精选的优秀法证分析工具和资源列表

精选的优秀免费（大部分为开源）取证分析工具和资源列表。

• 超棒的法医
  • 收藏
  • 工具
    • 分布
    • 框架
    • 现场取证
    • IOC扫描仪
    • 获得
    • 成像
    • 雕刻
    • 记忆取证
    • 网络取证
    • Windows 组件
      • NTFS/MFT 处理
    • OS X 取证
    • 移动取证
    • Docker取证
    • 网络文物
    • 时间线分析
    • 磁盘映像处理
    • 解密
    • 管理
    • 图片分析
    • 元数据取证
    • 隐写术
  • 学习法医学
    • CTF 和挑战
  • 资源
    • 网站
    • 博客
    • 图书
    • 文件系统语料库
    • 其他
    • 实验室
  • 相关精彩列表
  • 贡献

---

收藏

• AboutDFIR------权威汇编项目------汇集了用于学习和研究的取证资源。提供认证列表、书籍、博客、挑战赛等内容。
• ⭐ ForensicArtifacts.com 取证物库- 机器可读的取证物知识库

工具

• 维基百科上的取证工具
• 埃里克·齐默曼的工具

分布

• bitscout - 用于远程取证采集和分析的 LiveCD/LiveUSB
• Remnux - 用于恶意软件逆向工程和分析的发行版
• SANS 调查取证工具包 (SIFT) - 用于取证分析的 Linux 发行版
• Tsurugi Linux - 用于取证分析的 Linux 发行版
• WinFE - Windows 取证环境

框架

• ⭐尸检- SleuthKit 图形用户界面
• Dexter ------Dexter是一个可扩展且安全的取证采集框架。
• dff - 取证框架
• Dissect - Dissect 是一个数字取证和事件响应框架及工具集，可让您快速访问和分析来自各种磁盘和文件格式的取证痕迹，由 Fox-IT（NCC 集团的一部分）开发。
• hashlookup-forensic-analyser - 一款用于分析取证文件以查找来自hashlookup API 或使用本地布隆过滤器的已知/未知哈希值的工具。
• IntelMQ ------IntelMQ收集和处理安全信息源
• Kuiper - 数字调查平台
• Laika BOSS ------Laika是一款物体扫描器和入侵检测系统。
• OpenRelik------用于存储文件痕迹和运行工作流的取证平台
• PowerForensics ------PowerForensics是一个用于实时磁盘取证分析的框架
• TAPIR ------TAPIR（可信事件响应工件解析器）是一个多用户、客户端/服务器架构的事件响应框架。
• ⭐侦探工具包- 低级别法医分析工具
• Turbinia ------Turbinia是一个开源框架，用于在云平台上部署、管理和运行取证工作负载。
• IPED - Indexador e Processador de Evidências Digitais - 巴西联邦警察法医调查工具
• Wombat Forensics - 取证图形用户界面工具

现场取证

• grr - GRR 快速响应：用于事件响应的远程实时取证
• Linux Explorer - 一个易于使用的 Linux 终端实时取证工具箱，使用 Python 和 Flask 编写
• mig - 云端速度的分布式实时数字取证
• osquery - 基于 SQL 的操作系统分析
• POFR - Penguin OS Flight Recorder 收集、存储和整理来自 Linux 操作系统的进程执行、文件访问和网络/套接字端点数据，以便进行进一步分析。
• UAC - UAC（类 Unix 工件收集器）是一个用于事件响应的实时响应收集脚本，它利用本地二进制文件和工具来自动收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系统工件。

IOC扫描仪

• Fastfinder - 快速、可定制的跨平台可疑文件查找器。支持 md5/sha1/sha256 哈希值、字面/通配符字符串、正则表达式和 YARA 规则。
• Fenrir - 简单的 Bash IOC 扫描器
• Loki - 简易型 IOC 和事件响应扫描器
• Redline -- FireEye 提供的免费端点安全工具
• THOR Lite - 免费 IOC 和 YARA 扫描仪
• recon - 一款面向性能的文件查找器，支持 SQL 查询、索引和分析文件元数据，并支持 YARA。

