解決問題，并查明問題根源。同時，由于互聯網和全球化的發展，網絡犯罪形式也在多樣化，借助可靠的數字取證分析工具，可以幫助執法人員獲取關鍵性的數字證據，從而對不法分子進行處罰。

隨著網絡犯罪分子的攻擊頻率和嚴重程度不斷提高，數字取證市場目前發生了很大變化，可以用兩個詞來概括：速度和準確率。如何盡快將違法證據提交給調查人員是將網絡犯罪分子繩之以法的關鍵，特別是對于那些應用廣泛的便攜移動設備。因此，安全人員正在通過將自動化技術納入數字取證工作流程來實現更快的取證速度，同時更完整的保留證據鏈。而擁有一個可以收集、處理和審查所有類型設備數據的協作取證平臺，正在成為企業組織優化數字調查取證流程的最佳方式。

本文收集整理了目前國際市場上最熱門的數字取證和事件響應(DFIR)軟件工具，它們有助于幫助企業打擊網絡犯罪和保護數字資產。

1、Paraben

Paraben公司于1999年進入網絡安全市場，專注于數字取證、風險評估和安全解決方案。Paraben的取證調查主要針對電子郵件、計算機、智能手機和物聯網設備。

應用特點：

?Paraben E3取證平臺實現了對來自多個數據源數據的簡化分析。

?可實現哈希數據庫過濾，對文件、十六進制、文本、RTF以及電子郵件查看器進行自動嵌入式數據檢測(OLE)。

?可以提供遠程訪問，從計算設備和云存儲環境進行數據采集。

?可為Xbox和Amazon Echo等產品提供物聯網取證支持，可為Google、Dropbox和Slack提供云取證支持。

2、Sleuth Kit和Autopsy

Sleuth Kit(TSK)和Autopsy是兩款流行的開源數字調查工具，其中Sleuth Kit可幫助管理員通過眾多用于調查磁盤映像的命令行工具庫來分析文件系統數據，而Autopsy是一種圖形化用戶界面(GUI)的數字取證平臺，用于公共和私有計算機系統調查，對TSK的功能進行補充。

應用特點：

?TSK提供了備受好評的磁盤和數據捕獲工具。

?功能包括時間軸分析、哈希過濾、文件和文件夾標記以及多媒體提取。

?Autopsy讓用戶可以高效地分析硬盤和智能手機。

?其插件架構讓用戶可以查找附加模塊，或者用Java或Python開發自定義模塊。

?TSK的核心功能是分析卷和文件系統數據。

3、OpenText

OpenText公司成立于1991年，提供企業內容管理、網絡、自動化、發現、安全和分析服務。OpenText EnCase解決方案包括Endpoint Security(端點檢測和響應，即EDR)、Endpoint Investigator(DFIR)、Forensic、Mobile Investigator和Advanced Detection。這些解決方案有助于從多種類型的設備和硬盤驅動器中恢復證據、自動發現證據、深度分析證據以及收集保存證據。

應用特點：

?EnCase Forensic已得到部分司法機構的認可，可用于查找、解密、收集和保存來自多種計算機設備的取證數據，同時確保證據完整性，并與司法調查流程集成。

?EnCase可以從諸多來源獲取證據，并深入挖掘每個來源，以發現可能相關的信息。

?預定義或定制的條件和過濾器可以快速找到證據。

?證據處理、集成式工作流程和靈活的報告都是EnCase提供的功能。

?平臺按重要性對證據排序。

4、Magnet Forensics

Magnet Forensics由加拿大退役警務人員創建，主要為公共和私營組織提供數字取證調查工具。產品包括用于事件響應的Magnet Axiom Cyber、Magnet Automated Enterprise以及用于分類的Magnet Ignite。

應用特點：

?應用較廣泛，目前已經在全球100多個國家、地區擁有4000多家客戶。

?支持多種數字取證源，而不僅僅是針對Linux和Windows操作系統。

?可以用于執行遠程獲取事件，并恢復和分析來自計算機、云和移動設備的證據。

?是一種自動化解決方案，可用于在安全事件發生后同時收集和處理來自多個端點的證據。

?可執行快速遠程掃描，并對端點進行初始分析。

5、CAINE

計算機輔助調查環境(CAINE)是一款基于Ubuntu和Linux的開源發行版工具，用于數字取證。CAINE可以與現有的各種Windows、Linux和Unix系統版本安全工具相集成。

