分析取证指南：取证工具建议

3. 时间表

Timesketch 是一个实验性的 POC 开源工具，用于基于时间轴的协同取证分析。 使用草图，您和您的同伴可以轻松地组织时间线并同时进行分析。

4. USB 追踪器

USBTracker可以对quick&dirty代码进行应急响应，通过取证Python从windows系统中转储USB相关信息。

5. Linux 安全审计工具（LSAT）

Linux Security Auditing Tool (LSAT) 是一种安装后安全审计工具，它采用模块化设计，因此可以快速添加新功能。 它可以检查 inetd 条目并扫描不需要的 RPM 包。

6. RAT解码器

利用python脚本获取木马中的配置文件，如ftp、ssh等信息，反向攻击黑客。 目前支持Adwind、Adzok、Albertino Advanced RAT等40多种木马。

7. 兄弟

Bro 是一个强大的网络分析框架比特币案件取证工具，完全不同于您所知道的典型 IDS。 具有适应性强、高效、灵活、开放接口、开源等优点。

8. Xplico

Xplico 是一个开源的网络取证分析工具，主要用于数字取证和渗透测试：Kali Linux、BackTrack、DEFT、Security Onion、Matriux、BackBox、CERT Forensics Tools 和 Pentoo。

9. 电力取证

PowerForensics 是一个 Powershell 数字取证框架。 目前支持NTFS，正在演示中加入ext4文件系统。

10. GRR 快速响应

GRR Rapid Response 是一个事件应急响应框架，专注于远程现场取证。 它是安装在目标系统上的 Python 代理客户端，用于管理 Python 基础设施并与之通信。

11. Mozilla 调查员

Mozilla InvestiGator 是一个用于远程端点调查和取证的 OpSec 平台比特币案件取证工具，由安装在基础设施中所有系统上的代理组成（实时查询文件系统、网络状态、内存或端点配置）。

12.尸检

Autopsy 是一个数字取证平台，也是 Sleuth Kit 和其他数字取证工具的图形界面。 它用于计算机执法、军事、企业审计等。您甚至可以用它来恢复相机存储卡中的照片。

13. 欢乐

可用于捕获和分析网络流量数据和内网流量数据的数据包主要用于网络调查、安全监控和取证。

14. 召回

Rekall 框架是一个完全开放的工具集合，旨在从 RAM 中向人们介绍数字取证的技术和复杂性，并提供一个平台以在该领域进行进一步深入的研究。

15. FastIR 收集器

Windows取证/信息收集神器，你能收集的东西包括你能想到的一切，不限于内存、注册表、文件信息等。