取证工具包
取证工具包 是什么?
取证工具包对数字取证人员所使用的、经过验证的硬件、软件和程序集合的通用术语,用于获取、保全和分析证据。
取证工具包是数字取证人员用于获取、保全、分析和报告数字证据的、经过整理与记录的硬件、软件和程序集合。典型工具包通常包括写入封锁器、未使用过的存储介质、取证镜像工具(FTK Imager、Guymager、dd/dcfldd)、分析套件(Autopsy、The Sleuth Kit、X-Ways、EnCase 或商用 FTK)、内存采集工具(DumpIt、WinPmem、AVML)、现场响应脚本、移动取证工具(Cellebrite、Magnet AXIOM)、哈希与时间线实用程序以及案件管理文档。通过 ISO/IEC 17025 认证的实验室会针对已知数据集对每个工具进行验证,以确保可靠性和可采性。该术语应与 Exterro FTK(另一款同名为 Forensic Toolkit 的商业产品)区分开来。
● 示例
- 01
现场响应人员携带硬件写入封锁器、空白存储介质、装有 FTK Imager 的 U 盘和现场响应脚本,以捕获易失性数据。
- 02
实验室记录某次调查中所用每件取证工具的具体版本,以满足 ISO/IEC 17025 的可追溯性要求。
● 常见问题
取证工具包 是什么?
对数字取证人员所使用的、经过验证的硬件、软件和程序集合的通用术语,用于获取、保全和分析证据。 它属于网络安全的 取证与应急响应 分类。
取证工具包 是什么意思?
对数字取证人员所使用的、经过验证的硬件、软件和程序集合的通用术语,用于获取、保全和分析证据。
取证工具包 是如何工作的?
取证工具包是数字取证人员用于获取、保全、分析和报告数字证据的、经过整理与记录的硬件、软件和程序集合。典型工具包通常包括写入封锁器、未使用过的存储介质、取证镜像工具(FTK Imager、Guymager、dd/dcfldd)、分析套件(Autopsy、The Sleuth Kit、X-Ways、EnCase 或商用 FTK)、内存采集工具(DumpIt、WinPmem、AVML)、现场响应脚本、移动取证工具(Cellebrite、Magnet AXIOM)、哈希与时间线实用程序以及案件管理文档。通过 ISO/IEC 17025 认证的实验室会针对已知数据集对每个工具进行验证,以确保可靠性和可采性。该术语应与 Exterro FTK(另一款同名为 Forensic Toolkit 的商业产品)区分开来。
如何防御 取证工具包?
针对 取证工具包 的防御通常结合技术控制与运营实践,详见上方完整定义。
取证工具包 还有哪些其他名称?
常见的别称包括: DFIR 工具包, 取证套件, 取证现场工具包。
● 相关术语
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
- forensics-ir№ 426
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
- forensics-ir№ 436
FTK
Forensic Toolkit(FTK)是由 AccessData 开发、现归 Exterro 所有的商用数字取证套件,用于获取、索引和分析计算机证据。
- forensics-ir№ 378
EnCase
EnCase 是 OpenText(原 Guidance Software)推出的商用数字取证产品系列,自上世纪 90 年代末以来广泛应用于执法和企业调查领域。
- forensics-ir№ 078
Autopsy
由 Brian Carrier 与 Basis Technology 主导开发的开源数字取证平台,为 The Sleuth Kit 提供图形界面并附带丰富的分析模块。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。