22个免费的取证调查工具，适用于IT安全专家。

每天都会发生数据泄露。

一些最严重的数据泄露事件有：

• JP摩根大通
• 美国银行
• 汇丰银行
• TD银行
• Target
• 推特（Tumbler）
• 家得宝（Home Depot）
• MySpace
• eBay
• Adobe System Inc
• iMesh

Juniper Research提示到2025年，网络犯罪将给企业造成超过5万亿美元的损失。因此，计算机取证专家的需求也将增加。

工具是管理员的好朋友；使用合适的工具总能帮助您更快地处理事务并提高工作效率。取证调查总是具有挑战性的，因为您可能会收集尽可能多的信息作为证据和减轻计划。

以下是您需要的一些计算机取证工具。其中大多数是免费的！

Autopsy

Autopsy是一个基于GUI的开源数字取证程序，可高效地分析硬盘和智能手机。Autopsy被全球数千名用户用于调查计算机上发生的事情。

它被广泛应用于公司检察官，军方调查等，其中一些功能包括：

• 电子邮件分析
• 文件类型检测
• 媒体播放
• 注册表分析
• 从存储卡中恢复照片
• 从JPEG文件中提取地理位置和相机信息
• 从浏览器中提取网络活动
• 以图形界面显示系统事件
• 时间线分析
• 从Android提取数据 – 短信，通话记录，联系人等

它有广泛的报告生成功能，可生成HTML、XLS文件格式。

Encrypted Disk Detector

Encrypted Disk Detector可以帮助您检查加密的物理驱动器。它支持TrueCrypt、PGP、BitLocker、Safeboot加密卷。

Kit Forensic

由FBI、欧洲警察组织等执法机构使用的Kit Forensic是一种用于调查重大事件的顶级工具。

它的密码恢复功能适用于超过340种用例，包括MS Office、比特币钱包、Mac OS X密钥链、顶级密码管理器、PDF、BitLocker等等。

Kit Forensic的一个亮点功能是其实时内存分析，它可以帮助您从磁盘映像中提取加密密钥和密码。此外，它还可以解密工具如BitLocker、TrueCrypt、苹果DMG磁盘、LUKS(2)、McAfee等部署的完整磁盘加密。

这种取证调查工具有各种版本，从基本版到取证版，根据您需要解码的内容而定。然而，您也可以下载功能有限但免费的版本，体验一下这款最强大的调查工具。

Wireshark

Wireshark是一款网络捕获和分析工具，可查看网络中发生的情况。在调查与网络相关的事件时，Wireshark将非常有用。

Magnet RAM Capture

您可以使用Magnet RAM capture来捕获计算机的物理内存并分析其中的遗留痕迹。

它支持Windows操作系统。

Network Miner

Network Miner是一款有趣的网络取证分析工具，可用于Windows、Linux和MAC OS X，通过数据包嗅探或通过PCAP文件来检测操作系统、主机名、会话和开放端口。它提供直观的用户界面以提取遗留痕迹。

NMAP

NMAP（网络映射器）是最受欢迎的网络和安全审计工具之一。NMAP支持大多数操作系统，包括Windows、Linux、Solaris、Mac OS、HP-UX等。它是开源的，因此免费。

RAM Capturer

RAM Capturer by Belkasoft是一款免费工具，用于转储计算机的易失性内存中的数据。它与Windows操作系统兼容。内存转储文件可能包含加密卷的密码以及用于网络邮件和社交网络服务的登录凭据。

取证调查员

如果您正在使用Splunk，那么Forensic Investigator将是一个方便的工具。它是一个Splunk应用程序，整合了许多工具。

• WHOIS / GeoIP查询
• Ping
• 端口扫描器
• 横幅抓取器
• URL解码器/解析器
• XOR / HEX / Base64转换器
• SMB共享/ NetBIOS查看器
• 病毒总数查询

FAW

FAW（网络取证获取网站）是用于取得网络页面进行取证调查的工具，具有以下功能。

• 捕获整个或部分页面
• 捕获所有类型的图像
• 捕获网页的HTML源代码
• 与Wireshark集成

HashMyFiles

HashMyFiles将帮助您计算MD5和SHA1哈希值。它适用于几乎所有最新的Windows操作系统。

Crowd Response

Response是Crowd Strike推出的一款用于收集系统信息的Windows应用程序，用于事件响应和安全对策。您可以使用CRConvert以XML，CSV，TSV或HTML格式查看结果。它适用于32位或64位的Windows XP以上版本。

Crowd Strike还提供了其他一些有用的调查工具。

• Totrtilla-通过Tor匿名路由TCP / IP和DNS流量。
• Shellshock扫描器-扫描您的网络以查找shellshock漏洞。
• Heartbleed扫描器-扫描您的网络以查找OpenSSL heart bleed vulnerability。

NFI Defraser

Defraser取证工具可以帮助您在数据流中检测完整和部分的多媒体文件。

ExifTool

ExifTool帮助您读取，写入和编辑多种文件类型的元信息。它可以读取EXIF，GPS，IPTC，XMP，JFIF，GeoTIFF，Photoshop IRB，FlashPix等。

Toolsley

Toolsley提供了十多个有用的调查工具。

• 文件签名验证器
• 文件标识符
• 哈希和验证
• 二进制检查器
• 编码文本
• 数据URI生成器
• 密码生成器

SIFT

SIFT（SANS调查取证工具包）工作站是免费提供的Ubuntu 14.04。SIFT是一套您所需的取证工具，也是最流行的开源事件响应平台之一。

Dumpzilla

提取Firefox，Iceweasel和Seamonkey浏览器中的所有有趣信息以进行分析，使用Dumpzilla。

浏览器历史记录

Foxton有两个免费且令人兴奋的工具。

1. 浏览器历史记录捕捉器-在Windows操作系统上捕捉Web浏览器（Chrome，Firefox，IE和Edge）的历史记录。
2. 浏览器历史记录查看器-从大多数现代浏览器中提取和分析互联网活动历史记录。结果以交互式图形显示，并且可以进行历史数据筛选。

Kali Linux

Kali Linux是最受欢迎的安全和渗透测试操作系统之一，但它也具有取证功能。有100多种工具可供选择，因此我相信您一定能找到符合您需求的工具。

Paladin

PALADIN取证套件-世界上最著名的Linux取证套件，是一款基于Ubuntu的修改版Linux发行版，提供32位和64位版本。

Paladin拥有29个类别下超过100个工具，几乎涵盖了您在调查事件中所需的一切。最新版本- Paladin 6中包含了Autospy。

Sleuth Kit

The Sleuth Kit是一组命令行工具，用于调查和分析卷和文件系统以查找证据。

CAINE

CAINE（计算机辅助调查环境）是一款Linux发行版，提供完整的取证平台，拥有80多种工具可供分析，调查和生成可操作性报告。

结论

我希望上述工具能帮助您更高效地处理Cybersecurity incident，并使调查过程更快速。如果您是初次进行取证调查，您可能想要查看这个course。