# 2020 年 15 種最佳數字取證工具[免費/付費] > 原文： [https://www.guru99.com/computer-forensics-tools.html](https://www.guru99.com/computer-forensics-tools.html) 數字取證是計算機證據的保存，識別，提取和記錄的過程，可以由法院使用。 有許多工具可以幫助您簡化此過程。 這些應用程序提供了可用于法律程序的完整報告。 以下是精選的數字取證工具包列表，其中包含受歡迎的功能和網站鏈接。 該列表同時包含開源（免費）和商業（付費）軟件。 ### 1）ProDiscover 取證  ProDiscover Forensic 是一個計算機安全應用程序，可讓您找到計算機磁盤上的所有數據。 它可以保護證據并使用法律程序創建質量報告。 該工具使您可以從 JPEG 文件中提取 EXIF（可交換圖像文件格式）信息。 **功能**： * 該產品支持 Windows，Mac 和 Linux 文件系統。 * 您可以快速預覽和搜索可疑文件。 * 它會創建整個可疑磁盤的副本，以保護原始證據的安全。 * 此工具可幫助您查看互聯網歷史記錄。 * 您可以導入或導出.dd 格式的圖像。 * 它使您可以添加注釋以證明您感興趣。 * ProDiscover Forensic 支持 VMware 運行捕獲的映像。 **鏈接**： [https://www.prodiscover.com](https://www.prodiscover.com) * * * ### 2）偵探套件（+尸檢）  偵探工具包（+ Autopsy）是一個基于 Windows 的實用工具，使計算機系統的取證分析更加容易。 該工具使您可以檢查硬盤驅動器和智能手機。 **Features**: * 您可以使用圖形界面有效地識別活動。 * 此應用程序提供電子郵件分析。 * 您可以按文件類型對文件進行分組，以查找所有文檔或圖像。 * 它顯示圖像的縮略圖以快速查看圖片。 * 您可以使用任意標記名稱標記文件。 * Sleuth Kit 使您能夠從通話記錄，SMS，聯系人等中提取數據。 * 它可以幫助您根據路徑和名稱來標記文件和文件夾。 **鏈接**： [https://www.sleuthkit.org](https://www.sleuthkit.org) * * * ### 3）狗  CAINE 是基于 Ubuntu 的應用程序，可提供具有圖形界面的完整取證環境。 該工具可以作為模塊集成到現有軟件工具中。 它會自動從 RAM 中提取時間線。 **Features**: * 它在數字調查的四個階段為數字調查員提供支持。 * 它提供了一個用戶友好的界面。 * 您可以自定義 CAINE 的功能。 * 該軟件提供了許多用戶友好的工具。 **鏈接**： [https://www.caine-live.net](https://www.caine-live.net) * * * ### 4）圣騎士  PALADIN 是基于 Ubuntu 的工具，使您能夠簡化一系列取證任務。 它提供了 100 多種有用的工具來調查任何惡意材料。 該工具可幫助您快速有效地簡化取證任務。 **Features**: * 它提供 64 位和 32 位版本。 * USB 拇指驅動器上提供了此工具。 * 該工具箱具有開源工具，可幫助您輕松搜索所需的信息。 * 此工具有 33 個類別，可幫助您完成網絡取證任務。 **鏈接**： [https://sumuri.com/software/paladin/](https://sumuri.com/software/paladin/) * * * ### 5）裝箱  Encase 是一款可幫助您從硬盤驅動器中恢復證據的應用程序。 它使您可以對文件進行深入分析，以收集文件，圖片等證明。 **Features**: * 您可以從眾多設備（包括手機，平板電腦等）獲取數據。 * 它使您能夠生成完整的報告以維護證據的完整性。 * 您可以快速搜索，識別證據并對證據進行優先排序。 * 案件取證可以幫助您解鎖加密的證據。 * 它可以自動準備證據。 * 您可以執行深入和分類（缺陷的嚴重性和優先級）分析。 **鏈接**： [https://www.guidancesoftware.com/encase-forensic](https://www.guidancesoftware.com/encase-forensic) * * * ### 6）不帶尺  SANS SIFT 是基于 Ubuntu 的計算機取證發行。 它提供了數字取證和事件響應檢查功能。 **Features**: * 它可以在 64 位操作系統上工作。 * 該工具可幫助用戶更好地利用內存。 * 它會自動更新 DFIR（數字取證和事件響應）軟件包。 * 您可以通過 SIFT-CLI（命令行界面）安裝程序進行安裝。 * 該工具包含眾多最新的取證工具和技術。 **鏈接**： [https://digital-forensics.sans.org/community/downloads/](https://digital-forensics.sans.org/community/downloads/) * * * ### 7）FTK 成像儀  FTK Imager 是我由 AccessData 開發的一種取證工具，可用于獲取證據。 它可以創建數據副本，而無需更改原始證據。 該工具允許您指定條件，例如文件大小，像素大小和數據類型，以減少不相關的數據量。 **Features**: * 它提供了一種向導驅動的方法來檢測網絡犯罪。 * 該程序可以使用圖表更好地顯示數據。 * 您可以從 100 多個應用程序中恢復密碼。 * 它具有先進的自動化數據分析工具。 * FTK Imager 可幫助您管理可重復使用的配置文件，以滿足不同的調查要求。 * 它支持預處理和后處理優化。 **鏈接**： [https://accessdata.com/products-services/forensic-toolkit-ftk](https://accessdata.com/products-services/forensic-toolkit-ftk) * * * ### 8）磁鐵 RAM 捕獲  磁性 RAM 捕獲記錄可疑計算機的內存。 它使調查人員可以恢復和分析在內存中找到的有價值的物品。 **Features**: * 您可以在最小化內存中覆蓋數據的同時運行此應用程序。 * 它使您能夠導出捕獲的內存數據，并將其上傳到磁體 AXIOM 和磁體 IEF 等分析工具中。 * 這個應用程式支援各種 Windows 作業系統。 * 磁鐵 RAM 捕獲支持 RAM 捕獲。 **鏈接**： [https://www.magnetforensics.com/resources/magnet-ram-capture/](https://www.magnetforensics.com/resources/magnet-ram-capture/) * * * ### 9）X-Ways 法醫  X-Ways 是為計算機法證檢查員提供工作環境的軟件。 該程序支持磁盤克隆和映像。 它使您可以與擁有此工具的其他人進行協作。 **Features**: * 它具有讀取.dd 圖像文件中的分區和文件系統結構的功能。 * 您可以訪問磁盤，RAID（獨立磁盤的冗余陣列）等。 * 它會自動識別丟失或刪除的分區。 * 該工具可以輕松檢測 NTFS（新技術文件系統）和 ADS（備用數據流）。 * X-Ways 法醫支持書簽或注釋。 * 它具有分析遠程計算機的能力。 * 您可以使用模板查看和編輯二進制數據。 * 它提供寫保護以維護數據的真實性。 **鏈接**： [http://www.x-ways.net/forensics/](http://www.x-ways.net/forensics/) * * * ### 10）鯊魚 [ ](/images/1/122319_0744_16BESTDigit10.png) Wireshark 是分析網絡數據包的工具。 它可用于網絡測試和故障排除。 此工具可幫助您檢查通過計算機系統的不同流量。 **Features**: * 它提供了豐富的 VoIP（互聯網協議語音）分析。 * 使用 gzip 壓縮的捕獲文件可以輕松解壓縮。 * 輸出可以導出為 XML（可擴展標記語言），CSV（逗號分隔值）文件或純文本。 * 可以從網絡，藍牙，ATM，USB 等讀取實時數據。 * 對許多協議的解密支持，包括 IPsec（Internet 協議安全性），SSL（安全套接字層）和 WEP（有線等效保密）。 * 您可以對數據包應用直觀的分析和著色規則。 * 允許您以任何格式讀取或寫入文件。 **鏈接**： [https://www.wireshark.org](https://www.wireshark.org) * * * ### 11）注冊表檢查  Registry Recon 是一種計算機取證工具，用于從 Windows OS 中提取，恢復和分析注冊表數據。 該程序可用于有效地確定已連接到任何 PC 的外部設備。 **功能**： * 它支持 Windows XP，Vista，7、8、10 和其他操作系統。 * 該工具自動恢復有價值的 NTFS 數據。 * 您可以將其與 Microsoft Disk Manager 實用工具集成。 * 在磁盤中快速安裝所有 VSC（卷影副本）VSC。 * 該程序將重建活動注冊表數據庫。 **鏈接**： [https://arsenalrecon.com/products/](https://arsenalrecon.com/products/) * * * ### 12）波動率框架  Volatility Framework 是用于內存分析和取證的軟件。 它可以幫助您使用 RAM 中找到的數據測試系統的運行時狀態。 這個應用程式可讓您與隊友合作。 **Features**: * 它具有 API，可讓您快速查找 PTE（頁面表項）標志。 * 波動率框架支持 KASLR（內核地址空間布局隨機化）。 * 該工具提供了許多插件來檢查 Mac 文件的運行情況。 * 當服務多次啟動失敗時，它將自動運行“失敗”命令。 **鏈接**： [https://www.volatilityfoundation.org](https://www.volatilityfoundation.org) * * * ### 13）Xplico  Xplico 是一個開源法證分析應用程序。 它支持 HTTP（超文本傳輸??協議），IMAP（Internet 消息訪問協議）等。 **Features**: * 您可以在 SQLite 數據庫或 MySQL 數據庫中獲取輸出數據。 * 該工具為您提供實時協作。 * 數據輸入或文件數量沒有大小限制。 * 您可以輕松創建任何類型的調度程序，以有用的方式組織提取的數據。 * 它同時支持 IPv4 和 IPv6。 * 您可以從具有輸入文件的 DNS 包中執行保留 DNS 查找。 * Xplico 提供 PIPI（端口獨立協議識別）功能以支持數字取證。 **鏈接**： [https://www.xplico.org](https://www.xplico.org) * * * ### 14）電子支付  電子保險是一種可以幫助您滿足計算機取證和網絡安全需求的工具。 它使您可以在一個易于使用的界面中從任何設備發現文件。 **Features**: * 它可以防止惡意行為，黑客入侵和違反政策。 * 您可以將 Internet 歷史記錄，內存和屏幕捕獲從系統獲取到 USB 拇指驅動器上。 * 該工具具有易于使用的界面，使您可以實現調查目標。 * E-fense 支持多線程，這意味著您可以同時執行多個線程。 **鏈接**： [http://www.e-fense.com/products.php](http://www.e-fense.com/products.php) * * * ### 15）人群罷工 [ ](/images/1/122319_0744_16BESTDigit15.png) Crowdstrike 是提供威脅情報，端點安全性等的數字取證軟件。它可以快速檢測網絡安全事件并從中恢復。 您可以使用此工具實時查找和阻止攻擊者。 **Features**: * 該工具可幫助您管理系統漏洞。 * 它可以自動分析惡意軟件。 * 您可以保護虛擬，物理和基于云的數據中心。 **鏈接**： [https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/](https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/)