电子数据取证工具:终极指南

admin 2023年3月4日10:12:32评论62 views字数 4571阅读15分14秒阅读模式
电子数据取证工具:终极指南
电子数据取证工具:终极指南

本文由刘志翔编译,陈裕铭、Roe校对,转载请注明。

电子数据取证行业在过去几年中有了很大的进步。随着这些进步,市场为调查的各个阶段提供了许多可用的工具。

我们借此汇总一份DFIR(电子数据取证,事件响应)工具的指南,重点介绍审查员可用的工具以及使用工具的最佳时机。

多年来,电子数据取证工具的进步在很大程度上是由两件事所推动,以满足不断变化的调查需求的:取证软件开发人员之间的竞争,以及电子数据取证开源和相关研究社区的成熟。

当提及软件提供商之间竞争日益白热化的现状,IDC为私营部门网络安全专业人员和公共部门数字调查人员制作了一些深入的报告,比较了一众电子数据取证工具。

提到电子数据取证研究社区的成熟,电子数据取证研究研讨会(Digital Forensics Research Workshop)、开源电子数据取证会议(Open Source Digital Forensics Conference)和Magnet Summit等会议是社区聚在一起分享知识和痛点的绝佳机会。像Magnet Forensics这样的公司通过资源和数据集支持这些社区,并为社区提供了一种简单的方法来获取、重新使用和共享新的痕迹分析知识。与电子数据取证社区合作的软件公司促进了所有类型的电子数据取证工具的快速发展。无论是封闭式还是开源,免费还是付费,我们会为您提供全面的电子数据取证工具列表,以帮助您装备任何规模的电子数据取证实验室

本文将重点介绍在公共或私营部门建立正常运行的通用实验室所需的工具。

电子数据取证工具:终极指南

电子数据取证工具

通常,电子数据取证实验室一般会配备多个电子数据取证工具来执行相同的任务。例如,实验室使用几个重叠的工具来验证调查结果。

无论您选择哪种工具,请确保使用不同的方法可以获得相同的结果。如果不能,你需要能够解释为什么不能。验证可能意味着手动解析、进行研究以及与取证社区联系。

在为的工具包选择电子数据取证工具时,请考虑调查工作流程的每个部分以及通常需要完成的任务。全面的数字调查工具包支持最常见的调查任务。这些工具包通常可以包含第三方或用户创建的脚本或模块。不论底层软件工具如何,自定义的痕迹分析使实验室能够为新观察到的证据源快速开发解析器。学习如何为首选工具包编写自定义痕迹分析脚本是很有价值的。

免费的开源取证软件工具非常适合验证结果。但是,用免费软件装配整个实验室可能会导致工具的拼凑,而这些工具并不总是协同工作。有时,这可能会导致工作流程复杂且效率低下。建议专业实验室至少有一个完全全面的软件解决方案,以便在最短的时间内快速处理案件。使用法院认可的工具也将节省时间,并在审判中顺利作证。

电子数据取证工具:终极指南

识别

这可能是任何调查中最具挑战性的部分。在我们对事件做出响应之前,我们必须检测到它。报告可能来自受害者立案、财务审计或管理员检查其日志。

在刑事调查中,案件通常向执法部门报告。但是,对于私人组织,事件检测至关重要。honeypots和canary tokens等被动措施可以极大地帮助提醒组织注意入侵,而像Magnet AXIOM Cyber这样的工具有助于在威胁发生时的Windows事件日志分析和事件响应任务。

越来越多的用户从屏幕上的威胁性消息中识别安全事件。勒索软件加密用户文件并要求购买解密密钥。如果您或您的组织是勒索软件的受害者,请联专业人员进行相关处理。

协助事件识别的工具要么在事件发生前使用,要么在事件发生后使用。事故前监控通常会产生更多的数据和更高的保真度。事后分析需要在通常数据有限的情况下,进行更具挑战性的事件重建。企业环境可以控制其系统,并可能通过其他日志记录和检测系统启用事件前监控。然而,执法部门几乎总是需要应对事后缺失或被禁用的日志以及各类反取证技术。

