取证工具包：基本工具/应急响应工具/微信工具/介质取证/服务器取证/手机取证/数据恢复/内存取证/密码破解/逆向分析

关于最近很多人，在电子取证方面找工具比较难，“要教会”平台这里给大家整合了一个工具包，该有的东西应该都是有的。

至于这些工具的用法就太多了，“要教会”平台就不一一写了，主要还是看大家对这些工具的熟练度，“要教会”平台就写几个常用的。

FTK Imager（镜像挂载与分析）

FTK Imager 是一种数据预览和镜像工具，用于在不以任何方式更改原始数据的情况下创建数据副本，从而以法医合理的方式获取数字证据。最新版本支持 AFF4 格式并在便携式驱动器上执行。

创建整个本地硬盘驱动器、CD 和 DVD、拇指驱动器和其他 USB 设备或仅需要的文件和文件夹的取证映像。

预览存储在本地计算机或网络驱动器上的取证图像的内容。

Arsenal Image Mounter（镜像挂载）

“要教会”平台认为是Windows系统最强大的镜像挂载软件！！！

许多基于 Windows系统的磁盘映像装载解决方案将磁盘映像的内容装载为共享或分区，而不是完整的（又称"物理/真实"）磁盘，这限制了它们对数字取证从业人员和其他人的有用性。Arsenal Image Mounter 将磁盘映像的内容作为完整磁盘挂载到 Windows 中，使用户能够受益于特定于磁盘的功能，例如与磁盘管理器集成、启动虚拟机（然后绕过Windows 身份验证和 DPAPI）、管理受 BitLocker 保护的卷、挂载卷影副本等。

（“要教会”平台使用感受大概是在Windows10（21H2）开始一直到现在最新的Windows11（23H2），FTK Imager挂载镜像容易卡死这个情况一直存在，暂不清楚是不是Windows系统权限限制原因，所以纯镜像挂载或仿真“要教会”平台更喜欢使用ArsenalImage Mounter，挂载速度很快；要分析镜像的话会结合FTK Imager使用。）

WinHex 

WinHex 是一款功能强大的十六进制编辑器和磁盘编辑工具，广泛应用于计算机取证、数据恢复、低级数据处理以及 IT 安全等领域。它的体积小巧，运行速度快，特别适用于文件检查和编辑、恢复已删除或丢失的数据，修复损坏的文件系统，甚至处理硬盘、闪存等存储设备。不同的许可证提供不同级别的功能。

主要功能：

磁盘编辑：支持硬盘、软盘、光盘（CD/DVD）、ZIP、智能卡等设备。

文件系统支持：支持 FAT12/16/32、exFAT、NTFS、Ext2/3/4、Next3、CDFS 和 UDF。

RAID 和动态磁盘支持：内置 RAID 系统解析器和动态磁盘功能。

数据恢复：具备多种恢复技术，用于恢复丢失或已删除的数据。

RAM 编辑器：可以访问物理内存以及进程的虚拟内存。

文件分析与比较：强大的文件比较和分析功能。

搜索和替换：灵活的搜索和替换工具，支持各种数据类型。

文件操作：支持连接和拆分文件，字节/字的奇偶划分。

磁盘克隆和备份：支持硬盘克隆、驱动器备份，并支持压缩和分割功能。

数据加密和安全擦除：支持 256 位 AES 加密、哈希算法（如 MD5、SHA-1）以及安全擦除技术。

文件格式支持：支持导入所有剪贴板格式，包括 ASCII 和十六进制值，并支持不同的字符集（如 ANSI、EBCDIC 和 Unicode）。

文件转换：支持多种格式的转换，包括二进制、十六进制、ASCII 等。

WinHex 提供了一个试用版本，但试用版有限制，不能保存大于 200KB 的文件。

下载地址：

https://pan.quark.cn/s/c5c4c92a1f01

本文为要教会原创，欢迎转载分享。转载时请务必在文章页面明显位置提供本文链接并注明出处。感谢您对知识的尊重和对本文的肯定！本文链接网址：https://yaojiaohui.net/wangluoanquan/1375.html