Phenquestions
Forensics bliver meget vigtigt i Cybersikkerhed for at opdage og backtrack Black Hat Criminals. Det er vigtigt at fjerne Hackers ondsindede bagdøre / malware og spore dem tilbage for at undgå eventuelle fremtidige hændelser. I Kali's Forensics-tilstand monterer operativsystemet ikke nogen partition fra systemets harddisk og efterlader ingen ændringer eller fingeraftryk på værtssystemet.
Kali Linux leveres med forudinstallerede populære retsmedicinske applikationer og værktøjssæt. Her gennemgår vi nogle berømte open source-værktøjer, der findes i Kali Linux.
Bulk Extractor
Bulk Extractor er et rigt værktøj, der kan udtrække nyttige oplysninger som kreditkortnumre, domænenavne, IP-adresser, e-mails, telefonnumre og URL'er fra bevis Harddiske / filer fundet under Forensics Investigation. Det er nyttigt at analysere billede eller malware, hjælper også med cyberundersøgelser og adgangskodebrydning. Det bygger ordlister baseret på information fundet fra beviser, der kan hjælpe med adgangskodebrydning.
Bulk Extractor er populær blandt andre værktøjer på grund af sin utrolige hastighed, kompatibilitet med flere platforme og grundighed. Det er hurtigt på grund af dets multitrådede funktioner, og det har evnen til at scanne enhver form for digitale medier, der inkluderer HDD'er, SSD'er, mobiltelefoner, kameraer, SD-kort og mange andre typer.
Bulk Extractor har følgende seje funktioner, der gør det mere foretrukket,
- Den har en grafisk brugergrænseflade kaldet “Bulk Extractor Viewer”, som bruges til at interagere med Bulk Extractor
- Det har flere outputmuligheder som at vise og analysere outputdataene i histogram.
- Det kan let automatiseres ved hjælp af Python eller andre script-sprog.
- Den leveres med nogle foruddefinerede scripts, der kan bruges til at udføre yderligere scanning
- Dens multi-threaded kan være hurtigere på systemer med flere CPU-kerner.
Anvendelse: bulk_extractor [optioner] imagefile
kører bulkudtræk og output for at udarbejde et resumé af, hvad der blev fundet hvor
Nødvendige parametre:
imagefile - filen der skal udpakkes
eller -R arkiveret - genoplive gennem en mappe med filer
HAR STØTTE TIL E01-FILER
HAR STØTTE TIL AFF-FILER
-o outdir - specificerer outputkatalog. Må ikke eksistere.
bulk_extractor opretter denne mappe.
Muligheder:
-i - INFO-tilstand. Lav en hurtig tilfældig prøve og udskriv en rapport.
-b banner.txt- Tilføj banner.txt-indhold til toppen af hver outputfil.
-r alarm_liste.txt - en fil, der indeholder alarmlisten over funktioner, der skal advares
(kan være en funktionsfil eller en liste over globs)
(kan gentages.)
-w stop_list.txt - en fil, der indeholder stoplisten med funktioner (hvid liste
(kan være en funktionsfil eller en liste over globs) s
(kan gentages.)
-F
-f
resultater går i find.txt
... klip ..
Brugseksempel
[e-mail-beskyttet]: ~ # bulk_extractor -o outputhemmelighed.img
Obduktion
Autopsi er en platform, der bruges af cyberundersøgere og retshåndhævelser til at gennemføre og rapportere retsmedicinske operationer. Det kombinerer mange individuelle hjælpeprogrammer, der bruges til retsmedicin og genopretning og giver dem grafisk brugergrænseflade.
Autopsy er et open source, gratis og platformoverskridende produkt, der er tilgængeligt til Windows, Linux og andre UNIX-baserede operativsystemer. Autopsi kan søge og undersøge data fra harddiske i flere formater, herunder EXT2, EXT3, FAT, NTFS og andre.
Det er let at bruge, og det er ikke nødvendigt at installere i Kali Linux, da det leveres med forudinstalleret og forudkonfigureret.
Dumpzilla
Dumpzilla er et tværgående platform kommandolinjeværktøj skrevet på Python 3-sprog, der bruges til at dumpe retsmedicinsk information fra webbrowsere. Det ekstraherer ikke data eller information, men viser det kun i terminalen, som kan pipes, sorteres og gemmes i filer ved hjælp af operativsystemkommandoer. I øjeblikket understøtter den kun Firefox-baserede browsere som Firefox, Seamonkey, Iceweasel osv.