获得

• Acquire ------Acquire 是一款工具，可将磁盘镜像或运行中的系统中的取证样本快速收集到轻量级容器中。
• ALEX - 用于从 Windows、Linux 和 MacOS 上的 ADB 设备提取文件。它主要是 adbutils 的一个封装库。
• artifactcollector - 一款可定制的代理程序，用于在任何 Windows、macOS 或 Linux 系统上收集取证痕迹。
• ArtifactExtractor - 从源映像和 VSC 中提取常见的 Windows 工件
• AVML------一款适用于Linux的便携式易失性内存采集工具。
• Belkasoft RAM Capturer - 易失性内存采集工具
• DFIR ORC - 适用于运行 Microsoft Windows 系统的取证工件收集工具
• FastIR 采集器- 采集窗口上的红外图像
• FireEye Memoryze------一款免费的内存取证软件
• FIT - 网页、电子邮件、社交媒体等的取证采集
• ForensicMiner - 一款基于 PowerShell 的数字取证与事件响应 (DFIR) 自动化工具，用于在 Windows 机器上收集证据和物证。
• Fuji------让MacOS取证变得简单。它可以创建完整的文件系统副本，或针对特定Mac电脑进行数据采集。
• Hashment - 用于分析、转储和恢复 YAFFS2 分区中已删除文件的 Python 取证工具。
• LiME（可加载内核模块，LKM），允许从 Linux 和基于 Linux 的设备中获取易失性内存，以前称为 DMD。
• Magnet RAM Capture / DumpIt - 一款用于捕获物理内存的免费映像工具
• SPECTR3 - 通过便携式 iSCSI 只读访问获取、分类和调查远程证据
• TriageHasher------一款灵活的哈希工具，专为Windows、Linux和MacOS上的文件分类而设计。它仅对具有指定扩展名和位置的文件进行哈希处理。
• UFADE - 从 Linux 和 macOS 上的 iOS 设备提取文件。它主要是对 pymobiledevice3 的一个封装。可以创建 iTunes 风格的备份和高级逻辑备份。
• unix_collector - 一个用于类 UNIX 系统的实时取证收集脚本，以单个脚本的形式运行。
• Velociraptor - Velociraptor 是一款使用 Velocidex 查询语言 (VQL) 查询收集基于主机状态信息的工具
• WinTriage ------Wintriage是一款实时响应工具，用于提取Windows系统相关文件。它必须以本地或域管理员权限运行，建议从外部驱动器运行。

成像

• dc3dd - dd 的改进版本
• dcfldd - dd 的一个改进版本（此版本存在一些错误！另一个版本位于 github adulau/dcfldd）
• FTK Imager - 适用于 Windows 的免费图像处理工具
• ⭐ Guymager - 用于 Linux 系统磁盘映像的开源版本
• 4n6pi - 一款基于 libewf 的取证磁盘映像工具，专为 Raspberry Pi 设计。

雕刻

• bstrings - 改进的字符串实用程序
• bulk_extractor - 从磁盘映像中提取电子邮件地址、信用卡号和直方图等信息
• floss - 用于自动反混淆恶意软件二进制文件中字符串的静态分析工具
• ⭐ photorec - 文件雕刻工具
• swap_digger - 一个用于自动化 Linux 交换空间分析的 bash 脚本，可自动提取交换空间并搜索 Linux 用户凭据、Web 表单凭据、Web 表单电子邮件等。

记忆取证

• inVtero.net是一个基于 .NET 开发的高速内存分析框架，支持所有 Windows x64 系统，并包含代码完整性和写入支持。
• KeeFarce - 从内存中提取 KeePass 密码
• MemProcFS - 一种将物理内存作为文件访问的简单便捷的虚拟文件系统。
• Rekall - 内存取证框架
• 易失性------内存取证框架
• VolUtility - 波动率框架的 Web 应用程序

网络取证

• Kismet------一款被动式无线嗅探器
• NetworkMiner - 网络取证分析工具
• RustNet------一个跨平台的网络监控终端用户界面，提供网络连接的实时可见性。
• Squey - 日志/PCAP 可视化软件，旨在检测大量数据中的异常和微弱信号。
• ⭐ WireShark - 网络协议分析器

