工具革命：电子数据取证的“百晓生兵器谱”

工具革命：电子数据取证的“百晓生兵器谱”

　　改ip的软件,好玩的相机软件,文档朗读软件译者注：本文不同于以往所见罗列“XXX的10种工具”并配上人云亦云、泛泛介绍的水文，或者厂商以推广产品为目的的软文。

　　本文作者具有丰富的工具使用经验，并发表了自己较为客观的独到见解。虽然列出的工具种类不尽完善，但对需要了解国际上工具发展趋势或者工具功能的从业人员具有一定的参考价值。

　　伊戈尔·米哈伊洛夫（Igor Mikhailov）是Group-IB计算机取证与恶意代码研究实验室的一名电子数据取证专家，下图展示他所用工具的硬件加密狗。仅这些工具的成本就超过数万美元，这还不包括其它免费和付费的软件产品。哪个工具更适合于检验鉴定？

　　Cellebrite UFED Touch 2最初是为现场取证而开发的产品，在概念设计上有两个分支：

　　该产品的设计理念是借助Cellebrite UFED Touch 2在现场提取数据，然后在实验室中用UFED Physical Analyzer分析这些数据。该产品的实验室版本是两个独立的软件产品：UFED 4PC和 UFED Physical Analyzer，都安装在鉴定工作站上。目前为止，这个复合软件可以从尽可能多的移动设备中提取数据。在分析过程中使用UFED Physical Analyzer可能会遗漏某些数据，这是因为一些旧的bug在新版本中被大致修复了，但仍然修复不完全。这就是为什么我们建议复核一下UFED Physical Analyzer的数据分析是否已全部完成。

　　MSAB XRY / MSAB XRY Field是一款瑞典Micro Systemation公司开发的类似Cellebrite的产品，与Cellebrite的模式不同，Micro Systemation表示他们的产品在大多数情况下用于台式机或笔记本。该产品附带具有显著品牌标识的USB集线器、一系列适配器和用于连接不同移动设备的数据线。该公司还提供了硬件产品MSAB XRY Field及MSAB XRY Kiosk，用于从移动设备中提取数据。产品有平板电脑和一体机两种形式，实践证明这些产品非常适合从老掉牙的移动设备中提取数据。

　　曾几何时，波兰公司Rusolut设计的用于芯片摘取（直接从移动设备的存储芯片提取数据的方法）的硬件工具变得越来越流行。使用该设备，我们可以从损坏的移动设备、被PIN码或图形密码锁定的移动设备中提取数据。Rusolut提供了几组适配器，用于从某些机型中提取数据。比如，一组专门用于“中国山寨机”数据提取的适配器。然而，移动设备开发商在顶级机型中广泛使用的用户数据加密技术导致了该解决方案正逐渐失宠。从存储芯片中提取数据或许是可行的，但是提取到的数据都是加密的，而解密是一个棘手的问题。

　　随着手机取证技术的发展，显而易见的是移动设备分析软件紧紧跟随移动设备功能的更新。早些时候，取证鉴定人员或下令调查的人只能从电话簿、短信、彩信、通话记录、图片和视频文件中获取数据。现在，需要提取的数据种类更多了。除了上述提到的，通常还需要提取：

　　Oxygen是从移动设备分析中提取数据的最好软件之一。如果想从移动设备中最大化提取数据，该软件是最佳选择。Oxygen中集成的SQLite和plist查看器可供按需手动检验特定的SQLite数据库和plist文件。

　　该软件一开始是为在电脑上使用而开发的，因此在上网本或平板电脑（屏幕尺寸不超过13英寸的设备）上使用会感到不舒服。

　　该软件的一个特点是对应用程序数据库文件所在的路径的紧密绑定。安装在智能手机上的所有应用程序都将数据存储在一个或多个文件数据库中，这些数据库位于特定的目录中。如果在应用程序更新后更改了数据库的位置，Oxygen将无法找到数据库（它认为特定应用程序的文件必须位于指定的路径上，而不是在其它地方），因此将无法提取数据。这造成检验必须依赖Oxygen文件浏览器和辅助工具手工完成。

　　近年来的趋势是软件功能的“融合”。最初为手机取证开发软件的开发商在他们的产品中引入了硬盘检验的功能，专门从事硬盘检验的取证产品开发商增加了移动设备检验的功能。这两波开发商都增加了从云存储中提取数据等功能，因此我们有了“多功能软件”，在这些软件的帮助下，我们可以对移动设备、硬盘进行检验，也可以从云存储中提取数据，并分析从所有这些来源中提取的数据。

　　在我们的最佳手机取证软件列表中，这类软件占据了两个位置：Magnet AXIOM（加拿大Magnet取证公司的软件）和Belkasoft Evidence Center（Belkasoft的解决方案）。与上述的软件和硬件工具相比，这些软件在数据提取方面的功能较差，但它们对数据分析很有帮助，可以用于掌控完全不同类型的数据提取。这两个软件都在积极开发，并在移动设备检验中快速拓展它们的功能。

