多平台将是计算机法证工具的发展趋势

从近年来国际市场上出现的多种工具，可以很有意思的发现，能够同时针对Windows, MacOS, Linux三个平台的取证、分析工具种类越来越多。这是不是标志着，多平台是计算机法证工具的流行趋势呢？

我们先来看看MacForensicsLab。美国SubRosasoft公司推出的MacForensicsLab最早只能在MacOS环境下使用，但不到一年，Marko就推出了Windows和Linux版本。“一个跨平台的工具，您唯一的工具”，就是他们提出来的。先不说MacForensicsLab在功能上与其他取证分析工具有何差距，仅凭跨平台一点，就可以说他们领先一步。

接下来，我们看看F-Response。这不是一个取证工具，但却是一个可以配合任何取证工具，并扩展各种取证工具网络取证功能的一个软件。上周，F-Response推出了Linux版本，可以配合Smart实现对使用Linux操作系统开机运行状态下的计算机硬盘完整获取。至此，它实现了对开机运行着Windows, MacOS 和Linux三种操作系统计算机的全面取证。有了这样一个工具，调查员已经没有什么可以担心的了。

那么Linux环境下使用什么分析工具呢？Smart for Linux，新一代的计算机法证工具。作者是开发了Expert Witness的Andrew Rosen, Encase 之父。从他的代表作品，您就完全可以想象出Smart是什么样的工具。除了Linux版本，Andrew也推出了Windows下的相应版本。目前只差MacOS版本了。

再看看取证工具。ForensicsMatter的Peter Mercer开发了一套光盘启动工具，简称OSI。这个工具主要适用于关机状态的计算机实施镜像获取。对于使用Windows、Linux系统，甚至Intel架构的MacBook都非常容易，但对于PPC架构的苹果机，光盘启动就不是那么容易了。Peter的工具中同时包含了2张光盘，您用完全一样的操作方法，就可以实现对不同类型计算机的数据获取，而且兼容性非常好。这也是多平台数据获取的一个杰出代表了。

通过上面的简单说明，我们可以看到应用在多平台之上的取证分析工具，以及可以适应多平台取证需求的工具越来越多，这给计算机法证人员带来了很大的便利。世界在不断进步，计算机技术在不断进步，计算机法证工具也在不断进步。计算机犯罪有可能是各种各样的情况，而打击高科技犯罪更需要各种各样的利剑。