Windows 组件

• Beagle - 将数据源和日志转换为图表
• Blauhaunt - 用于过滤和可视化登录事件的工具集
• FRED - 跨平台 Microsoft 注册表编辑器
• Hayabusa - 一款基于 sigma 的威胁狩猎和 Windows 事件日志快速取证时间线生成器。
• LastActivityView - LastActivityView 由 Nirsoft 开发，是一款适用于 Windows 操作系统的工具，它可以从运行中的系统的各种来源收集信息，并显示用户在此计算机上执行的操作和发生的事件的日志。
• LogonTracer - 通过可视化和分析 Windows 事件日志来调查恶意 Windows 登录
• PyShadow - 一个用于 Windows 的库，用于读取卷影副本、删除卷影副本、创建指向卷影副本的符号链接以及创建卷影副本。
• python-evt - 用于解析经典 Windows 事件日志文件 (.evt) 的纯 Python 解析器
• RegRipper3.0 - RegRipper 是一个开源的 Perl 工具，用于解析注册表并将其呈现以供分析。
• RegRippy - 一个用于从 Windows 注册表单元读取和提取有用取证数据的框架

NTFS/MFT 处理

• MFT解析器- MFT解析器比较
• MFTEcmd - Eric Zimmerman 的 MFT 解析器
• MFTExtractor - MFT解析器
• MFTMactime - MFT 和 USN 解析器，允许以文件系统时间线格式 (mactime) 直接提取，将 MFT 中的所有驻留文件以其原始文件夹结构转储，并对它们全部运行 yara 规则。
• NTFS 日志解析器
• NTFSTool - 完整的 NTFS 取证工具
• NTFS USN 日志解析器
• RecuperaBit - 重建和恢复 NTFS 数据
• python-ntfs - NTFS 分析

OS X 取证

• APFS Fuse - 适用于新版 Apple 文件系统的只读 FUSE 驱动程序
• mac_apt（macOS 工件解析工具） - 从磁盘映像或运行中的计算机中提取取证工件。
• MacLocationsScraper - 导出 iOS 和 macOS 上的位置数据库文件内容
• macMRUParser - 一个 Python 脚本，用于将 macOS 上的最近使用 (MRU) plist 文件解析为更易于阅读的格式。
• OSXAuditor
• OSX 收集

移动取证

• Andriller------一款包含一系列智能手机取证工具的软件实用程序
• ALEAPP - 一个 Android 日志事件和 Protobuf 解析器
• ArtEx - 用于 iOS 全文件系统提取的工件检查工具
• iLEAPP - iOS 日志、事件和 plist 解析器
• iOS 常用位置数据转储工具- 转储位于 /private/var/mobile/Library/Caches/com.apple.routined/ 目录下的 StateModel#.archive 文件的内容。
• MEAT - 在 iOS 设备上执行不同类型的采集
• MobSF - 一个自动化的一体化移动应用程序（Android/iOS/Windows）渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。
• OpenBackupExtractor - 一款用于从 iPhone 和 iPad 备份中提取数据的应用程序。

Docker取证

• dof（Docker取证工具包） ------从Docker主机系统的磁盘镜像中提取和解析取证痕迹。
• Docker Explorer从 Docker 主机系统的磁盘镜像中提取和解析取证痕迹。

网络文物

• ChromeCacheView - 一个小型实用程序，用于读取 Google Chrome 浏览器的缓存文件夹，并显示当前存储在缓存中的所有文件列表。
• chrome-url-dumper - 转储 Chrome 收集的所有本地存储信息
• 事后诸葛亮------谷歌Chrome/Chromium的互联网历史记录取证
• IE10Analyzer - 此工具可以解析 WebCacheV01.dat 中的正常记录并恢复已删除的记录。
• 展开- 从 URL 中提取和可视化数据
• WinSearchDBAnalyzer - 此工具可以解析 Windows.edb 中的正常记录并恢复已删除的记录。

