Phenquestions
Forenzika postaja v kibernetski varnosti zelo pomembna za odkrivanje in vračanje kriminalcev Black Hat. Nujno je treba odstraniti zlonamerne varnostne kopije / malware-e hekerjev in jim slediti nazaj, da se izognete morebitnim prihodnjim incidentom. V načinu Kali Forensics operacijski sistem ne pritrdi nobene particije s trdega diska sistema in ne pusti sprememb ali prstnih odtisov na gostiteljskem sistemu.
Kali Linux ima vnaprej nameščene priljubljene forenzične programe in orodja. Tu bomo pregledali nekaj znanih odprtokodnih orodij, ki so prisotna v Kali Linux.
Extractor za razsuti tovor
Bulk Extractor je bogato orodje, ki lahko iz trdnih diskov / datotek, najdenih med forenzično preiskavo, pridobi koristne informacije, kot so številke kreditnih kartic, imena domen, naslovi IP, e-poštna sporočila, telefonske številke in URL-ji. V pomoč je pri analizi slike ali zlonamerne programske opreme, prav tako pomaga pri kibernetski preiskavi in razpokanju gesel. Sestavlja besedne sezname na podlagi informacij, najdenih na podlagi dokazov, ki lahko pomagajo pri razpokanju gesel.
Bulk Extractor je med drugimi orodji priljubljen zaradi svoje neverjetne hitrosti, združljivosti z več platformami in temeljitosti. Zaradi svojih večnitnih funkcij je hiter in ima možnost skeniranja vseh vrst digitalnih medijev, ki vključujejo trde diske, SSD-je, mobilne telefone, fotoaparate, kartice SD in veliko drugih.
Bulk Extractor ima naslednje zanimive funkcije, zaradi katerih je bolj zaželen,
- Ima grafični uporabniški vmesnik, imenovan "Bulk Extractor Viewer", ki se uporablja za interakcijo z Bulk Extractor
- Ima več izhodnih možnosti, kot so prikaz in analiza izhodnih podatkov v histogramu.
- Z uporabo Pythona ali drugih skriptnih jezikov ga je mogoče enostavno avtomatizirati.
- Na voljo je z nekaterimi vnaprej napisanimi skripti, ki jih lahko uporabimo za dodatno skeniranje
- Njegov večnitni sistem je lahko hitrejši v sistemih z več jedri CPU.
Uporaba: datoteka slik image_datoteke [možnosti]
zažene ekstraktor razsutega toka in izhodne podatke stdout povzetek tega, kje je bilo kje najdeno
Zahtevani parametri:
imagefile - datoteka, ki jo je treba izvleči
ali -R fileir - ponovitev v imeniku datotek
IMA PODPORO ZA DATOTEKE E01
IMA PODPORO ZA DATOTEKE AFF
-o outdir - določa izhodni imenik. Ne sme obstajati.
bulk_extractor ustvari ta imenik.
Opcije:
-i - način INFO. Naredite hiter naključni vzorec in natisnite poročilo.
-b pasica.txt - Dodaj pasico.vsebino txt na vrh vsake izhodne datoteke.
-r opozorilni seznam.txt - datoteka, ki vsebuje opozorilni seznam funkcij za opozarjanje
(lahko datoteka z značilnostmi ali seznam globusov)
(se lahko ponovi.)
-w stop_list.txt - datoteka, ki vsebuje seznam zaustavitev funkcij (beli seznam
(lahko datoteka z značilnostmi ali seznam globusov) s
(se lahko ponovi.)
-F
-f
rezultati gredo v iskanje.txt
... odreži ..
Primer uporabe
[e-pošta zaščitena]: ~ # bulk_extractor -o izhodna skrivnost.img
Obdukcija
Obdukcija je platforma, ki jo kibernetski preiskovalci in organi pregona uporabljajo za izvajanje in poročanje o forenzičnih operacijah. Združuje številne posamezne pripomočke, ki se uporabljajo za forenziko in obnovo, ter jim nudi grafični uporabniški vmesnik.
Autopsy je odprtokodni, brezplačni izdelek z več platformami, ki je na voljo za Windows, Linux in druge operacijske sisteme, ki temeljijo na sistemu UNIX. Obdukcija lahko išče in preiskuje podatke s trdih diskov več formatov, vključno z EXT2, EXT3, FAT, NTFS in drugimi.
Je enostaven za uporabo in v Kali Linux ni treba nameščati, saj je dobavljen z vnaprej nameščenimi in vnaprej konfiguriranimi.
Dumpzilla
Dumpzilla je orodje za ukazne vrstice med različnimi platformami, napisano v jeziku Python 3, ki se uporablja za prenašanje informacij, povezanih s forenziko, iz spletnih brskalnikov. Ne izvleče podatkov ali informacij, ampak jih samo prikaže v terminalu, ki ga lahko z ukazi operacijskega sistema razstavite, razvrstite in shranite v datoteke. Trenutno podpira samo brskalnike, ki temeljijo na Firefoxu, kot so Firefox, Seamonkey, Iceweasel itd.
