这里列的是我个人对于市面上能得到的电子取证软件的理解
一、PC检材取证类:
1.取证大师:
(1).可以加载大部分的镜像文件
PC端的、服务器端的、手机端的
只要是格式正确就行
像: vmdx、img、e01等等,基本上大部分都支持
甚至像qcow2的镜像也可以挂载
但是用于挂载手机的镜像可能会出现乱码
(2).虽然能挂载大部分的镜像文件,但是挂载后有些信息得不到
用火眼和取证大师挂载同一镜像,火眼上就可以直接得出系统内核版本等等基础信息
而取证大师就不行
2.火眼证据分析
(1).界面UI很好
这界面才像是21世纪的软件,操作很方便,界面很简洁
而且字体大小适中,不像取证大师那个小字体
(2).支持的镜像格式很多
我个人感觉比取证大师还要多
PC、手机、服务器、文件夹
甚至支持qcow3
(3).支持raid阵列的镜像
这个没用过,但别的取证软件好像真没有这种集成的功能
除非是自己就行raid阵列
3.X-ways Forensic
(1).究极old school软件
开源软件中的元老了
支持的镜像格式不是很多
但启动和挂载的时间很短
更多骚操作还在研究中
4.FTK Imager
(1).也是old school软件,经典
我感觉跟X-ways差不多
但是,相对于X-Ways,FTK可以挂载手机端的镜像
而且可以挂载’.ad1’格式的镜像
所谓’.ad1’格式的镜像,其实就是一个不完整的PC端的镜像
就是挂载之后,之显示单独一个或几个检材的磁盘,而不会显示全部的磁盘
而且FTK可以制作镜像,不过我还在研究中
5.Autospy 64
(1).X-ways的前身
现在X-Ways里面包含了autopsy64的功能
所以我现在都不知道autopsy64有啥特点
不过界面挺好看的
6.盘古石取证 or 奇安信取证:
(1).自带数据库阅读器
好像可以直接将检材中的数据库文件丢到阅读器里进行数据库的访问
这样就不用在外面用Navicat连接了
(2).镜像格式也是支持主流的镜像
qcow2、磁盘阵列raid都可以挂载
还是挺全面的
但没挂载过,不知道挂载后检材的信息有没有乱码 or 查不到
(3).操作很爽
虽然安装的时候跟便秘了一样久
但是启动速度很快啊,年轻人就是不一样
界面UI也很好,比取证大师好,比火眼差
但是操作很干脆,没有那么多花里胡哨的,也没有卡顿
二、手机端取证
1.手机大师:
(1).感觉一般般
挂载第一届龙信杯的手机检材会出现乱码
而且很多硬件信息不能第一时间得到,还得用别的开源软件来解
2.雷电手机快取:
(1).唯一真神:
这个挂载手机镜像后得到的信息是最全的
无论是什么硬件信息还是手机文件
(2).顺带的那个雷电APP智能分析也是唯一真神:
把APP拖进去后可以直接得到md5码、sha256码、有风险的函数、APP的包名、主函数、后台服务器的IP地址
一个字,猛
3.盘古石手机取证:
(1).待研究中
还没用过,但是安装包10个g是我见过最大的了
三、PC端仿真:
1.仿真大师:
(1).尽管美亚的其他取证软件不如人意,但这个真的不错
可以选择把登录密码全部设置为123456
这个密码绕过很好,破不出登录密码的时候可以用这个绕过
2.火眼仿真:
(1).这个就没有仿真大师的那个密码绕过
创建虚拟机时感觉很麻烦
不仿真大师那么直接好使
3.盘古石仿真:
(1).也是很麻烦,不直接
创建虚拟机时,又要设置这又要设置那
设置完了比赛都结束了
虽然也有密码绕过、密码清除
但我试了一下,好像没啥用啊?
四、流量包分析
1.wireshark
(1).唯一真神了
追踪IP流、TCP流
从http中提取文件
过滤
真的很猛的一个老牌软件
2.科莱网络分析
(1).没有wireshark那么多的功能
(2).但有独特之处
可以支持回放分析
通过IP地址、tcp等筛选来判断服务器主机的地址和攻击者用的手段
五、手机端仿真
1.夜神模拟器
(1).唯一真神
支持vmdx、img格式,是市面上唯一支持vmdx格式挂载的模拟器