it-swarm-korea.com

컴퓨터 포렌식 : 도구 상자에는 무엇이 있습니까?

증거 수집, 디스크 이미지 만들기, 라이브 메모리 검사 등에 어떤 도구를 사용합니까?

22
gbr

내 법의학 작업의 대부분은 실험실 환경에서 사실 후에 수행되므로 온라인 작업에 참여할 때까지는 너무 늦습니다. 즉, 메모리 분석이 없습니다.

역사적으로 나는

  1. EnCase
  2. 헬릭스 LiveCD
  3. 아르 거스

최근에 저는 그 조합에서 벗어나

  1. 아르 거스
  2. 부검 -수집 및 시스템 분석 용
  3. BackTrack (포렌식 모드)
  4. sed/awk/grep/last 등

두 경우 모두 적절한 쓰기 차단기를 사용하여 수집을 수행하며, 내가 사용하는 대부분은 Tablea 에 의해 수행됩니다. Autopsy로 옮긴 한 가지 이유는 NSRL 와 같은 해시 데이터베이스에 대한 지원 때문입니다. 또 하나는 무료라는 것입니다. EnCase는 훌륭한 도구이지만 비용이 많이 듭니다.

10
Scott Pack

나는 그 주제에 대해 많이 탐구하지 않았지만 아마도이 사이트가 당신을 도울 수있을 것입니다- http://www2.opensourceforensics.org/home .

4
anonymous

나는 액세스 데이터에 의한 FTK 언급 한 것을 보지 못했습니다. 저는 몇 년 전에 Encase와 FTK를 모두 사용했습니다. 둘 다 장단점이 있지만 상업적으로 지원되고 법원에서 인정하는 법의학 도구입니다.

나는 weibetech의 차단기를 작성하는 데 부분적이지만 다른 공급 업체에 대해서는 많은 경험이 없습니다. 쓰기 차단기에 대한 NIST 확인 을 볼 수 있습니다. 해당 웹 사이트와 같은 NIST 포렌식 도구 테스트에서 추가 소프트웨어/하드웨어에 대한 검증 보고서도 있습니다.

4
Reiger

보세요 bulk_extractor , 디스크 이미지에서 이메일 주소, 신용 카드 번호 및 기타 정보를 자동으로 찾는 프로그램입니다. 그런 다음 하드 드라이브의 기본 용도와 해당 사용자의 기본 연락처를 식별 할 수있는 히스토그램을 생성합니다. 압축 파일에서도 검색합니다.

4
vy32

나는 항상 EnCaseCoroner 's Toolkit (오늘은 dd와 함께 Sleuthkit )을 사용했습니다. 솔직히 말해서 Helix 및 BackTrack LiveCD는 조직 내부에서 또는 법 집행이나 법원에 관여 할 의도가없는 경우 기술 포렌식을 위해 거의 있습니다.

법정에 제출해야하는 경우 문제가 발생합니다.

그 시점에서 관할권에 따라 EnCase가 승리합니다. 경찰이 이에 대해 알고 법정에서 보증 할 수 있기 때문에 간단합니다. 좋아하는 툴킷에 대한 인증 승인을받을 수없는 경우 EnCase를 사용하십시오.

3
Rory Alsop

이 기사는 NIST http://www.cftt.nist.gov/ 에서 확인할 수 있지만 도구 상자가 아니라 테스트를 수행하는 방법입니다.

2
Mohamed

증거 수집
네트워크 및 http 캡처

  1. 에테 리얼
  2. 넷몬
  3. 피들러
  4. 방화범
  5. httpwatch

이벤트 로그

LogParser 2

2
Anonymous Type