Linux环境下的计算机取证工具介绍.pdf

2007年第6期 计算机系统应用 Linux环境下的计算机取证工具介绍 Linu× Introductionto ForensicTooIsBasedon Computer 殷联甫 (嘉兴学院信息工程学院314001) for L．nux及其使用方法。 摘要：本文主要介绍Unux环境下的三个主要计算机取证工具SIeuthIc计、Autopsy和S『＼／忪RT 关键词：计算机取证计算机取证工具Linux操作系统 1 引言 2 SIeuthk．t 计算机取证作为计算机安全领域的一个新的热点 2．1下载及安装 正引起人们的普遍关注。计算机取证也称数字取证、 SIeⅢhk计由一系列命令行取证工具组成，由Brian 电子取证，是指对计算机入侵、破坏、欺诈、攻击等犯罪 行为，利用计算机软硬件技术，按照符合法律规范的方 该工具的部分设计思想基于由Dan CorOner’s 式进行识别、保存、分析和提交数字证据的过程。取证 Vbnema编写的The 的目的是为了据此找出入侵者(或入侵的机器)，并解 同时增加了对FAT和NTFS文件系统的支持。 释入侵的过程。 计算机取证包括物理证据获取和信息发现两个阶 段。物理证据获取是指调查人员来到计算机犯罪或入 的命令给出了SIeUthk计工具的编译过程： 侵的现场，寻找并扣留相关的计算机硬件，物理证据获 #farxz＼，fsIeuthI(it一1．66．tar．gz。 取是全部取证工作的基础，在获取物理证据时最重要 撑cdsIeuthl(1t一1．66 的工作是保证取到的原始证据不受任何破坏。 jj}make 信息发现是指从原始数据(包括文件、日志等)中 如果编译过程出现问题的话，可以参阅INSTALL文 寻找可以用来证明或者反驳什么的证据，为了保护原 档。编译结束后，你可以看到所有sfeuthI(if命令都在 始数据，所有的信息发现工作都是在原始证据的物理 sIem时一1．66／bin目录中，而每个命令的使用说明都 拷贝上进行的，一般情况下，取证专家还要用MD5对 在sIeuth蚶一1．66／man目录中。 原始证据上的数据作摘要，然后将原始证据和摘要信 SIeuthk计工具由四部分组成，每一部分对应文件系 息及相关文档妥善保存。 统的一个层次： 计算机取证过程中要用到很多工具，目前可用的 sys— 取证工具也比较多，根据取证工具的功能，主要可以将 tem，文件系统)开头) 取证工具分为三大类：第一类是实时响应工具，第二类 是取证复制工具，第三类是取证分析工具。近年来 件)开头) L．nux系统的发展势头非常迅猛，用户日益增多，了解 unux环境下的计算机取证工具具有非常重要的意义。d(cIata，数据)开头) jfind，isfat(命令以j 目前Unux环境下的取证工具也有不少，有兴趣的读者 (4)f节点层工具：jcat，jlsI (inode