在线取证工具成为热门话题

 

最 近结识了F-Response的作者Matthew Shannon，并与几个组员一起测试了F-Response这个软件后，发现Matthew先生研制的这款新工具的确有独到之处。看了几名国外著名专家 的博客，都对这个软件有高度的评价。简单来说，这个软件是一个在线取证工具的一个突破，他让过去遥不可及的Encase Enterprise企业版具备的功能，成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。

现在，X-Ways Forensics已经与F-response结合了，Smart也与F-response结合了，连苹果机下，都可以与MacForensicsLab 结合。这样一来，面对Windows, MacOS, Linux三种操作系统，只要具有F-Response单机版，都可以成功实现在线取证。

说 到在线取证，还要说说F-Response与目前常见的在线取证工具的区别。所谓在线取证，就是在计算机处于开机状态下的取证方法。一般这种状态下，为了 保证证据的完整性，应该尽量避免去运行额外的程序，以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来，由于在线取证日趋重要，很多时候 无法向早年国外专家所讲的一样，拔掉计算机电源，然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此，现在很多人都在重点 研究在线取证工具。

目前常见的在线取证工具，都是在嫌疑人的计算机中直接运行取证软件，并自动获取内存、注册表中的数据。同时也可以通过 取证软件，实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖，影响取证效果。通过，在运行的系统下获取镜像，将有可能造 成系统死机，破坏证据的完整性。

F-Response 的方式，是通过网络连接两台计算机或局域网内的更多计算机，将任意一台计算机的硬盘或其他存储介质，以物理磁盘的方式显示到调查员计算机中，在调查员计算 机中直接运行任意分析工具或镜像工具，实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的，而且仅在嫌疑计算机中占用极少的内存，不会造成死机等问题。 F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。