国外五款著名免费计算机取证工具介绍
2008-12-12 13:39:54 来源:WEB开发网图2
此软件可穷举系统中的所有句柄。在过滤了非句柄之后,它使用临时设备驱动程序来从内核存储区读取每一个句柄。在用户从该软件退出之后,这个设备驱动程序又可以自动地将其从系统中释放。显然,在这一点上,这是其它的任务管理程序所不能及的。
如果用户试图删除或移动或打开一个文件时,收到了类似于下面的错误消息,那么此软件就极为有用:“无法删除*共享文件,源文件或目标文件正在使用”
此外,如果与网络连接的过程中,打开此软件可以监视网络进程,如果用户怀疑某进程有问题,可以在其上单击,如图:
图3
然后在弹出的菜单中选择“properties”,打开如图所示的窗口:
图4
软件对文件的多种属性进行了描述,如句柄、进程ID、删除共享等。在确信了某句柄是可疑句柄之后,可以单击“OK”按钮。再次在此文件上右击,选择“kill processes of selected files”。
Wireshark
此工具可以准许检查人员检查所有的网络通信,以查看是否有可疑的信息被发往另外一个位置。如果有的话,就有必要启用防火墙阻止这种通信。或者采用更好的方法,拨掉网络电缆,避免知识成果被窃取。
这样,我们就可以决定任何可疑的操作是否存在于系统中。在完成这一点之后,用户就可以深入地研究到底是哪些方面被篡改了。
图5
Helix
此工具就是大名鼎鼎的Ubuntu Linux的定制版本。它不仅仅是一个可启动的CD工具,我们还可以通过它启动进入一个包含内核、优秀的硬件检测程序以及一些专用的事件响应和取证方面的应用程序。
它可被用于检查磁盘,看看有什么发生了变化。系统的取证关键是找到什么方面受到了损害。知道受到了攻击是一个方面,而找出这些攻击者对系统做了哪些手脚是至关重要的。这正是此工具的长处所在。其工作界面如下图所示:
图6
图7
这种调查是很有必要的,否则,我们有可能遗漏被损害的重要或关键数据,也无法知道系统是如何被首次攻破的。而一旦我们作了这方面的调查,在重新构建系统时进行相应的安全部署也就可以防止类似的攻击再次发生。
而借助这些开源工具,我们就可以用较低的成本完成重要的取证工作。
更多精彩
赞助商链接