應用特點：

?CAINE提供了從隨機訪問存儲器(RAM)自動提取時間線的功能。

?是一種可互操作的環境，在數字調查的四個階段支持數字調查人員。

?所有模塊設備在只讀模式下都會被阻止。

?具有圖形化的操作界面，使用方便

?能夠確保相關磁盤都受到保護，避免意外讀寫操作。

6、Kroll Computer Forensics

Kroll的計算機取證工具和專家服務能夠讓各種數字證據不被忽視，并在調查或訴訟流程的各個階段提供取證幫助，無論數據源如何復雜。

應用特點：

?可結合使用計算機取證專長和傳統調查技術，分析物理和數字證據，以查明發生事件詳細情況。

?基于防御性的解決方案可用來識別和安全保存電子數據。

?可以滿足復雜環境下數據的采集需求，用于電子調查和取證分析或取證發現。

?當數據被有意、無意的刪除或篡改時，Kroll也可以通過分析留下的數字線索，以發現關鍵信息。

?提供7*24小時的專家服務，并可為客戶擔任專家證人或特別專員。

7、SIFT Workstation

SIFT Workstation是一套免費開源的事件響應和取證工具，用于執行數字取證檢查。SIFT Workstation提供了一系列免費開源的DFIR解決方案，還提供了多種部署選項，包括虛擬機、Ubuntu上的原生安裝，或通過Linux子系統安裝。

應用特點：

?可在64位操作系統上運行，并自動更新軟件，增添最新的取證工具和技術，還可以幫助內存優化。

?SIFT Workstation應用廣泛，下載量超過125000人次。

?SIFT Workstation主要用作SANS事件響應、網絡取證和網絡威脅情報培訓的一部分。

?可以分析文件系統、網絡證據和內存映像等。

?支持NTFS、ISO9660 CD、HFS和FAT等文件格式。

8、Exterro

Exterro專門開發基于工作流程的軟件和治理風險合規(GRC)解決方案，在協助內部法務團隊、簡化合規流程和控制風險方面尤其具有價值。Exterro的產品涵蓋電子發現、隱私保護、風險管理和數字取證。公司推出的FTK取證產品功能包括Mac和移動數據調查、遠程代理端點收集、可擴展的數據處理環境(DPE)和自動化工作流程。

應用特點：

?Exterro的操作符合SOC 2 Type 2認證和FedRAMP授權。

?產品分為FTK Imager、FTK Lab、FTK Central、FTK Enterprise和FTK Connect多個模塊

?產品已在數字取證領域使用了30多年，用于可重復、可靠性需求高的取證調查。

?所有FTK解決方案的特點是快速處理數據，包括提取移動數據。

?可以提供遠程端點調查、分類、收集和修復功能呢。

9、Volatility

Volatility是一款命令行內存分析和取證工具，用于從內存轉儲中提取信息，其中用于事件響應和惡意軟件分析的取證框架是用Python編寫，支持Microsoft Windows、Mac OS X和Linux操作系統。

應用特點：

?不需要安裝Python腳本解釋器。

?內存取證技術使調查人員能夠使用RAM數據分析系統運行時狀態。

?了解操作系統的內部、惡意代碼和異常，這些信息有助于改善工具應用功能。

?嵌入式API可用于查找頁表條目(PTE)標志。

?Volatility支持內核地址空間布局隨機化(KASLR)。

10、X-Ways

X-Ways Forensics是面向計算機取證檢驗人員的工作環境，基于WinHex十六進制和磁盤編輯器，并可以提供額外的磁盤和數據捕獲軟件、克隆、映像及其他工具。