电子数据取证工具:终极指南

案例管理、文档和报告

大多数全面的电子数据取证工具包都需要在添加证据之前在软件中创建“案例”。可以在主要分析工具中进行案例管理。但是,请考虑整体实验室管理和协作。全组织范围的案件管理系统将提供更好的能见度和协调度。

无论将案例管理工具放置在何处,请确保您的调查人员可以轻松记录其流程,并在撰写综合报告时得到支持。这种支持意味着访问常用立法、定义、参考和程序的知识库。

对案例管理、文档和报告的要求已经超出了MS Word文档的范围。以下是有助于提高调查通信质量和安全性的工具。

Magnet ATLAS是这里的黄金标准工具,通过使整个机构的利益相关者能够管理、协作、分析和报告数字调查的各个方面,提高效率并打破孤岛。

电子数据取证工具:终极指南

开源情报

在调查中,需要某种开源情报(OSINT)的情况越来越普遍。换句话说,在网上查找公开信息以帮助建立时间表,证实证据,有时还会获得供词。

Magnet Web Page Saver可以充当浏览器,并且可以截取整页快照,包括源文件、采集报告、时间戳和自动文件哈希。它还接受要自动呈现和获取的 URL 列表。如果您曾经截取过网页的屏幕截图,这是必备的。

电子数据取证工具:终极指南

取证写保护工具和磁盘镜像

对于任何写保护工具,拥有当地法院接受并定期测试硬件的标准测试方法至关重要。

写保护的相关硬件是高度可靠的设备,通常仅在配置错误时才失败。您可以某些写保护工具种禁用写保护功能,并将设备用作读/写硬件桥接器。在向工具包添加写保护硬件时,请务必包括使用培训和测试。

大多数基于 Linux 的取证操作系统都包含软件(内核级)写保护。Windows有几种商业写保护程序,但它们往往比硬件更昂贵。如果选择软件写保护程序,请确保已准备好测试和验证程序。

电子数据取证工具:终极指南

磁盘采集软件

硬件和软件写保护需要与镜像软件配对。硬件磁盘镜像器会内置磁盘镜像软件,而某些外部写保护程序设备没有。在任何调查中,正确的制作镜像至关重要。

Magnet ACQUISITION是物理和逻辑磁盘镜像以及移动设备镜像的最佳工具。调查人员使用它可以快速轻松地获取任何iOS或Android设备,硬盘驱动器和移动媒体的取证镜像。最重要的是,它是完全免费的。

使用磁盘获取时,请注意获取软件如何处理坏的簇。例如,某些软件可能会在磁盘读取失败的情况下写入0。其他人可能会跳过并且不会向镜像写入任何内容。错误响应可能会导致来自同一故障磁盘的两个不同镜像。根据实验室的SOP配置镜像软件以响应错误。遗憾的是,镜像软件通常不允许错误配置,并且可能无法记录其读取失败过程。在这种情况下,您需要测试来自不同软件的响应,并选择最适合您实验室的方式。

电子数据取证工具:终极指南

RAM采集软件

与磁盘镜像一样,实验室应从与案件相关的系统中获取RAM。随机存取存储器 (RAM) 包含自上次关闭计算机以来有关系统和用户活动的信息。这可能包括永远不会写入磁盘的信息。因此,它可以成为调查人员的宝贵证据来源。

RAM 是易失的,这意味着它变化很快。如果计算机或设备关闭,RAM中的所有数据都将被清除,并且不易恢复。应急人员需要工具和培训来从实时环境中收集 RAM 镜像。实时数据取证并不容易,只能由有能力的人来完成。

事件响应中描述的许多工具都可以远程收集 RAM 镜像。Magnet RAM Capture是一种易于使用、功能齐全的 RAM 采集工具,旨在直接在正在运行的目标系统上运行。通常,工具是从 U 盘或外部存储介质上准备好的实时数据取证工具包运行的。请记住,您将需要一个外部存储位置来保存内存转储。

请记住,RAM 获取很复杂。您需要将工具加载到内存中以获取内存。作为取证审查员,我们希望减少内存中取证工具的大小,这样我们就不会覆盖有价值的证据。并且,如果系统打开,RAM 内容也会更改。对同一 RAM 进行两次镜像永远不会产生相同的镜像(和哈希值)。在采集后对 RAM镜像进行哈希处理,该哈希将成为您的基本事实。

