开源电脑取证工具
OpenLV 是一款基于 Java 的图形化数字取证工具,定位不是传统网络边界防护或终端防护,而是用于磁盘镜像与物理磁盘的取证分析。它可以把 raw/dd 风格全盘镜像、可启动分区镜像或通过 USB/FireWire 接入的物理磁盘启动为虚拟机,使取证人员获得接近真实用户环境的交互式视角。
其关键设计是证据保护:启动后的所有更改会写入独立 scratch file,原始镜像保持不变,并可通过重新开始来回滚。工具还能提示镜像是否未设为只读,并建议用哈希校验验证完整性。部署上,OpenLV 运行在 Windows 或 Linux 检验主机,依赖 Java Runtime Environment、VirtualBox 或 VMware Workstation/VMware Server 1.x 等组件。它还能自动处理异构硬件启动冲突、为分区镜像创建定制 MBR,并匹配虚拟磁盘参数。
OpenLV 原生支持 bit-for-bit raw 镜像和物理磁盘,支持 split images;对 EnCase 等专有格式不直接支持,需要 Mount Image Pro、Physical Disk Emulator 等第三方挂载,或用 FTK Imager 转换为 DD 镜像。系统兼容方面,Windows 7、Server 2008、Vista、XP、2000、2003、NT、Me、98 等有明确列举,Linux 仅为有限支持。双系统支持也并非完整,次系统场景可能出现蓝屏。
正文显示 OpenLV 是 GPLv2 版本 LiveView 的分支,目标是完全开放,提供源码和易安装二进制版本,因此可视为开源免费工具。未看到商业支持、SLA、合规认证或企业订阅信息,功能请求主要通过 GitHub Issues 反馈,服务支持更偏社区模式。
优点是取证语义明确、避免污染原始证据、减少制作临时副本的成本,并能把静态镜像变成可操作系统环境。缺点是依赖外部虚拟化软件和管理员权限,非 raw 格式处理链路较绕,网络默认禁用,且缺少集中管理、告警和企业级审计能力。它更适合数字取证人员、安全研究者和实验室单机分析,不适合作为企业网络安全防护平台。
正文未提供中国大陆访问、下载镜像、支付方式或本地化支持信息,访问状态判定为未知。若无法稳定获取,可考虑使用 VirtualBox/VMware 配合 FTK Imager 等工具链作为替代或补充。
本测评基于公开资料整理,不构成购买建议,请以 openlv.org 官网实际信息为准。
面向执法/应急场景的开源取证交互工具。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。