机算机取证是与计算机和网络犯罪有关的，一门非常重要的计算机学科分支。在早前，计算机只用于生成数据，但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查，以找出网络相关罪行的主要责任人。

为了更好的用于研究和调查，开发人员创建了多样的计算机取证工具。公安部门和调查机构可以根据自身情况，如预算和现有专家队伍等因素，来选取合适的取证工具。

这些电脑取证工具，也被分为了不同的类别：

• 磁盘和数据捕获工具

• 文件查看器

• 文件分析工具

• 注册表分析工具

• 互联网分析工具

• 电子邮件分析工具

• 移动设备分析工具

• Mac OS分析工具

• 网络取证工具

• 数据库取证工具

在本文中，我将为大家罗列一些当前流行的计算机取证工具。这里需要说明的是，本文中工具是以随机顺序添加的，并不代表工具的排名。

1. Digital Forensics Framework

数字取证框架是另一个专门用于数字取证的流行平台。该工具是开源的，并具有GPL许可证。它同时适用于专业或非专业人员，简单易用。它可以用于数字监管链，访问远程或本地设备，Windows或Linux操作系统的取证，恢复隐藏已删除的文件，快速搜索文件的元数据以及其他各种功能。

下载：http://www.digital-forensic.org/

2. Open Computer Forensics Architecture

开放式计算机取证架构（OCFA）是另一种流行的分布式开源计算机取证框架。该框架建立在Linux平台上，并使用postgreSQL数据库存储数据。

它由荷兰国家警察局创建，用于自动化数字取证过程。它可以根据GPL许可证下载。

下载：http://sourceforge.net/projects/ocfa/

3. CAINE

CAINE（计算机辅助调查环境）是用于数字取证的Linux发行版。它提供了一种以用户友好的方式将现有软件工具集成为软件模块的环境。这个工具是开源的。

阅读更多：http://www.caine-live.net/

4. X-Ways Forensics

X-ways Forensics是由德国X-ways出品的一个法证分析软件，它其实是Winhex的一个法证授权版，跟Winhex界面完全一样。它可以运行在所有可用的Windows版本上。下面是它的一些主要功能：

• 磁盘克隆和镜像功能，进行完整数据获取

• 可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

• 支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

• 支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列

• 自动识别丢失/删除的分区

• 支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统

• 无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统

• 察看并获取 RAM和虚拟内存中的运行进程

• 多种数据恢复功能，可对特定文件类型恢复

• 基于GREP符号维护文件头签名数据库

• 支持20种数据类型解释

• 使用模板查看和编辑二进制数据结构

• 数据擦除功能，可彻底清除存储介质中残留数据

• 可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息

• 创建证据文件中的文件和目录列表

• 能够非常简单地发现并分析ADS数据（NTFS交换数据流)

• 支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)

• 强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词

• 在NTFS卷中为文件记录数据结构自动加色

• 书签和注释

• 可以运行在Windows FE中等Windows环境

• 配合F-Response可进行远程计算机分析等

完整介绍请点击：http://www.x-ways.net/forensics/

5. SANS数字取证工具包 – SIFT

SIFT是SANS推出的数字取证工具包，SIFT以VMware虚拟映像的形式发布，里面集成了数字取证分析所有必须的工具。适用于Expert Witness Format (E01), Advanced Forensic Format (AFF),和 raw (dd) evidence formats。 今年早些时候，SIFT 3.0发布。

在resource.infosecinstitute.com上的一篇文章中，我们已经详细介绍了SIFT。你可以阅读关于SIFT的这些帖子，以了解更多有关SIFT取证平台的信息。

下载：http://digital-forensics.sans.org/community/downloads

6. EnCase

EnCase是另一款流行的多用途取证平台，具有许多不错的取证工具。该工具可以快速收集各种设备的数据，挖掘潜在的证据。它还会根据收集的证据生成相应的报告。

该工具并不免费。 授权费用为995美元。

阅读更多关于EnCase的信息：https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx

7. Registry Recon

Registry Recon是一款流行的注册表分析工具。它可以从证据中提取注册表信息，然后重建注册表。它还可以从当前和之前的Windows安装重建注册表。

阅读更多：http://arsenalrecon.com/apps/recon/

8. The Sleuth Kit

Sleuth Kit是一个基于Unix和Windows的工具，可帮助你对计算机进行取证分析。它配备了各种有助于数字取证的工具。这些工具有助于分析磁盘映像，对文件系统进行深入分析以及其他各种功能。