Dumpzilla lahko iz brskalnikov dobi naslednje informacije
- Lahko prikaže deskanje uporabnika v živo v zavihkih / oknu.
- Uporabniški prenosi, zaznamki in zgodovina.
- Spletni obrazci (iskanja, e-pošta, komentarji ...).
- Predpomnilnik / sličice prej obiskanih spletnih mest.
- Dodatki / razširitve in uporabljene poti ali URL-ji.
- Gesla, shranjena v brskalniku.
- Piškotki in podatki o sejah.
Uporaba: python dumpzilla.py browser_profile_directory [Možnosti]
Opcije:
--All (Prikaže vse, razen podatkov DOM. Ne ekstrahira sličic ali HTML 5 brez povezave)
--Piškotki [-showdom -domena
-ustvariti
--Dovoljenja [-host
--Prenosi [-razpon
--Obrazci [-vrednost
--Zgodovina [-url
-frekvenca]
--Zaznamki [-razpon_zaznamkov
... odreži ..
Okvir digitalne forenzike - DFF
DFF je orodje za obnovitev datotek in razvojna platforma Forensics, napisana v Python in C++. Ima nabor orodij in skriptov z ukazno vrstico in grafičnim uporabniškim vmesnikom. Uporablja se za izvedbo forenzične preiskave ter za zbiranje in poročanje o digitalnih dokazih.
Je enostaven za uporabo, za zbiranje in ohranjanje digitalnih forenzičnih informacij pa ga lahko uporabljajo tudi kibernetski strokovnjaki in novince. Tu bomo razpravljali o nekaterih njegovih dobrih lastnostih
- Lahko izvaja forenziko in obnovo na lokalnih in oddaljenih napravah.
- Ukazna vrstica in grafični uporabniški vmesnik z grafičnimi pogledi in filtri.
- Lahko obnovi particije in pogone navideznih strojev.
- Združljiv z veliko datotečnimi sistemi in formati, vključno z Linuxom in Windowsom.
- Lahko obnovi skrite in izbrisane datoteke.
- Lahko obnovi podatke iz začasnega pomnilnika, kot so Network, Process in itd
DFF
Digitalno forenzično ogrodje
Uporaba: / usr / bin / dff [možnosti]
Opcije:
-v - različica prikaza trenutne različice
-g - grafični zagon grafičnega vmesnika
-b --batch = FILENAME izvede paket, ki je v FILENAME
-l --language = LANG uporablja LANG kot jezik vmesnika
-h --help prikaže to sporočilo o pomoči
-d --debug preusmeri IO v sistemsko konzolo
--podrobnost = LEVEL nastavitev ravni podrobnosti pri odpravljanju napak [0-3]
-c --config = FILEPATH uporabi konfiguracijsko datoteko iz FILEPATH
Predvsem
Foremost je hitrejše in zanesljivejše orodje za obnovitev, ki temelji na ukazni vrstici, za vrnitev izgubljenih datotek v Forensics Operations. Foremost ima možnost delati na slikah, ustvarjenih z dd, Safeback, Encase itd., Ali neposredno na pogonu. Foremost lahko obnovi exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar in veliko drugih vrst datotek.
[zaščiteno po e-pošti]: ~ # foremost -hnajpomembnejša različica x.x.x Jesse Kornblum, Kris Kendall in Nick Mikus.
$ foremost [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - prikaz informacij o avtorskih pravicah in izhod
-t - določite vrsto datoteke. (-t jpeg, pdf…)
-d - vklopi posredno zaznavanje blokov (za datotečne sisteme UNIX)
-i - navedite vhodno datoteko (privzeto je stdin)
-a - Napišite vse glave, ne zaznajte napak (poškodovane datoteke)
-w - Zapišite samo revizijsko datoteko, na disk ne zapisujte nobene zaznane datoteke
-o - nastavi izhodni imenik (privzeto je izhod)
-c - nastavite konfiguracijsko datoteko (privzeto v prvi vrsti.conf)
... odreži ..
Primer uporabe
[zaščiteno po e-pošti]: ~ # foremost -t exe, jpeg, pdf, png -i datoteka-slika.dd
Obdelava: datoteka-slika.dd
... odreži ..
Zaključek
Kali ima skupaj s svojim znanim orodjem za testiranje penetracije tudi cel zavihek, namenjen "Forenziki". Ima ločen način "Forenzika", ki je na voljo samo za USB USB v živo, v katerem ne montira particij gostitelja. Kali je zaradi svoje podpore in boljše združljivosti nekoliko bolj zaželen kot drugi distributerji Forensics, kot je CAINE.
