KALI 2020 软件集成清单——数字取证（十一）

11、数字取证
11.1取证分割工具集
11.1.1 magicrescue 基于特征码文件恢复工具，该工具直接从磁盘中读取原始数据，搜索特征码。一旦找到已知类型的特征码，就根据渗透测试人员提供的提取策略调用第三方工具提取数据，并进行保存。为了方便对提取的数据整理，该工具还提供去重功能和分类保存功能。
11.1.2 scalpel 扫描整个镜像文件，根据配置文件寻找相关文件类型的文件头和文件尾，正常找到后将这段内容雕刻出来；当找到了文件的头部，但是在它附近没有找到文件尾标志的时候，scalpel提供两种处理方式，一是放弃对该文件的雕刻，二是根据自定义的各类文件的最大长度进行雕刻
11.1.3 scrounge-ntfs 该工具可以从受损的NTFS分区中恢复数据。在恢复之前，用户需要了解目标磁盘的基本信息，如簇大小。为了方便获取信息，该工具也提供辅助选项，用于搜索和显示分区信息。

11.2取证镜像工具集
11.2.1 guymager 该工具采用图形界面化方式，提供磁盘镜像和磁盘克隆功能。它不仅生成dd的镜像，还能生成EWF和AFF镜像。在生成过程中，渗透测试人员不仅可以采用两次读操作验证数据的正确性，还可以对镜像文件进行额外的校验。由于采用多线和多处理机技术，该工具可以极大提升读取和压缩速度。

11.3数字取证套件
11.3.1 autopsy 是数字取证工具-TheSleuthKit（TSK）的图形界面，一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取，恢复文件，时间轴分析，chrome，firefox等浏览历史分析，关键字搜索和邮件分析等功能
11.3.2 blkcalc 地址转化工具
11.3.3 blkcat 数据单元显示工具
11.3.4 blkls 提取数据单元工具
11.3.5 blkstat 数据单元详情显示工具
11.3.6 ffind 查找文件工具
11.3.7 fls 文件目录遍历工具
11.3.8 fsstat 显示文件系统信息工具
11.3.9 hfind 文件哈希查询工具
11.3.10 Icat-sleuthkit 提取节点文件工具
11.3.11 ifind 提取元数据工具
11.3.12 Img_cat 是一个shell脚本,与iTerm2结合起来使用,可以直接在终端查看服务器上的图片。不过仅限于在iTerm2上使用
11.3.13 Img_stat 镜像文件信息显示工具
11.3.14 istat 显示节点元数据工具
11.3.15 jcat 日志文件系统块查看工具
11.3.16 jls 日志文件系统内容查看工具
11.3.17 mmcat 提取分区工具
11.3.18 mmls 分区表查看工具
11.3.19 mmstat 卷系统信息显示工具
11.3.20 sigfind 二进制特征信息查找工具
11.3.21 sorter 文件类型筛选工具
11.3.22 Tsk_comparedir 目录内容比较工具
11.3.23 Tsk_gettimes 文件操作时间提取工具
11.3.24 Tsk_loaddb 提取元数据工具
11.3.25 Tsk_recover 恢复

11.4PDF取证工具集
11.4.1 pdfid PDF文档扫描工具
11.4.2 pdf-parser PDF文档快速审计工具
11.4.3 peepdf PDF综合审计工具

11.5数字取证推荐工具
11.5.1 autopsy 是数字取证工具-TheSleuthKit（TSK）的图形界面，一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取，恢复文件，时间轴分析，chrome，firefox等浏览历史分析，关键字搜索和邮件分析等功能
11.5.2 binwalk 固件分析工具
11.5.3 Bulk_extractor 信息批量提取工具
11.5.4 hashdeep 该工具可以批量计算文件的哈希值，并和哈希值列表进行比对。该工具支持多种哈希算法，可以避免哈希碰撞问题。为了满足不同任务的需要，hashdeep提供多种检查模式，如审计模式、正向模式、反向模式。同时，该工具支持大小写不敏感和UTF编码