Phenquestions
Obdukcija
Avtopsija, ki je privzeto na CAINE in Kali Linux, je prvo orodje za uvedbo forenzike zaradi njenega grafičnega in intuitivnega vmesnika za upravljanje računalniških forenzičnih orodij. Obdukcija optimizira postopek z uporabo več procesorskih jeder med delovanjem v ozadju in vam lahko vnaprej pove, ali bo postopek privedel do pozitivnega rezultata. Obdukcija se lahko uporablja tudi kot grafični vmesnik za različna orodja ukazne vrstice, podpira razširitve za integracijo s tujimi orodji, kot je PhotoRec, ki je že na voljo v LinuxHint, za izboljšanje in dodajanje funkcij.
Kot rečeno, privzeto je na voljo za uporabnike Kali, Debian in Ubuntu, ki lahko obdukcijo zaženejo tako, da zaženejo:
apt namestite obdukcijo -y
Uradna spletna stran: https: // www.sleuthkit.org / obdukcija /
CAINE (računalniško podprto preiskovalno okolje)
CAINE je distribucija na osnovi Ubuntuja Linux, posebej zasnovana za računalniško forenziko, privzeto prihaja z Autopsy, ki ustvarja zelo prijazno okolje za uporabnika. CAINE je odličen asistent kot OS, saj privzeto uporablja običajne forenzične prakse, kot je zaščita pomnilniških naprav pred poškodbami ali prepisovanjem med forenzičnim postopkom.
CAINE je posodobljena distribucija Linuxa, ki je zelo priporočljiva za začetek računalniške forenzike.
Uradna spletna stran: https: // www.caine-live.mreža/
P0f
P0f je analizator za interakcijo med različnimi napravami prek omrežja. P0f je sposoben identificirati operacijski sistem in programsko opremo, ki jo uporabljajo različne naprave, povezane v pasivnem načinu, namesto da pošilja pakete za analizo odgovora. Praktična uporaba P0f lahko vključuje odkrivanje napadalca med tekočo sejo testiranja, nadzor omrežja in dodatne informacije o povezavah za nastavitev ustreznih varnostnih ukrepov. P0f dolgo ni bil posodobljen in se je vrnil kot P03 s podporo za sodoben OS in programsko opremo. V prihodnjem članku bomo napadalce spremljali z različnimi orodji, vključno s P0f.
Uporabniki Debian in Ubuntu lahko P0f namestijo tako, da zaženejo:
apt namestite p0f -y
Uradna spletna stran: http: // lcamtuf.coredump.cx / p0f3 /
Dumpzilla
Med kazensko preiskavo je analiza brskalnih dejavnosti med prvimi protokolarnimi koraki. Kot rečeno zgoraj, obdukcija omogoča, da omogočimo razširitve za raziskovanje brskalne dejavnosti uporabnika. Dumpzilla je orodje, ki je posebej osredotočeno na obnovitev podatkov brskanja iz brskalnikov Mozilla Firefox ali izpeljank, kot sta Iceweasel ali Seamonkey. Dumpzilla nam lahko zagotovi veliko dragocenih informacij, kot so uporabniška imena, gesla, zgodovina brskanja in vse informacije, shranjene v piškotkih ali uporabniških nastavitvah. Kljub temu, da je zelo priporočljivo izvajati Dumpzilla proti cilju s Firefoxom, kljub temu, da v zadnjih dveh letih ni bil posodobljen.
Dumpzilla ni vključena v privzete repozitorije, dobite jo lahko na: https: // github.com / Busindre / dumpzilla
Uradna spletna stran: https: // www.dumpzilla.org
Volatilnost
Volatilnost nam omogoča raziskovanje aktivnega RAM-a naprave, kar pomeni, da informacije, ki niso bile shranjene na trdem disku, ampak so v živem RAM-u pustile artefakte ali sledi. To orodje, ki je privzeto na voljo v sistemih CAINE in Kali Linux, nas lahko pripelje do koristnih informacij po incidentu v napravi, na primer o tem, kateri procesi so se med dogodkom izvajali ali tečejo. Za namestitev volatilnosti na Debian lahko zaženete
apt install volatility -y
Uradna spletna stran: https: // www.osnova za volatilnost.org /
Chkrootkit
RootKit je zlonamerna programska oprema, ki je nameščena lokalno ali na daljavo v napravi za odobritev nezakonitega dostopa napadalcu, kljub majhnim razlikam lahko naredimo groteskno primerjavo med rootKits in trojanskimi strežniki (RootKIts vključuje dodatne funkcije). RootKits lahko spreminja sistemske datoteke in odstranjuje sledi nezakonitih vdorov. Tu prihaja ChkRooKit, ki analizira binarne datoteke za spremembe, dnevnike in druge sledi, ki bi jih vsiljivec lahko odstranil. V Debianu lahko dobite chkrootkit tako, da zaženete:
apt namestite chkrootkit -y
Uradna spletna stran: http: // www.chkrootkit.org /
Upam, da se vam je ta članek zdel koristen za spoznanje, da računalniška forenzika ni omejena na IT-guruje. Vsakdo lahko z zgoraj omenjenimi orodji enostavno izvaja računalniško forenziko. Še naprej sledite LinuxHint za več nasvetov in posodobitev o Linuxu.
