Slika 1: Kali Linux
Na splošno se je treba pri izvajanju forenzike v računalniškem sistemu izogibati kakršni koli dejavnosti, ki lahko spremeni ali spremeni analizo podatkov sistema. Druga sodobna namizja običajno motijo ta cilj, vendar lahko s Kali Linux prek zagonskega menija omogočite poseben način forenzike.
Orodje Binwalk:
Binwalk je forenzično orodje v Kaliju, ki išče določeno binarno sliko za izvršljivo kodo in datoteke. Identificira vse datoteke, ki so vdelane v katero koli sliko vdelane programske opreme. Uporablja zelo učinkovito knjižnico, znano kot "libmagic", ki v orodju za datoteke Unix razvrsti čarobne podpise.
Slika 2: Orodje Binwalk CLI
Orodje za ekstrakcijo razsutega tovora:
Orodje za ekstrahiranje množičnih izdelkov izvleče številke kreditnih kartic, URL povezave, e-poštne naslove, ki se uporabljajo kot digitalni dokazi. To orodje vam omogoča prepoznavanje napadov zlonamerne programske opreme in vdorov, preiskav identitete, kibernetskih ranljivosti in razbijanja gesel. Posebnost tega orodja je, da ne deluje le z običajnimi podatki, temveč deluje tudi na stisnjene in nepopolne ali poškodovane podatke.
Slika 3: Orodje za ukazno vrstico izvlečka za razsutem stanju
Orodje HashDeep:
Orodje hashdeep je spremenjena različica orodja za razprševanje dc3dd, zasnovano posebej za digitalno forenziko. To orodje vključuje samodejno razprševanje datotek, tj.e., sha-1, sha-256 in 512, tiger, whirlpool in md5. Datoteka dnevnika napak se samodejno zapiše. Poročila o napredku se ustvarijo z vsakim izhodom.
Slika 4: Orodje za vmesnik HashDeep CLI.
Čarobno reševalno orodje:
Magic reševanje je forenzično orodje, ki izvaja blokirane naprave za skeniranje. To orodje s čarobnimi bajti iz naprave izloči vse znane vrste datotek. To odpre naprave za skeniranje in branje vrst datotek in prikaže možnost obnovitve datotek izbrisane ali poškodovane particije. Deluje lahko z vsakim datotečnim sistemom.
Slika 5: Orodje za vmesniško vrstico Magic reševalne vrstice
Orodje za skalpel:
To forenzično orodje izreže vse datoteke in indeksira tiste programe, ki se izvajajo v Linuxu in Windows. Orodje za skalpel podpira izvajanje večnitnega izvajanja na več jedrnih sistemih, ki pomagajo pri hitrih izvedbah. Rezanje datotek se izvaja v fragmentih, kot so regularni izrazi ali binarni nizi.
Slika 6: Forenzično rezbarsko orodje za skalpel
Orodje Scrounge-NTFS:
Ta forenzični pripomoček pomaga pri pridobivanju podatkov s poškodovanih diskov ali particij NTFS. Reši podatke iz poškodovanega datotečnega sistema v nov delujoč datotečni sistem.
Slika 7: Forenzično orodje za obnovitev podatkov
Guymagerjevo orodje:
Ta forenzični pripomoček se uporablja za pridobivanje medijev za forenzične posnetke in ima grafični uporabniški vmesnik. Zaradi svoje večnitne obdelave in stiskanja podatkov je zelo hitro orodje. To orodje podpira tudi kloniranje. Ustvari ploske slike, slike AFF in EWF. Uporabniški vmesnik je zelo enostaven za uporabo.
Slika 8: Forenzični pripomoček Guymager GUI
Orodje Pdfid:
To forenzično orodje se uporablja v datotekah PDF. Orodje skenira datoteke pdf za določene ključne besede, kar vam omogoča, da ob odprtju prepoznate izvršljive kode. To orodje rešuje osnovne težave, povezane s pdf datotekami. Sumljive datoteke se nato analizirajo z orodjem pdf-parser.
Slika 9: Pripomoček za vmesnik ukazne vrstice Pdfid
Orodje za razčlenjevanje pdf:
To orodje je eno najpomembnejših forenzičnih orodij za datoteke PDF. pdf-parser razčleni dokument pdf in loči pomembne elemente, uporabljene med njegovo analizo, in to orodje tega pdf dokumenta ne upodablja.
Slika 10: Forenzično orodje CLI za razčlenjevanje PDF-jev
Orodje Peepdf:
Python orodje, ki raziskuje pdf dokumente, da ugotovi, ali so neškodljivi ali uničujoči. V enem paketu vsebuje vse elemente, potrebne za izvedbo analize pdf. Prikazuje sumljive entitete in podpira različna kodiranja in filtre. Razčleni lahko tudi šifrirane dokumente.
Slika 11: Peepdf python orodje za raziskovanje pdf.
Orodje za obdukcijo:
Obdukcija je vse v enem forenzičnem pripomočku za hitro obnovo podatkov in filtriranje zgoščenih podatkov. To orodje izreže izbrisane datoteke in medije iz nedodeljenega prostora s programom PhotoRec. Izvleče lahko tudi razširitveno večpredstavnost EXIF. Obdukcija skenira indikator kompromisa s knjižnico STIX. Na voljo je v ukazni vrstici in vmesniku GUI.
Slika 12: Obdukcija, vse v enem paketu forenzičnih pripomočkov
img_cat orodje:
img_cat orodje daje izhodno vsebino slikovne datoteke. Obnovljene slikovne datoteke bodo imele metapodatke in vdelane podatke, kar vam omogoča pretvorbo v neobdelane podatke. Ti surovi podatki pomagajo pri cevovodu izhoda za izračun razpršitve MD5.
Slika 13: img_cat vdelani podatki za obnovitev in pretvorbo surovih podatkov.
Orodje ICAT:
ICAT je orodje Sleuth Kit (TSK), ki ustvari izhod datoteke na podlagi njenega identifikatorja ali številke inode. To forenzično orodje je izjemno hitro in poimenovane datoteke datotek odpre in kopira v standardni izhod z določeno številko inode. Inode je ena od podatkovnih struktur sistema Linux, ki hrani podatke in informacije o datoteki Linux, kot so lastništvo, velikost datoteke in dovoljenja za pisanje in branje.
Slika 14: Vmesniško orodje na osnovi konzole ICAT
Orodje Srch_strings:
To orodje išče izvedljive nize ASCII in Unicode znotraj binarnih podatkov in nato natisne niz odmika, ki ga najdemo v teh podatkih. Orodje srch_strings bo izvleklo in pridobilo nize, ki so prisotni v datoteki, in da bajt z odmikom, če je pozvan.
Slika 15: Forenzično orodje za iskanje nizov
Zaključek:
Teh 14 orodij je na voljo s programom Kali Linux live in namestitvenimi slikami ter je odprtokodno in prosto dostopno. V primeru starejše različice Kali predlagam posodobitev najnovejše različice, da lahko ta orodja dobite neposredno. Obstaja veliko drugih forenzičnih orodij, ki jih bomo obravnavali v nadaljevanju. Glejte 2. del tega članka tukaj.