應用特點

?便攜式應用，可在插入任何Windows系統的U盤上運行，無需安裝。

?計算機取證檢驗人員能夠與使用X-Ways 的調查人員共享數據和協作。

?可在Windows XP/2003/Vista等舊版本的操作系統下運行。

?能夠自動檢測丟失或刪除的分區。

11、Cellebrite

Cellebrite于1999年成立，專門為需要收集、審查、分析或管理設備數據的組織提供移動設備取證服務。Digital Intelligence Investigative Platform(數字情報調查平臺)有助于統一調查生命周期和保存數字證據。

應用特點：

?Cellebrite通用取證設備(UFED)可以提取物理和邏輯數據。

?恢復方法包括專用引導加載程序、自動緊急下載(EDL)功能和智能安卓調試橋(ADB)。

?Cellebrite可以在Windows和Mac上提供取證分析功能。

?可以查找互聯網歷史記錄、下載件、最近搜索的內容、熱門網站、位置、介質、消息、回收站、USB連接等多種信息。

?提供AI輔助的圖片和視頻分類、過濾以及支持全磁盤加密等功能。

12、ProDiscover

ProDiscover成立于2001年，旨在幫助公共和私營組織打擊數字犯罪，截至2022年，這家總部位于印度的供應商在70多個國家、地區開展業務。ProDiscover Forensics可以從計算機系統捕獲用于取證調查的證據，以收集、保存、過濾和分析證據。

應用特點：

?ProDiscover提供三種產品，側重計算機取證、事件響應、電子發現和公司政策合規調查。

?ProDiscover可查找計算機磁盤上的數據，并保護證據和創建報告。

?可以從JPEG文件中提取EXIF數據

?可以復制可疑的磁盤，并進行取證分析

?為VMware等虛擬化應用提供運行捕獲映像功能。

13、Wireshark

Wireshark最早開發于1998年，可取證調查和分析網絡數據包，并對網絡進行測試和故障排查，包括在封裝數據結構的三窗格數據包瀏覽器中檢查數百種協議。

應用特點：

?Wireshark可以與多平臺兼容，支持Windows、Linus、macOS、Solaris、FreeBSD和NetBSD。

?具有網絡分析功能，可用于VoIP設備的取證分析。

?Wireshark可以捕獲用gzip壓縮的文件，并導出為XML、CSV或純文本。

?提供實時捕獲和離線分析，用戶可以看到網絡上發生的情況。

14、Xplico

Xplico創立于2007年，這款網絡取證分析工具可通過數據包嗅探器重構數據，擅長與端口無關的協議識別(PIPI)，以重構應用程序數據來識別協議。作為一款免費開源工具，Xplico旨在從捕獲的互聯網流量中提取應用程序數據。

應用特點：

?Xplico支持HTTP、IMAP、POP、SMTP和IPv6等協議。

?Xplico可創建XML文件，識別重新組裝的每個數據結構中含有的數據流和pcap(輸入文件)。

?提供多線程機制，沒有數據輸入限制。

?可以從DNS包中執行反向域名系統(DNS)查找。

15、LogRhythm

LogRhythm公司以SIEM、威脅情報以及UEBA產品為主要業務，成立于2003年。目前，公司通過一項名為NetMon的方案添加了網絡取證功能，這是其整體安全解決方案的一部分，但也可以作為獨立的模塊來交付提供。

應用特點：

?LogRhythm聚合數據包捕獲和派生的元數據，保存日志數據，并使用網絡取證傳感器填補空白。

?LogRhythm會重點關注事件取證的平均響應時間(MTTR)。

?LogRhythm可以識別3000多個應用程序及元數據，可以深入了解網絡會話。

?基于腳本的深度數據包分析(DPA)，可用于實現實時的檢測取證。

16、Global Digital Forensic

Global Digital Forensic公司提供計算機取證分析和訴訟支持服務超過20年，支持目前幾乎所有數字化設備的取證服務，同時還提供電子發現服務、滲透測試和漏洞響應服務。

應用特點：

?Global Digital Forensic有自己的實驗室和全球響應網絡，能夠針對各種IT環境中的幾乎任何信息化系統進行取證分析。

?在部分國家，GDF取證結果可在司法訴訟中作為證據。

?可以提供數據檢索和恢復服務。

?可以為客戶提供取證準備和就緒情況的評估。