【拓知识库】NirSoft取证工具集部分分享

互联网上可提供免费软件的网站有很多，但若论软件款式、功能覆盖面和开源性，想必也只有NirSoft一家为大。该网站中除了一些编程开发常用工具，还包括许多与取证相关工具，所有软件已有100余款，而且每一款功能都相互独立。

不过当你访问到他的官网时，你绝对不会想到他的官网竟然长这个样子：

有没有感觉突然穿越回了互联网的古早年代？

而这个网站的创始人，也是站内所有实用工具的开发者，是一位名为Nir Sofer的老哥。

Nirsoft说是一家公司，实际上从软件开发，到网站运营维护都是由Nir Sofer老哥一个人独自打理。

如果你抱着诸如“在这种蛮荒时代网站上的软件，一定是上古老物，在新系统上不是报错就是打不开”的想法使用Nirsoft的软件工具集，你会惊奇的发现基本上每一个都能流畅使用。

之所以如此，是因为老哥精通windows底层API，而这些API至今为止变化都不大，所以大多数工具页面的介绍上系统要求都直接从windows2000一路飙到windows10。

而且作者基本都会为工具提供32位与64位两个版本，兼容性可以说比很多长得好看的软件要6的多。

更让人惊为天人的还有两点：

1.  NirSoft创办于2001年

2. 截至今日，Nir Sofer老哥依旧在更新Nirsoft的工具集

LastActivityView是一款电脑历史记录查看器，其直接调用系统日志，能显示以下时间的发生时间、名称、路径：执行 exe 文件、打开文件、文件夹、安装软件、系统启动、系统关机、网络连接、蓝屏事件、用户登陆等等。

下载链接：

http://www.nirsoft.net/utils/computer_activity_view.html

USBDeview是一个USB痕迹检查工具，可列出当前连接到您计算机的所有USB设备，以及您以前使用过的所有USB设备。对于每USB设备，都会显示以下扩展信息：设备名称/描述、设备类型、序列号（对于大容量存储设备）、添加设备的日期/时间、供应商ID、产品ID等。

下载链接：

http://www.nirsoft.net/utils/usb_devices_view.html

BrowsingHistoryView是一个浏览器历史记录检测工具，可以读取不同Web浏览器（Mozilla Firefox、Google Chrome、Internet Explorer、Microsoft Edge、Opera）的历史数据并在一张表格中显示所有这些Web浏览器的浏览历史记录。浏览历史表包括以下信息：访问的URL、标题、访问时间、访问次数、Web 浏览器和用户配置文件。BrowsingHistoryView 允许您查看正在运行的系统中所有用户配置文件的浏览历史记录，以及获取外部硬盘驱动器的浏览历史记录。

下载链接：

https://www.nirsoft.net/utils/browsing_history_view.html

WebBrowserPassView是一个浏览器密码恢复工具，可显示Internet Explorer（版本 4.0 - 11.0）、Mozilla Firefox（所有版本）、Google Chrome、Safari 和 Opera等浏览器存储的密码。只要您在访问网站时选择了密码保存，那么此工具可用于恢复您丢失或者忘记的网站的密码，包括流行的网站，例如 Facebook、Yahoo、Google和GMail，即可。

下载链接：

https://www.nirsoft.net/utils/web_browser_password.html

WirelessKeyView是一个WiFi秘钥检测工具，可以恢复存储在您计算机中的所有无线网络安全密钥/密码 (WEP/WPA)、Windows XP 的“无线零配置”服务或 Windows Vista、Windows 7、Windows 8、Windows 10和Windows Server 2008 的“WLAN AutoConfig”服务。此工具允许您轻松地将所有键保存到text/html/xml文件，或将单个键复制到剪贴板。您还可以将无线密钥导出到文件中，然后将这些密钥导入另一台计算机。

下载链接：

https://www.nirsoft.net/utils/wireless_key.html

SearchMyFiles是Windows 标准“搜索文件和文件夹”模块的替代方案。它允许您通过通配符、上次修改/创建/上次访问时间、文件属性、文件内容（文本或二进制搜索）轻松搜索系统中的文件和文件大小。SearchMyFiles允许您进行Windows搜索无法完成的非常准确的搜索。例如：您可以搜索在过去10分钟内创建的所有大小在 500 到 700 字节之间的文件。

下载链接：

https://www.nirsoft.net/utils/search_my_files.html

EncryptedRegView是一款适用于Windows的工具，用于扫描您当前正在运行的系统的注册表或您选择的外部硬盘驱动器的注册表，搜索使用DPAPI（数据保护API）加密的数据。当它在注册表中找到加密数据时，它会尝试对其进行解密，并将解密后的数据显示在 EncryptedRegView的主窗口中。使用此工具，您可以找到Microsoft产品和第三方产品存储在注册表中的密码和其他机密数据。

下载链接：

https://www.nirsoft.net/utils/encrypted_registry_view.html

SecurityQuestionsView 是一款专门针对WIN10用户开发的注册表检测与密码恢复软件，该软件可以帮助用户扫描注册表信息，同时还能对系统磁盘进行扫描，解决密码遗失问题，帮助用户建立一道安全的系统防线，确保用户的数据安全。同时，此工具可以显示Windows 10系统上所有用户的设置的安全问题及答案。

下载链接：

https://www.nirsoft.net/utils/security_questions_view.html

Network Password Recovery用于恢复Windows中有关于系统管理员的密码、网络连接密码、本地网络和互联网的密码，具体包括LAN 上远程计算机的登录密码、Exchange 服务器上的邮件帐户密码、MSN Messenger / Windows Messenger 帐户的密码、Internet Explorer 7.x 和 8.x受密码保护的网站的密码（“基本身份验证”或“摘要式访问身份验证”）、IE7 密码的项目名称始终以“Microsoft_WinInet”前缀开头、远程桌面存储的密码等。

下载链接：

https://www.nirsoft.net/utils/network_password_recovery.html

TurnedOnTimesView是一个专门检测您计算机开关机日志的工具，对于计算机开启的每个时间段，都会显示启动时间、关闭时间、持续时间、关闭原因、关闭类型、关闭过程等。

下载链接：

https://www.nirsoft.net/utils/computer_turned_on_times.html

作为一个开源的工具集分享网站，Sofer老哥编写的代码依旧有比较高的参考价值，能够为程序兼容性、数据获取方式等方面提供一些新的思路。对于工具使用者，其取证工具便携，小巧，兼容性高，可以为一线取证工作提供不错的补充手段。在这里小拓要引用Sofer老哥在官网对自己工具的承诺：

而在制作本期拓知识库时，小拓在搜寻相关文献时发现了一个非常有趣的事。

无论是在微信、知乎、还是各大搜索引擎，能够检索到的有关Nir Sofer或NirSoft的信息是少之又少。老哥仿佛是一位不世出的高人，静静地在桃花源写代码。而能够引起一点水花和讨论度的地方，也只有CSDN这种IT行业工作者聚居区（但讨论度也依旧比不上大厂相关话题的文章）。

大家如果有兴趣，可以去NirSoft官网围观Sofer大神更新，希望阅读结束后您能有所收获，我们下期再见！