电子数据取证工具:终极指南

移动采集工具

与计算机取证一样,移动取证分为采集和分析。最近,更多的分析工具包能够处理来自移动设备的数据。然而,获取仍然是一个巨大的挑战。较新的移动设备通常是安全的,这意味着从设备获取数据需要昂贵的软件漏洞。地理位置的差异也在一定程度上决定了设备支持。

一般来说,较旧的设备通常具有公开发布的漏洞和实用程序来绕过磁盘保护。商业工具更昂贵,但界面和资源是用户友好型的。商业工具还(通常)包括针对较新设备的非公开发布漏洞。使用商业工具的实验室通常可以获取得大多数较新的设备。用户还可以为尚不支持的设备请求支持和其他服务。

Magnet ACQUIRE允许iOS和Android的移动设备采集。

向H-11 Digital Forensics和Rusolution索要芯片套件和适配器。大多数电子数据取证实验室没有芯片剥离能力。随着嵌入式设备变得越来越流行,对芯片的需求可能会增加。

电子数据取证工具:终极指南

移动分析软件

我们在单独的一节中讨论了移动获取,因为获取本身就是一个难题。如果你能得到一个好的获取,现在,您需要处理奇怪并且复杂的数据结构以及快速的移动应用程序开发。

之前列出的一些功能齐全的工具具有内置的移动数据分析功能。有时,移动分析的集成感觉像是一个附加组件,而不是主要的研究点。这对于基本搜索和分析很有用,但需要更深入的功能是很常见的。以下工具似乎将移动设备数据分析放在首位,包括随之而来的挑战。

Magnet AXIOM — 我们之前已经列出过这个,但AXIOM与GrayKey完全集成,处理移动设备数据感觉就像是一流的工作流程,而不是附加组件。使用 AXIOM 还可以将 Magnet 自定义痕迹分析用于不受支持的应用程序和数据结构。

Magnet AXIOM Cyber  — 通过关键字、哈希列表、高级图片和视频分析进行数据缩减。

在寻找移动分析工具时,请考虑该工具是否可以解析常见和趋势数据结构,自定义或获取对特定于案例的数据结构的支持的能力,以及该工具允许您搜索和可视化数据的难易程度(和全面)。与计算机分析相比,移动数据分析会有更频繁的更新。

电子数据取证工具:终极指南

eDiscovery

eDiscovery解决方案更侧重于诉讼和发现工作流程。它们具有通常对任何电子数据取证调查都有用的功能集。通常可以看到电子数据展示软件与上述综合工具包一起使用。电子数据展示的范围可能会有所不同,所需的工具也会有所不同。我们之前已经讨论过电子数据展示调查的剖析。您需要一个有助于数据收集、缩减和审查的工具。

Magnet AXIOM Cyber允许隐蔽的远程设备采集、使用关键字、哈希列表、高级图片以及视频分析进行数据缩减。数据缩减后,AXIOM Cyber 会为eDiscovery审查平台生成加载文件。

现代eDiscovery工具非常强大,并且倾向于首选基于云的系统。基于云的系统使处理速度更快,并允许高级自动化和机器学习。每个工具都非常适合标准工作流程。哪一个最适合您取决于您倾向于使用的数据类型和目标。几乎所有eDiscovery工具都在尝试使用机器学习进行分类。最适合您的模型将是与您的数据最匹配的模型。

电子数据取证是一个极速发展的行业。没有一份清单可以全面地描述其领域涉及的所有工作,但本文的相关介绍应该足以启动一个专业电子数据取证实验室。另外尽情在GitHub上搜索专业工具,你永远不知道你会在哪里找到案件的下一个重大突破。

参考链接:

https://www.magnetforensics.com/blog/digital-forensics-tools-the-ultimate-guide-2022/

电子数据取证工具:终极指南
电子数据取证工具:终极指南

原文始发于微信公众号(数据安全与取证):电子数据取证工具:终极指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月4日10:12:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   电子数据取证工具:终极指南http://cn-sec.com/archives/1586780.html

发表评论

匿名网友 填写信息