Phenquestions
Uvod
Nazadnje smo zajeli 14 forenzičnih orodij, ki so prisotna v Kali Linux, in razložili njihov namen in posebne zmogljivosti. Danes bomo predstavili 14 forenzičnih orodij iz znane knjižnice "The Sleuth Kit" (TSK), ki so vključena v posodobitev Kali Linux za leto 2020. Ta orodja najdete na spustnem seznamu Forensics pod imenom Orodja za zbirko Sleuth v meniju Kali Whisker.
blkcalc
Orodje blkcalc je forenzično orodje, ki pretvori nedodeljene točke diska v običajne točke diska. Ta program ustvari številko točke, ki preslika dve sliki. Ena od teh slik je običajna, druga pa vsebuje nedodeljene številke točk prve slike. To orodje lahko podpira številne vrste datotečnih sistemov. Če datotečni sistem na začetku ni definiran, ima blkcalc edinstveno funkcijo metod samodejnega zaznavanja za iskanje vrste datotečnega sistema.
tsk_comparedir
S pomočjo orodja tsk_comparedir se vsebina slike primerja z vsebino primerjalnega imenika. To je najboljše orodje v fazi testiranja za prepoznavanje rootkitov (zlonamerna koda ali datoteke). Preizkus rootkita se izvede s primerjavo vsebine lokalnega imenika z lokalno surovo napravo. Ti rootkiti niso skriti, ko jih dostopate in berete iz surove naprave.
tsk_gettimes
Forenzično orodje tsk_gettimes temelji na knjižnici kompletov sleuth. To orodje zbere čase MAC (koščke metapodatkov datotečnega sistema) iz določene slike diska in jih pretvori v telesno datoteko. Orodje tsk_gettimes preuči vsak datotečni sistem na diskovni particiji ali sliki in obdela podatke znotraj. Rezultat tega orodja so podatki o sliki diska v formatu časovnega telesa MAC, ki se nato lahko uporabijo kot vhod v sistem za generiranje kronologije datotečne dejavnosti. Podatki se nato natisnejo kot datoteka z ukazom STDOUT.
blkcat
Orodje blkcat je hitro in učinkovito forenzično orodje, zapakirano v Kali. Namen tega orodja je prikazati vsebino podatkov, shranjenih na sliki diska datotečnega sistema. Izhod prikazuje število podatkovnih enot, začenši z glavnim naslovom in izpisi enote, v različne formate, ki jih je mogoče določiti in razvrstiti. Izhodna oblika je privzeto surova in se imenuje tudi dcat.
tsk_loaddb
Orodje tsk_loaddb naloži metapodatke s slike diska v bazo podatkov SQLite, ki je uporabna baza podatkov za analizo z drugimi programskimi orodji. Baza podatkov je shranjena v slikovnem imeniku za lažji dostop. To orodje podpira številne datotečne sisteme in lahko izračuna heš vrednost MD5 za vsako datoteko.
blkstat
Orodje za sleuth blkstat prikazuje vse informacije o podatkovnih enotah datotečnega sistema. To orodje vrne podatke o stanju dodelitve bloka ali sektorja datotečnega sistema. To orodje lahko uporablja ukaz addr, ki prikazuje statistiko dela podatkov in se imenuje tudi dstat.
najti
Orodje ffind uporablja inode za iskanje imena imenika ali datoteke na sliki diska. Datoteke, dodeljene identifikatorju datoteke inode na particiji diska, imajo imena; privzeto bo to orodje vrnilo samo prvo ime, ki ga najde. Orodje ffind lahko celo najde imena izbrisanih datotek, kar je posebna sposobnost tega orodja. Poleg tega lahko orodje ffind najde tudi več imen datotek.
hfind
Orodje hfind išče hash vrednosti v zbirkah podatkov hash. Vrednosti razprševanja se iščejo z binarnim algoritmom iskanja. Namen uporabe tega algoritma je uporabnikom omogočiti enostavno ustvarjanje razpršenih zbirk podatkov in hitro identifikacijo datoteke, ne glede na to, ali je znana ali neznana. To orodje uporablja knjižnico NSRL in vrne md5sum. To orodje je zelo učinkovito, saj ustvari indeksno datoteko, ki je že razvrščena in ima vnose s fiksno dolžino, zaradi česar je iskanje zelo hitro.
fls
Ime fls vključuje izraz ls, kar pomeni, da je navedena vsebina mape. Orodje fls vsebuje vsa imena datotek in imenike v slikovni datoteki in lahko celo prikaže imena datotek, ki so bile nedavno odstranjene. Če se identifikator datoteke ali inode ne uporablja, se uporabi korenski imenik.
mmcat
Orodje mmcat je forenzično orodje, ki s funkcijo tiskanja vrne vsebino particije. To orodje izloči vse podatke na particiji v ločeno datoteko.
sigfind
To orodje najde binarni podpis v datoteki. Ta binarni podpis se imenuje hex_signature, ki je prisoten v vsaki datoteki. To orodje lahko uporabite za iskanje izgubljenih superblokov, particij ali tabel slik in zagonskih sektorjev. Za iskanje binarnega podpisa je treba uporabiti šestnajstiško obliko.
zdi se mi
To orodje išče neobdelano podatkovno strukturo datoteke, ki je dodeljena določeni diskovni enoti ali imenu datoteke. Včasih je katera koli od teh struktur metapodatkov nedodeljena, vendar bo to orodje vseeno dobilo rezultate.
sortirnik
Orodje za razvrščanje je skriptno orodje "perl", ki izvaja razvrščanje v datotečnem sistemu, da ga razvrsti v dodeljene in nedodeljene datoteke glede na vrsto datoteke. To orodje zažene ukaz za vsako datoteko in jih razvrsti glede na konfiguracijske datoteke. Vrste datotek vključujejo skrite datoteke, hash datoteke za hash zbirke podatkov, datoteke, za katere je znano, da so dobre, in tiste, ki jih je treba spremeniti. Uporabljene konfiguracijske datoteke se privzeto vzamejo od mesta, kjer je nameščeno orodje, vendar je to mogoče spremeniti z odločitvami o času izvajanja.
tsk_recover
To orodje prenaša datoteke z diskovne particije v lokalni korenski imenik. Obnovljene datoteke so privzeto samo nedodeljene datoteke. Z določenimi ukazi lahko izvozite vse datoteke.
Zaključek
Teh 14 orodij je na voljo skupaj s programom Kali Linux live in slikami namestitvenih programov ter je odprtokodno in prosto dostopno. Ta orodja najdete v meniju brka Kali v mapi z imenom Sleuth Kit Suite. Orodja od TSK prejemajo pogoste posodobitve za manjše popravke napak.
