镜像类工具:
AccessData FTK Imager 4.5.0(免费版)
---74MB,国际知名的镜像工具。在电子数据证据保全过程中,最常见的做法是对整个物理硬盘制作磁盘镜像文件,将所有数据进行保全和固定,并且可以以不同证据文件格式保存。AccessData FTK Imager是一款功能强大的镜像取证工具,该软件除制作镜像外,也可以通过查看十六进制编码分析文件头、文件内容信息。
Arsenal Image Mounter 3.10.257(免费版) CFlab-LH-镜像大师 (免费版) 哈希校验工具:
MyHahs 1.47(免费版) 综合分析工具:
猎痕鉴证大师(试用版) Winhex-X-Ways过滤条件-适用于19.8 Winhex-X-Ways过滤条件-适用于20.x 手机取证和恢复工具:
猎痕手机取证和恢复(机器码获取工具) 辅助工具:
DCode 5.1英文版-时间解析工具
---38MB,最佳的镜像挂载工具。对于主流镜像文件(E01、DD、DMG)以及虚拟磁盘文件(VMDK、VDI、VHD等),都可以使用该软件直接挂载为本地驱动器,方便取证人员用第三方工具分析证据文件,或者结合虚拟机技术实现动态仿真取证。本软件运行环境需安装Microsoft Desktop Runtime 6.0.33 x64
---55MB,云迹科技推出的免费镜像工具
---2MB,一款采用并行计算,充分利用多核CPU性能快速计算文件哈希值的工具。针对哈希值,应了解:(1)不同软件计算同一个文件的同一类哈希值,结果是相同的;(2)一个文件或者一段字符都可以计算哈希值;(3)哈希值不区分大小写,但大小写字符的哈希值是不同的;(4)一个文件中很小的改动会引起哈希值翻天覆地的变化;(5)哈希连号是异常的;(6)在文件名称和时间属性改变、但文件内容不变的情况下,其哈希值是不变的。
---可以实现自动解析镜像的国内软件有取证大师和猎痕鉴证大师。其中,云迹科技推出的猎痕鉴证大师可以打开E01和DD格式镜像文件、虚拟磁盘文件,支持对Windows、macOS和Linux系统的数据分析,具备一键取证、镜像加载、智能分析、数据恢复、内存分析、行为分析、关联分析、邮件分析等功能。完整软件约1GB,下载链接: https://pan.baidu.com/s/19hC4mFmtmG2QDE3HldFx0w?pwd=n79v 提取码: n79v
---X-ways Forensics是一款解析镜像功能强大的国外软件,但操作较复杂,需要取证人员具有一定的专业基础知识。郭永健老师整理的常见文件过滤条件,看在竞赛和实战中提高查找效率。
---X-ways Forensics早期版本的过滤条件与20.x版本不兼容。对于20.x的X-Ways,需使用此版本。
---手机恢复工具,支持对删除的微信聊天记录、图片和媒体文件的恢复。软件需要在固定计算机上使用。请下载机器码获取工具,将机器码以文本形式发送给云迹科技的工作人员(微信:18162680970),通过收到的激活码试用软件。完整软件约3GB,下载链接: https://pan.baidu.com/s/1xnwc4BjBbnqU8TYex1pNfA?pwd=cv1v 提取码: cv1v
---针对各种时间格式进行换算的小工具
