【IT168 专稿】在计算机取证过程中，相应的取证工具必不可少，常见的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot，Tripwires、Network monitor，镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件，但很多工具都属于付费软件，很多读者不可能免费拥有它们，但有一些开源工具或者操作系统自身的工具也可以实现很好的使用效果。

    知识链接：对计算机犯罪评定的标准主要来自于计算机取证。计算机取证又称为数字取证或电子取证，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。

    最著名的免费软件是1999年Dan Farmer和Wietse Venema编写Coroners工具包。它是能够帮助对计算机犯罪进行取证检查的一些工具软件的集合，它的最初设计平台是UNIX系统，但也能对非UNIX的磁盘、介质做有限的数据获取和分析。是目前应用较广泛的免费计算机取证工具包，它包括下列工具：

 Grave-robber：以数据的易变性为序搜集数据供以后的取证分析工具使用，它搜集的数据包括进程和网络信息、磁盘文件信息等；
 Unrm：磁盘数据恢复工具，拷贝所有未分配的数据块到指定文件；
 Lazarus：恢复已删除文件的工具；
 Mactime：确定在一个特定的时间段内那些文件被访问或修改过；

    准备取证工具
 文件浏览器：这类工具是专门用来查看数据文件的阅读工具。只用于查看而没有编辑和恢复功能，从而体积较小并可以防止证据的破坏。比较好的软件是Quik View Plus。它可以识别200种以上文件类型，可以浏览各种电子邮件文档。

 图片检查工具：Thumbs Plus是一个功能很全面的进行图片检查的工具。

 反删除工具：这方面的取证分析工具中最主要的是诺顿工具，虽然这是一个老式的工具，但在有些时候是很有用的。

 CD-ROM工具：使用CD-R Diagnostics可以看到在一般情况下看不到的数据。

 文本搜索工具：dtSearch是一个很好的用于文本搜索的工具，特别是具有搜索Outlook的.pst文件的能力。

 驱动器映像程序：可以满足取证分析，即逐位拷贝以建立整个驱动器的映像的磁盘映像软件包括SafeBackSnapBack、Ghost、dd等。

 磁盘擦除工具：这类工具主要用在使用取证分析机器之前，为了确保分析机器的驱动器中不包含残余数据，显然，只是简单的格式化肯定不行。从软盘启动后运行NTI公司的DiskScrub程序即可把硬盘上的每一扇区的数据都清除掉。

 Forensic Toolkit：是一系列基于命令行的工具，可以帮助推断Windows NT文件系统中的访问行为。这些程序包括的命令有：AFind（根据最后访问时间给出文件列表，而这并不改变目录的访问时间）、HFind（扫描磁盘中有隐藏属性的文件）、SFind（扫描整个磁盘寻找隐藏的数据流）、FileStat（报告所有单独文件的属性）、NTLast（提供标准的GUI事件浏览器之外对每一个会话都记录了登录及登出时间，并且它能够指出登录是远程的还是本地的）。

 ForensicX：主要运行于Linux环境，是一个以收集数据及分析数据为主要目的的工具。它与配套的硬件组成专门工作平台。它利用了Linux支持多种文件系统的特点，提供在不同的文件系统里自动装配映像等能力、能够发现分散空间里的数据、可以分析Unix系统是否含有木马程序。其中的Webtrace可以自动搜索互联网上的域名，为网络取证进行必要的收集工作，新版本具有识别隐藏文件的工具。

 New Technologies Incorporated：NTI是取证软件最为固定的商家之一。NTI以命令的形式执行软件，所以速度很快，软件包的体积小，适合于在软盘上使用。该公司提供的取证工具包括：
 CRCMD5：一个可以验证一个或多个文件内容的CRC工具；
 DiskScrub：一个用于清除硬盘驱动器中所有数据的工具；
 DiskSig：一个CRC程序，用于验证映像备份的精确性；
 FileList：一个磁盘目录工具用来建立用户在该系统上的行为时间表；
 Filter_we：一种用于周围环境数据的智能模糊逻辑过滤器；
 GetSlack：一种周围环境数据收集工具，用于捕获未分配的数据；
 GetTime：一种周围环境数据收集工具，用于捕获分散的文件；
 Net Threat Analyzer：网络取证分析软件，用于识别公司互联网络账号滥用；
 M-Sweep：一种周围环境数据清除工具；
 NTI-DOC：一种文件程序用于记录文件的日期、时间以及属性；
 PTable：用于分析及证明硬盘驱动器分区的工具；
 Seized：一种用于对证据计算机上锁及保护的程序；
 ShowFL：用于分析文件输出清单的程序；
 TextSearch Plus：用来定位文本或图形文件中的字符串的工具。