dd(取證工具)
它是 linux/unix 下的乙個非常有用的工具,作用是用指定大小的塊拷貝乙個檔案,並在拷貝的同時進行指定的轉換。
root@bt:~# dd if=/dev/sda1 of=/dev/hda1/forensic.image
foremost(資料恢復工具)
一款開源的取證工具,可以快速恢復硬碟上已刪除的office文件、jpg、pdf等檔案。
配置檔案:/usr/local/etc/foremost.conf 如果要恢復doc檔案,去掉配置檔案中doc的注釋。
root@bt:~# foremost -v -o 丟失資料要恢復的目錄 -c /usr/local/etc/foremost.conf 映象檔案源
wipe(擦除工具)
用法1:root@bt:~# wipe -i -f -q 要擦除的檔案
用法2:root@bt:~# wipe -i -q 擦除次數 要擦除的檔案
用法3:root@bt:~# wipe -rcf 要擦除的目錄
事件響應與數字取證工具,Beagle
beagle是一款功能強大的圖形化事件響應與數字取證安全分析工具,支援fireeye hx triages windows evtx檔案 sysmon日誌以及windows記憶體源映象等多種資料來源。匯出的圖形化分析結果可以傳送至類似neo4j和dgraph這樣的圖形化資料庫,或者直接以python...
卡巴斯基實驗室發布開源數字取證工具Bitscout
bitscout是一款可自定義配置的遠端數字取證工具。近日,卡巴斯基實驗室的安全研究專家vitaly kamluk正式發布了bitscout的源 實際上,bitscout並不是卡巴斯基的官方產品,它最開始其實只是卡巴斯基工作人員的乙個個人專案,但隨著卡巴斯基對數字取證工具方面的需求不斷增長,這個專案...
微軟數字簽名工具 SigCheck使用
例項一 檢查單個檔案的數字簽名 這裡以檢查notepad.exe的數字簽名為例進行說明,依次選擇 所有程式 附件 命令提示符 右擊選擇 以管理員身份執行 進入命令提示符環境之後手工輸入如下命令 sigcheck j windowssystem32notepad.exe 檢查效果如圖2所示,publi...