20款适用于网络安全专家的免费取证调查工具

一、Autopsy

（http://www.sleuthkit.org/autopsy/）

Autopsy是一个基于 GUI 的开源数字取证程序，可有效分析硬盘驱动器和智能手机。全球数以千计的用户使用 Autospy 来调查计算机上发生的事情。

它被公司审查员、军队调查广泛使用，其中一些功能也是如此。

• 电子邮件分析

• 文件类型检测

• 媒体播放

• 注册表分析

• 从存储卡中恢复照片

• 从 JPEG 文件中提取地理位置和相机信息

• 从浏览器中提取 Web 活动

• 在图形界面中显示系统事件

• 时间线分析

• 从 Android 中提取数据——短信、通话记录、联系人等。

它可以以 HTML、XLS 文件格式生成的大量报告。

二、Encrypted Disk Detector

（https://www.magnetforensics.com/resources/encrypted-disk-detector//）

Encrypted Disk Detector有助于检查加密的物理驱动器。它支持 TrueCrypt、PGP、BitLocker、Safeboot 加密卷。

三、Wireshark

（https://www.wireshark.org/）

Wireshark是一种网络捕获和分析工具，用于查看网络中发生的情况。Wireshark 可以方便地调查与网络相关的事件。

四、Magnet RAM  capture

（https://www.magnetforensics.com/resources/magnet-ram-capture/）

您可以使用Magnet RAM  capture来捕获计算机的物理内存并分析内存中的伪影。

它支持Windows操作系统。

五、Network Miner

（https://www.netresec.com/?page=NetworkMiner）

适用于 Windows、Linux 和 MAC OS X 的有趣网络取证分析器，可通过数据包嗅探或 PCAP 文件检测操作系统、主机名、会话和开放端口。Network Miner在直观的用户界面中提供提取的工件。

六、NMAP

（https://nmap.org/）

Nmap（“网络映射器”）是一个 免费和开源的用于网络发现和安全审计的实用程序。许多系统和网络管理员还发现它对网络清单、管理服务升级计划以及监控主机或服务正常运行时间等任务很有用。Nmap 以新颖的方式使用原始 IP 数据包来确定网络上可用的主机、这些主机提供的服务（应用程序名称和版本）、它们运行的操作系统（和操作系统版本）、数据包过滤器/防火墙的类型正在使用中，以及其他数十种特性。它旨在快速扫描大型网络，但对单个主机也能正常工作。Nmap 在所有主要的计算机操作系统上运行，官方二进制包可用于 Linux、Windows 和 Mac OS X。除了经典的命令行 Nmap 可执行文件，Zenmap），一个灵活的数据传输、重定向和调试工具（Ncat），一个用于比较扫描结果的实用程序（Ndiff），以及一个数据包生成和响应分析工具（Nping）。

七、RAM Capturer

（https://belkasoft.com/ram-capturer）

Belkasoft 的 RAM Capturer是一个免费工具，用于从计算机的易失性内存中转储数据。它与 Windows 操作系统兼容。内存转储可能包含加密卷的密码和网络邮件和社交网络服务的登录凭据。

八、 Forensic Investigator 

（https://splunkbase.splunk.com/app/2895/）

如果您使用的是 Splunk，那么Forensic Investigator将是一个方便的工具。这是一个 Splunk 应用程序，结合了许多工具。

• WHOIS/GeoIP 查询

• 平

• 端口扫描仪

• 横幅抓取器

• URL解码器/解析器

• XOR/HEX/Base64 转换器

• SMB 共享/NetBIOS 查看器

• 病毒总查找

九、FAW

（https://en.fawproject.com/）

FAW（Forensics Acquisition of Websites）是获取网页进行取证调查，具有以下特点。

• 捕获整个或部分页面

• 捕获所有类型的图像

• 捕获网页的 HTML 源代码

• 与 Wireshark 集成

十、HashMyFiles

（https://www.nirsoft.net/utils/hash_my_files.html）

HashMyFiles将帮助您计算 MD5 和 SHA1 哈希值。它适用于几乎所有最新的 Windows 操作系统。

十一、Response

（https://www.crowdstrike.com/resources/community-tools/）

Response  是一个 Windows 应用程序，用于收集事件响应和安全参与的系统信息。您可以在 CRConvert 的帮助下以 XML、CSV、TSV 或 HTML 格式查看结果。它运行在 32 位或 64 位以上的 Windows XP 上。

Crowd Strike 还有其他一些有用的调查工具。

• Totrtilla – 通过 Tor 匿名路由 TCP/IP 和 DNS 流量。

• Shellshock Scanner – 扫描您的网络中的 shellshock 漏洞。

• Heartbleed 扫描器 – 扫描您的网络以查找     OpenSSL heart bleed 漏洞。

十二、NFI Defraser

（https://sourceforge.net/projects/defraser/）

Defraser取证工具可以帮助您检测数据流中的全部和部分多媒体文件。

十三、ExifTool

（https://exiftool.org/）

ExifTool可帮助您读取、写入和编辑多种文件类型的元信息。它可以读取 EXIF、GPS、IPTC、XMP、JFIF、GeoTIFF、Photoshop IRB、FlashPix 等。

十四、Toolsley

（https://www.toolsley.com/）

Toolsley获得了十多个有用的工具进行调查。

• 文件签名验证器

• 文件标识符

• 哈希和验证

• 二进制检查器

• 编码文本

• 数据 URI 生成器

• 密码生成器

十五、SIFT

（https://www.sans.org/tools/sift-workstation/#overview）

SIFT（SANS 调查取证工具包）工作站作为 Ubuntu 14.04 免费提供。SIFT 是您需要的一套取证工具，也是最受欢迎的开源情报平台之一。

十六、Dumpzilla

（http://www.dumpzilla.org/）

从 Firefox、Iceweasel 和 Seamonkey 浏览器中提取所有令人兴奋的信息，以便使用Dumpzilla进行分析。

十七、 ForensicUserInfo

（https://github.com/woanware）

使用ForensicUserInfo提取以下信息。

• RID

• LM/NT 哈希

• 密码重置/账户到期日

• 登录次数/失败日期

• 团体

• 配置文件路径

十八、KaliLinux

（https://www.kali.org/）

Kali Linux是最流行的安全和渗透测试操作系统之一，但它也具有取证能力。有超过 100 种工具，所以我相信您会找到适合您需要的一种。

十九、PALADIN

（https://sumuri.com/software/paladin/）

PALADIN取证套件——世界上最著名的 Linux 取证套件是基于 Ubuntu 的修改版 Linux 发行版，提供 32 位和 64 位版本。

PALADIN拥有29 个类别下的 100 多种工具，几乎可以满足您调查事件所需的一切。Autospy 包含在最新版本 - Paladin 6 中。

二十、The Sleuth Kit

（http://www.sleuthkit.org/sleuthkit/）

Sleuth Kit是一组命令行工具，用于调查和分析卷和文件系统以查找证据。