时间线分析

• DFTimewolf - 使用 GRR 和 Rekall 协调取证数据收集、处理和导出的框架
• ⭐ plaso - 从各种文件中提取时间戳并进行聚合
• 时间线浏览器- 一款用于分析 CSV 和 Excel 文件的时间线工具。专为 SANS FOR508 学生打造。
• timeliner ------mactime 的重写版本，一个 bodyfile 读取器
• 时间草图- 协作式法医时间线分析

磁盘映像处理

• Disk Arbitrator - 一款 Mac OS X 取证实用程序，旨在帮助用户确保在对磁盘设备进行映像时遵循正确的取证程序。
• imagemounter - 用于简化取证磁盘映像挂载/卸载的命令行实用程序和 Python 包
• libewf - Libewf 是一个库和一些工具，用于访问专家证人压缩格式 (EWF, E01)
• PancakeViewer - 基于 dfvfs 的磁盘映像查看器，类似于 FTK Imager 查看器
• xmount - 在不同磁盘映像格式之间进行转换

解密

• hashcat - 支持 GPU 的快速密码破解工具
• 开膛手约翰- 密码破解器

管理

• Catalyst ------Catalyst 是一个开源的安全自动化和工单系统。
• dfirtrack - 数字取证和事件响应跟踪应用程序，跟踪系统
• 事件管理- 用于组织非简单安全调查的 Web 应用程序。其设计理念是将事件视为工单树，其中一些工单是线索。
• iris - 协作事件响应平台

图片分析

• Ghiro------一款全自动工具，旨在对海量图像进行取证分析。
• Sherloq------一款开源的数字照片图像取证工具集

元数据取证

• Phil Harvey 的ExifTool
• EXIF 编辑器是一款浏览器内使用的 EXIF 查看器/编辑器/分析工具，注重隐私保护（无需注册）。它还包含 EXIF 指南和 EXIF 测试。
• FOCA ------FOCA 是一款主要用于查找文档中的元数据和隐藏信息的工具。

隐写术

• 声波可视化器
• Steghide是一款隐写术程序，可以将数据隐藏在各种图像和音频文件中。
• Wavsteg是一款隐写术程序，可以将数据隐藏在各种图像和音频文件中。
• Zsteg------一款用于WAV文件的隐写编码器

学习法医学

• 法医挑战------法医挑战思维导图
• OpenLearn - 数字取证课程

CTF 和挑战

• BelkaCTF - Belkasoft 出品的 CTF 赛事
• 网络防御者
• DefCon CTFs - DEF CON CTF 挑战赛存档。
• 法证CTF
• MagnetForensics CTF挑战赛
• 恶意软件技术实验室
• MemLabs
• NW3C挑战
• 北达科他州入侵的精密部件
• 逆向工程挑战

资源

网站

• 法医焦点
• SANS 数字取证

博客

• Netresec
• SANS 法证博客
• SecurityAffairs - Pierluigi Paganini 的博客
• 本周 4n6资讯 - 法医学周报
• 泽纳法医

图书

更多内容请参阅安德鲁·凯斯的推荐阅读。

• 网络取证：追踪网络空间中的黑客------学习识别黑客踪迹并发现网络证据
• 内存取证的艺术------检测 Windows、Linux 和 Mac 内存中的恶意软件和威胁
• 网络安全监控实践------理解事件检测与响应

文件系统语料库

• 数字取证挑战图片- 两个数字取证与事件响应 (DFIR) 挑战图片
• 数字取证工具测试图像

其他

• /r/computerforensics/ - 计算机取证子版块
• 网络安全指南 -- 数字取证职业-- 网络取证技能、认证和职业道路指南。
• 法证海报- 文件系统结构海报
• SANS 海报- SANS 提供的免费海报

实验室

• BlueTeam.Lab - 使用 Terraform 和 Ansible 在 Azure 中创建的蓝队检测实验室。

相关精彩列表

• Android 安全
• 应用安全
• CTF
• 黑客攻击
• 蜜罐
• 事件响应
• 信息安全
• 恶意软件分析
• 渗透测试
• 安全
• 社会工程
• 雅拉