阅读更多：http://www.sleuthkit.org/

9. Llibforensics

Libforensics是一个是专门用于获取和分析数字取证的数字取证应用程序库。它是由Python开发的，并附带各种演示工具以便从各种类型的证据中提取信息。

阅读更多：http://code.google.com/p/libforensics/

10. Volatility

Volatility是一个内存取证框架。主要用于事件响应和恶意软件分析。使用此工具，你可以从正在运行的进程，网络套接字，网络连接，DLL和注册表蜂巢提取信息。它还支持从Windows故障转储文件和休眠文件中提取信息。此工具根据GPL许可证免费提供。

阅读更多：http://code.google.com/p/volatility/

11. WindowsSCOPE

WindowsSCOPE是用于分析易失性存储器的另一种内存取证和逆向工程工具。它主要用于恶意软件的逆向工程。它提供了分析Windows内核，驱动程序，DLL，虚拟和物理内存的功能。

阅读更多：http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart

12. The Coroner’s Toolkit

Coroner工具包或TCT也是一个非常好用的数字取证分析工具。它运行在几个与Unix相关的操作系统下。它可用于计算机灾难分析和数据恢复。

阅读更多：http://www.porcupine.org/forensics/tct.html

13. Oxygen Forensic Suite

Oxygen取证套件主要用于手机上的证据收集。Oxygen会为我们收集设备的各种信息（包括制造商，操作系统，IMEI号码，序列号），联系人，消息（电子邮件，短信，彩信），还可以恢复已删除的消息，通话记录和日历信息。

阅读更多：http://www.oxygen-forensic.com/en/features

14. Bulk Extractor

Bulk Extractor（批量提取器）也是一款重要和流行的取证工具。它会扫描文件的磁盘映像，文件或目录以提取有用的信息。由于在这个过程中，它忽略了文件系统结构，所以它比其他同类型的工具执行速度要快许多。情报和执法机构基本上都会用这款工具，来解决一些网络犯罪问题。

下载：http://digitalcorpora.org/downloads/bulk_extractor/

15. Xplico

Xplico是一款开源的网络取证分析工具。主要用于，从使用Internet和网络协议的应用程序中提取有用的数据。它支持大多数流行的协议，包括HTTP，IMAP，POP，SMTP，SIP，TCP，UDP，TCP等。该工具的输出数据，会被存储在MySQL数据库的SQLite数据库中。同时，它也支持IPv4和IPv6。

阅读更多：http://www.xplico.org/about

16. Mandiant RedLine

Mandiant RedLine是一款流行的，用于内存和文件分析的工具。Mandiant RedLine主要收集有关在主机上运行的进程信息，内存中的驱动程序，并收集其他数据，如元数据，注册表数据，任务，服务，网络信息和Internet历史记录，并最终构建适当的报告。

阅读更多：https://www.mandiant.com/resources/download/redline

17. Computer Online Forensic Evidence Extractor (COFEE)

计算机在线法庭科学证据提取器，是专为计算机取证专家开发设计的一款工具包。该工具由Microsoft开发，用于从Windows系统收集证据。它可以被安装在USB驱动器或外部硬盘上。取证人员只需将USB插入目标计算机中，即可进行实时的分析。COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具。而且它的分析速度也非常的快，大概在20分钟左右就可以完成对目标系统的完整分析。对于执法机构，此外，Microsoft还为使用该工具的执法机构，提供免费的技术支持。

官方站点：https://cofee.nw3c.org/

18. P2 eXplorer

P2 eXplorer 这款取证图像挂载工具的设计旨在帮助调查员管理和调查证据。利用 P2 eXplorer，您可以将取证图像作为只读的本地逻辑磁盘和物理磁盘进行挂载。一旦挂载完毕，您可以使用 Windows Explorer 浏览图像内容，或将其加载到您的取证调查分析工具中。因为将图像作为物理磁盘挂载，您可以查看已删除的数据、以及未分配的图像空间。