Dumpzilla kan få følgende oplysninger fra browsere
- Kan vise live surfing af bruger i faner / vindue.
- Brugerdownloads, bogmærker og historie.
- Webformularer (søgninger, e-mails, kommentarer ...).
- Cache / miniaturebilleder af tidligere besøgte websteder.
- Tilføjelser / udvidelser og brugte stier eller webadresser.
- Browser gemte adgangskoder.
- Cookies og sessionsdata.
Anvendelse: python dumpzilla.py browser_profile_directory [Indstillinger]
Muligheder:
--Alle (Viser alt undtagen DOM-data. Uddrag ikke miniaturer eller HTML 5 offline)
--Cookies [-showdom -domæne
-skab
--Tilladelser [-host
--Downloads [-range
--Formularer [-værdi
--Historie [-url
-frekvens]
--Bogmærker [-range_bookmarks
... klip ..
Digital Forensics Framework - DFF
DFF er et filgendannelsesværktøj og Forensics-udviklingsplatform skrevet i Python og C++. Det har sæt værktøjer og script med både kommandolinje og grafisk brugergrænseflade. Det bruges til at udføre retsmedicinsk undersøgelse og til at indsamle og rapportere digitale beviser.
Det er let at bruge og kan bruges af Cyber Professionals såvel som nybegyndere til at indsamle og bevare digital Forensics Info. Her vil vi diskutere nogle af dens gode funktioner
- Kan udføre retsmedicin og opsving på lokale såvel som eksterne enheder.
- Både kommandolinje og grafisk brugergrænseflade med grafiske visninger og filtre.
- Kan gendanne partitioner og virtuelle maskindrev.
- Kompatibel med mange filsystemer og formater inklusive Linux og Windows.
- Kan gendanne skjulte og slettede filer.
- Kan gendanne data fra midlertidig hukommelse såsom netværk, proces og osv
DFF
Digital retsmedicinsk ramme
Anvendelse: / usr / bin / dff [optioner]
Muligheder:
-v --version viser den aktuelle version
-g - grafisk lancering grafisk interface
-b --batch = FILENAME udfører batch indeholdt i FILENAME
-l - sprog = LANG brug LANG som interface sprog
-h --hjælp med at vise denne hjælpemeddelelse
-d --debug omdirigere IO til systemkonsol
--uddybning = LEVEL indstillet uddybningsniveau ved fejlretning [0-3]
-c --config = FILEPATH brug konfigurationsfil fra FILEPATH
Frem for alt
Frem for alt er et hurtigere og pålideligt kommandolinjebaseret gendannelsesværktøj til at få tilbage mistede filer i Forensics Operations. Frem for alt har evnen til at arbejde på billeder genereret af dd, Safeback, Encase osv. Eller direkte på et drev. Frem for alt kan gendanne exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar og mange andre filtyper.
[e-mail-beskyttet]: ~ # fremst -hførst og fremmest version x.x.x af Jesse Kornblum, Kris Kendall og Nick Mikus.
$ forreste [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - vis copyright-oplysninger og afslut
-t - angiv filtype. (-t jpeg, pdf ...)
-d - slå indirekte blokregistrering til (for UNIX-filsystemer)
-i - angiv inputfil (standard er stdin)
-a - Skriv alle overskrifter, udfør ingen fejlregistrering (beskadigede filer)
-w - Skriv kun revisionsfilen, skriv ikke registrerede filer til disken
-o - indstil outputkatalog (standard til output)
-c - indstil konfigurationsfil, der skal bruges (er som standard.conf)
... klip ..
Brugseksempel
[e-mail-beskyttet]: ~ # fremst -t exe, jpeg, pdf, png -i filbillede.dd
Behandling: filbillede.dd
... klip ..
Konklusion
Kali har sammen med sine berømte Penetration testværktøjer også en hel fane dedikeret til "Forensics". Den har en separat “Forensics” -tilstand, som kun er tilgængelig for Live USB'er, hvor den ikke monterer værtspartitioner. Kali er lidt at foretrække fremfor andre retsmedicinske distroer som CAINE på grund af dets støtte og bedre kompatibilitet.
