Phenquestions
Figur 1: Kali Linux
Generelt skal enhver aktivitet, der kan ændre eller ændre dataanalysen af systemet undgås, når der udføres retsmedicin på et computersystem. Andre moderne skriveborde forstyrrer normalt dette mål, men med Kali Linux gennem boot-menuen kan du aktivere en speciel retsmedicinsk tilstand.
Binwalk-værktøj:
Binwalk er et retsmedicinsk værktøj i Kali, der søger i et specificeret binært billede efter eksekverbar kode og filer. Det identificerer alle de filer, der er indlejret i ethvert firmwarebillede. Det bruger et meget effektivt bibliotek kendt som "libmagic", der sorterer magiske underskrifter i Unix-filværktøjet.
Figur 2: Binwalk CLI-værktøj
Bulk udsugningsværktøj:
Bulk ekstraktor værktøj udtrækker kreditkortnumre, URL-links, e-mail-adresser, som bruges digital dokumentation. Dette værktøj giver dig mulighed for at identificere malware- og indtrængningsangreb, identitetsundersøgelser, cybersårbarheder og krakning af kodeord. Dette værktøjs specialitet er, at det ikke kun fungerer med normale data, men det fungerer også på komprimerede data og ufuldstændige eller beskadigede data.
Figur 3: kommandolinjeværktøj til bulkudtræk
HashDeep-værktøj:
Den hashdeep værktøj er en modificeret version af dc3dd hashing værktøj designet specielt til digital retsmedicin. Dette værktøj inkluderer automatisk hashing af filer, dvs.e., sha-1, sha-256 og 512, tiger, boblebad og md5. En fejllogfil skrives automatisk. Statusrapporter genereres med hver output.
Figur 4: HashDeep CLI-interface-værktøj.
Magisk redningsværktøj:
Magic rescue er et retsmedicinsk værktøj, der udfører scanningsoperationer på en blokeret enhed. Dette værktøj bruger magiske byte til at udtrække alle de kendte filtyper fra enheden. Dette åbner enheder til scanning og læsning af filtyperne og viser muligheden for at gendanne filer, der er slettet eller ødelagt partition. Det kan fungere med alle filsystemer.
Figur 5: Magic Rescue kommandolinjeværktøjsværktøj
Scalpel værktøj:
Dette retsmedicinske værktøj udskærer alle filerne og indekserer de applikationer, der kører på Linux og windows. Skalpelværktøjet understøtter udførelse af multithreading på flere kernesystemer, som hjælper med hurtige udførelser. Filudskæring udføres i fragmenter såsom regulære udtryk eller binære strenge.
Figur 6: Scalpel retsmedicinsk udskæringsværktøj
Scrounge-NTFS værktøj:
Dette retsmedicinske værktøj hjælper med at hente data fra beskadigede NTFS-diske eller partitioner. Det redder data fra et beskadiget filsystem til et nyt fungerende filsystem.
Figur 7: Værktøj til retablering af retsmedicin
Guymager-værktøj:
Dette retsmedicinske værktøj bruges til at erhverve medier til retsmedicinske billeder og har en grafisk brugergrænseflade. På grund af sin databehandling og komprimering med flere tråde er det et meget hurtigt værktøj. Dette værktøj understøtter også kloning. Det genererer flade, AFF- og EWF-billeder. UI er meget let at bruge.
Figur 8: Guymager GUI retsmedicinsk værktøj
Pdfid-værktøj:
Dette retsmedicinske værktøj bruges i pdf-filer. Værktøjet scanner pdf-filer for bestemte nøgleord, som giver dig mulighed for at identificere eksekverbare koder, når de åbnes. Dette værktøj løser de grundlæggende problemer forbundet med pdf-filer. De mistænkelige filer analyseres derefter med pdf-parser-værktøjet.
Figur 9: Pdfid-kommandolinjegrænseflade
Pdf-parser-værktøj:
Dette værktøj er et af de vigtigste retsmedicinske værktøjer til pdf-filer. pdf-parser analyserer et pdf-dokument og skelner mellem de vigtige elementer, der bruges under analysen, og dette værktøj gengiver ikke pdf-dokumentet.
Figur 10: Pdf-parser CLI-retsmedicinsk værktøj
Peepdf-værktøj:
Et pythonværktøj, der udforsker pdf-dokumenter for at finde ud af, om det er harmløst eller destruktivt. Det indeholder alle de nødvendige elementer til at udføre pdf-analyse i en enkelt pakke. Det viser mistænkelige enheder og understøtter forskellige kodninger og filtre. Det kan også analysere krypterede dokumenter.
Figur 11: Peepdf-pythonværktøj til pdf-undersøgelse.
Obduktionsværktøj:
En obduktion er alt i et retsmedicinsk værktøj til hurtig datagendannelse og hashfiltrering. Dette værktøj udskærer slettede filer og medier fra ikke-allokeret plads ved hjælp af PhotoRec. Det kan også udtrække EXIF-udvidelsesmultimedie. Obduktion scanner efter kompromisindikator ved hjælp af STIX-biblioteket. Det er tilgængeligt i kommandolinjen såvel som GUI-grænsefladen.
Figur 12: obduktion, alt i én retsmedicinsk hjælpepakke
img_cat værktøj:
img_cat-værktøjet giver outputindhold i en billedfil. De gendannede billedfiler vil have metadata og indlejrede data, som giver dig mulighed for at konvertere dem til rådata. Disse rådata hjælper med at røre output for at beregne MD5-hash.
Figur 13: img_cat indlejrede data til rådatagendannelse og konverter.
ICAT-værktøj:
ICAT er et Sleuth Kit-værktøj (TSK), der opretter et output af en fil baseret på dens identifikator eller inode nummer. Dette retsmedicinske værktøj er ultrahurtigt, og det åbner de navngivne filbilleder og kopierer det til standardoutput med et specifikt inode nummer. En inode er en af datastrukturerne i Linux-systemet, der gemmer data og oplysninger om en Linux-fil, såsom ejerskab, filstørrelse og type-, skrive- og læsetilladelser.
Figur 14: ICAT-konsolbaseret interface-værktøj
Srch_strings værktøj:
Dette værktøj ser efter levedygtige ASCII- og Unicode-strenge inde i binære data og udskriver derefter den offsetstreng, der findes i disse data. srch_strings-værktøjet udtrækker og henter de strenge, der er til stede i en fil, og giver offset-byte, hvis det kaldes.
Figur 15: Strengsøgning retsmedicinsk værktøj
Konklusion:
Disse 14 værktøjer leveres med Kali Linux live, og installationsprogrammer, og de er open source og frit tilgængelige. I tilfælde af en ældre version af Kali vil jeg foreslå en opdatering til den nyeste version for at få disse værktøjer direkte. Der er mange andre retsmedicinske værktøjer, som vi vil dække næste gang. Se del 2 af denne artikel her.