它可以一次安装多个图像。 它支持大多数图像格式，包括EnCasem，safeBack，PFR，FTK DD，WinImage，以及来自Linux DD的RAW图像，和VMWare图像。

此工具有收费和免费版本，收费版本需要支付$199，免费版本的部分功能将无法使用。

阅读更多：https://www.paraben.com/p2-explorer.html

19. PlainSight

PlainSight是一个基于Knoppix(Linux发行版)的Live CD，它允许用户执行数字取证任务，如查看互联网历史记录，数据刻画，USB设备使用信息收集，检查物理内存转储，提取哈希密码等。

此工具是免费的。

阅读更多：http://www.plainsight.info/index.html

20. XRY

XRY是Micro Systemation开发的移动取证工具。它用于分析和恢复来自移动设备的关键信息。该工具附带硬件设备和软件。硬件将手机连接到PC，软件对设备进行分析并提取数据。它旨在恢复数据以用于取证分析。

该工具的最新版本可以恢复来自Android，iPhone和BlackBerry等各种智能手机的数据。它还可以收集已删除的数据，如通话记录，图像，短信和短信。

阅读更多：http://www.msab.com/xry/what-is-xry

21. HELIX3

HELIX3是一个基于Linux的Live CD，用于事件响应构建，计算机取证和电子发现方案。它包含了一堆开源工具，从十六进制编辑器到数据刻画软件到密码破解工具等。

注意：你需要的HELIX3版本是2009R1。此版本是HELIX由商业供应商接管之前可用的最后一个免费版本。HELIX3 2009R1今天仍然有效，并为数字取证工具包提供有用的补充。

当使用HELIX3向导时，会询问是要加载GUI环境还是将HELIX3安装到磁盘。如果选择直接加载GUI环境(推荐)，将出现一个基于Linux的屏幕，你可以选择运行捆绑工具的图形化版本。

Helix3 2008R1可以在这里下载到：https://e-fenseinc.sharefile.com/d/sda4309a624d48b88

企业版下载：http://www.e-fense.com/h3-enterprise.php

22. Cellebrite UFED

Cellebrite UFED取证产品是一款独立的既适合在犯罪现场也适合在实验室使用的设备。Cellebrite UFED能够从全球1200多款手机中提取重要数据如电话簿、图片、视频、文本短信息、通话记录、ESN和IMEI信息。UFED支持CDMA, GSM, IDEN和TDMA技术，并兼容所有的无线载波信号。Cellebrite UFED支持目前市场上95%的掌中设备，包括手机和PDA(Palm OS,Microsoft, Blackberry, Symbian)。不需要计算机的配合，方便在现场使用，通过简单操作就可以存储上百条电话簿和联系人信息到一张SD卡或者USB 中。

Cellebrite UFED支持所有已知手机设备的接口，包括串口、USB接口、红外和蓝牙。提取的数据可以带回实验室利用报告/分析工具进行查看和校验。现场提取数据保证在犯罪分子有机会毁坏手机或清除数据之前，保存和查看手机里的信息。

更多信息：http://www.cellebrite.com/Mobile-Forensics

总结

以上列举的都是些执法机构在进行网络犯罪调查时，常用到的数字取证工具。本文我为大家介绍了各种类型的工具，如如高级，免费，开源类的，针对计算机的取证，以及针对手机的取证等。如果你想学习或正在学习取证相关的知识，我建议大家可以下载以上列举的这些工具，进行深入的研究与学习。这将会有助于提高你的学习效率。

除了本文列举的这些工具，其实市面上还有很多类似的优秀的工具。这需要大家自己去试验和挖掘。

进一步阅读数字取证的相关内容：

http://www.forensics.nl/

http://en.wikipedia.org/wiki/Digital_forensics

http://www.cio.com/archive/030101/autopsy.html

清华大学开源软件镜像站

Font Awesome 图标字体的代码列表 (bootcss.com)