　　Tableau T35U——Tableau公司的一种硬件只读接口，可以通过USB3总线将需检硬盘安全地连接到鉴定工作站上。这个只读接口提供IDE和SATA接口的硬盘插槽，如果有适配器，也可以将硬盘连接到其它接口。这个只读接口的特点是可以模拟“读写”操作，在对含有恶意软件的硬盘进行检验时很有用。

　　Wiebitech Forensic UltraDock v5——由CRU公司开发的只读接口。该产品的功能可以跟Tableau T35U媲美。这个只读接口可以通过大量的接口与鉴定工作站连接（除了USB3，它还可以通过eSATA和FireWire接口连接）。如果将硬盘连接到此只读接口，并且访问权限受到ATA密码限制，那么只读接口的显示屏上将显示一条关于限制的消息。此外，当连接一个具有DCO隐藏区域的硬盘时，该区域将自动显现，以便复制其中的数据。

　　以上两个只读接口都首选USB3总线连接，为制作镜像和分析存储介质的过程提供了便利的工作条件。

　　5年前，电子数据取证领域毋庸置疑的排头兵是Encase Forensics和AccessData FTK。它们的功能相互补充，能从检材中最大化提取不同类型的数据。如今，这两个项目都是市场的局外人。当前Encase Forensics的功能难以满足对运行Windows系统的计算机和服务器与时俱进的检验需求。对于一些非“一键到底”的场景，Encase Forensics仍然是适用的，比如检验运行Mac OS的计算机或运行Linux的服务器，以及从罕见的文件格式中提取数据时。Encase Forensics内置的Ensripts宏语言包含大量由开发商和爱好者实现的脚本库，利用它们可以分析大量不同的操作系统和文件系统。

　　AccessData FTK试图最大程度扩展产品功能以跟上时代，然而数据处理的时间远远超出了一般人能够承受的合理范围。

　　如今，电子数据取证领域无可辩驳的领头羊是Magnet Axiom。该软件不仅后发制人，还形成了功能完善的多个模块：移动设备检验、云存储数据提取、MacOS设备检验等等。该软件具有友好的用户功能界面，可以用于与计算机或移动设备安全相关的调查。

　　与Magnet AXIOM类似的是Belkasoft Evidence Center，它可以从移动设备、云存储和硬盘中提取和分析数据。在检验硬盘时，该软件可以检测加密文件和分区，通过指定的扩展名提取文件，检验网页浏览器的数据，提取云端存储的聊天记录和信息，分析地理位置数据、电子邮件、社交网络和支付系统数据、缩略图、系统文件、系统日志等。对于已删除数据的提取，它具有灵活的可定制功能。

　　该软件的基本配置价格适中，其它扩展功能模块则可以单独购买。除了基本配置之外，强烈建议购买“文件系统”模块，没有它就不方便调用已检验过的数据源。

　　当然缺点也是有的：软件的界面不友好，独立的操作不知该从何入手。因此要有效地将该软件用在工作中需要先培训。

　　Belkasoft Evidence Center的主要窗口显示了在检验特定设备期间检测到的取证数据的统计信息：

　　X-Ways Forensics一步一个脚印地征服了电子数据取证市场。该软件是电子数据取证界的瑞士军刀，它多功能、精准、可靠、小巧。它的特点是数据处理非常快（与其它同类软件相比），并且它的功能恰到好处地满足了鉴定中最基本的需求。该软件有一个内置的机制将假阳性的结果最小化，这意味着从一个100 GB的硬盘中恢复文件不会得到1 TB的已恢复文件（其中大多数是假阳性的误报，通常在使用数据恢复软件时出现），仅会恢复那些真正需要恢复的文件。

　　该软件已经证明了它擅于手动分析从监控录像机（CCTV）中拆下来的硬盘。将第三方开发人员的功能模块集成到软件中调用它的功能也是可实现的。

　　尽管存在大量各种各样的数据恢复软件，包括商业软件的和免费软件，但是很难找到一个软件能够正确并完整地恢复不同文件系统中不同类型的文件。现在，只有两个软件能满足需求，它们具有几乎相同的功能：R-Studio和UFS Explorer。其它数千种数据恢复软件要么在功能上不如它们全，要么明显比它们烂。

　　Autopsy是一个很方便的工具，它可以分析Windows计算机和Android移动设备。它具有图形界面，可用于与计算机有关的案件调查。

　　Photorec是最好用的免费数据恢复软件之一。它是类似商业软件的优秀替代品。

　　SIFT是一个Linux发行版，由专门从事网络安全培训和事件响应的商业组织SANS Institute开发和支持。SIFT包含大量当前版本的免费软件，可以用于从各种来源提取数据并进行分析。SIFT也可用于公司组织的培训，这些软件也是不断更新的。在工作中使用该发行版中的特定工具可以提升工作的便利程度。

　　Kali Linux是一个独特的Linux发行版，可以使用它进行安全审计和调查。2017年，Packt Publishing出版了Shiva V. N Parasram的《Digital Forensics with Kali Linux》一书，这本书给出了一些关于在这一套工具的帮助下如何复制、检验和分析计算机、存储设备、内存数据和网络流量的提示。

　　以上是我使用所述硬件和软件工具对计算机和移动设备进行检验鉴定的实践经验分享，希望本文对打算购买硬件和软件工具来进行电子数据鉴定和案件调查的人员有用。