有许多不同的计算机取证工具可供不同的软件开发人员使用,尽管大多数都是作为单独的应用程序或更大的工具包设计的。其中许多程序的设计都是为了让法医专家能够查看和保存从一个存储设备到另一个存储设备的信息,包括创建...
有许多不同的计算机取证工具可供不同的软件开发人员使用,尽管大多数都是作为单独的应用程序或更大的工具包设计的。其中许多程序的设计都是为了让法医专家能够查看和保存从一个存储设备到另一个存储设备的信息,包括创建硬盘驱动器的“映像”。也有一些程序可用于恢复从驱动器中删除的数据或查看媒体格式或文件上的元数据。虽然这些计算机取证工具中有许多是单独提供的,但也创建了一些工具包,将多个实用程序组合在一个应用程序中。某些计算机鉴证工具用于访问计算机硬盘以获取当前信息以及删除的信息。最流行和最有用的计算机取证工具之一是一个通常被称为磁盘映像程序的程序。该程序可用于创建磁盘的“映像”,包括便携式媒体设备和硬盘。图像实际上是存储在磁盘上的所有信息的副本,这允许计算机法医分析员创建一个驱动器的副本以供进一步研究。这些计算机取证工具在刑事调查中是必不可少的,允许在驱动器的副本上完成工作,而不会危及原始驱动器及其上找到的数据。此外,还开发了许多计算机取证工具,为分析员提供恢复和查看各种类型数据的实用程序。这些程序可以包括分区管理器和查看器,这些程序允许法医工作者查看文件或可能隐藏在计算机上的分区,以及可用于恢复从计算机上删除的文件的软件。删除的文件通常会留下一些数据,这些数据可用于重新创建原始文件或至少查看文件的一部分也可以开发计算机取证工具来帮助用户查找和分析磁盘上或与文件相关联的元数据。这种类型的数据可用于确定磁盘在计算机上的使用位置,或查找文件在过去被更改或访问的时间。这些计算机取证工具通常由软件公司提供作为单独的实用程序,尽管它们也可能以捆绑包或工具包的形式提供,但这类程序和工具包可能相当昂贵,因为它们通常是为执法或公司使用而开发的,而工具包实际上可能以较低的总价格提供这些实用程序,供法医专业人员使用
-
发表于 2020-08-07 14:46
- 阅读 ( 553 )
- 分类:电脑网络