Phenquestions
Introduktion
Sidste gang dækkede vi 14 retsmedicinske værktøjer, der findes i Kali Linux, og forklarede deres formål og særlige muligheder. I dag skal vi præsentere 14 retsmedicinske værktøjer, der kommer fra et berømt bibliotek, "The Sleuth Kit" (TSK), pakket inde i 2020-opdateringen af Kali Linux. Du kan finde disse værktøjer i rullelisten Forensics under navnet Sleuth Kit Suite-værktøjer i Kali Whisker Menu.
blkcalc
Blkcalc-værktøjet er et retsmedicinsk værktøj, der konverterer ikke-tildelte diskpunkter til almindelige diskpunkter. Dette program opretter et punktnummer, der kortlægger to billeder. Et af disse billeder er normalt, og det andet indeholder ikke-tildelte punktum for det første billede. Dette værktøj kan understøtte mange filsystemtyper. Hvis et filsystem ikke er defineret i starten, har blkcalc den unikke funktion ved autodetektionsmetoder til at finde filsystemtypen.
tsk_comparedir
Ved hjælp af tsk_comparedir-værktøjet sammenlignes billedets indhold med indholdet i sammenligningsmappen. Dette er det bedste værktøj i testfasen til identifikation af rootkits (ondsindet kode eller filer). Rootkit-testen udføres ved at sammenligne indholdet af den lokale bibliotek med en lokal rå enhed. Disse rootkits skjules ikke, når de åbnes og læses fra en rå enhed.
tsk_gettimes
Det retsmedicinske værktøj tsk_gettimes er baseret på et sleuth kit-bibliotek. Dette værktøj samler MAC-tiderne (stykker filsystemmetadata) fra et bestemt diskbillede og konverterer tiderne til en body-fil. Værktøjet tsk_gettimes undersøger hvert filsystem i en diskpartition eller et billede og behandler dataene indeni. Outputtet fra dette værktøj er diskbilleddataene i et MAC-tidsorganformat, som derefter kan bruges som input til systemet til at generere en kronologi af filaktiviteten. Dataene udskrives derefter som en fil via STDOUT-kommandoen.
blkcat
Blkcat-værktøjet er et hurtigt og effektivt retsmedicinsk værktøj pakket i Kali. Formålet med dette værktøj er at vise indholdet af de data, der er gemt i et filsystems diskbillede. Outputtet viser antallet af dataenheder, startende med enhedens hovedadresse og udskrifter, i forskellige formater, der kan specificeres og sorteres. Som standard er outputformatet rå, og det kaldes også dcat.
tsk_loaddb
Værktøjet tsk_loaddb indlæser metadataene fra diskbilledet i en SQLite-database, som er en anvendelig database til analyse af andre softwareværktøjer. Databasen er gemt i billedkataloget for nem adgang. Dette værktøj understøtter mange filsystemer og kan beregne MD5-hashværdien for hver fil.
blkstat
Sleuth kit-værktøjet blkstat viser al information om dataenhederne i et filsystem. Dette værktøj returnerer data om tildelingsstatus for en blok eller en sektor af et filsystem. Dette værktøj kan bruge kommandoen addr, som viser statistikken for et stykke data, og kaldes også dstat.
finde
Ffind-værktøjet bruger en inode til at søge efter navnet på biblioteket eller filen i et diskbillede. De filer, der er tildelt en inode-filidentifikator på en diskpartition, har navne; Dette værktøj returnerer som standard kun det fornavn, det finder. Ffind-værktøjet kan endda finde slettede filnavne, hvilket er dette værktøjs særlige kapacitet. Derudover kan ffind-værktøjet også finde flere filnavne.
hfind
Hfind-værktøjet søger efter hash-værdier i hash-databaser. Hash-værdierne søges ved hjælp af den binære søgealgoritme. Formålet med at bruge denne algoritme er at give brugerne mulighed for nemt at oprette hash-databaser og hurtigt identificere en fil, uanset om den er kendt eller ukendt. Dette værktøj bruger NSRL-biblioteket og returnerer md5sum. Dette værktøj er meget effektivt, da det opretter en indeksfil, der allerede er sorteret og har poster med fast længde, hvilket gør søgning meget hurtigt.
fls
Navnet fls involverer udtrykket "ls", som står for en liste over indholdet af en mappe. Fls-værktøjet viser alle filnavne og kataloger i en billedfil og kan endda vise navne på filer, der for nylig blev fjernet. Hvis fil-id'en eller inoden ikke bruges, bruges rodmappen.
mmcat
MMcat-værktøjet er et retsmedicinsk værktøj, der returnerer indholdet af en partition gennem udskrivningsfunktionen. Dette værktøj udtrækker alle data i en partition i en separat fil.
sigfind
Dette værktøj finder den binære signatur til stede i en fil. Denne binære signatur kaldes hex_signature, som findes i hver fil. Dette værktøj kan bruges til at finde mistede superblokke, partitioner eller billedtabeller og opstartssektorer. Det hexadecimale format skal bruges til at finde den binære signatur.
jeg finder
Dette værktøj ser op på rådatastrukturen for en fil, der er allokeret i en bestemt diskenhed eller et filnavn. Nogle gange kan nogen af disse metadatastrukturer ikke tildeles, men dette værktøj opnår stadig resultaterne.
sorterer
Sorteringsværktøjet er et "perl" scriptværktøj, der udfører sortering på et filsystem for at arrangere det i tildelte og ikke-allokerede filer, baseret på filtypen. Dette værktøj kører en kommando på hver fil og sorterer filerne efter konfigurationsfilerne. Filtyper inkluderer skjulte filer, hash-filer til hash-databaser, filer, der vides at være gode, og dem, der skal ændres. De anvendte konfigurationsfiler er som standard taget fra det sted, hvor værktøjet er installeret, men dette kan ændres med kørselstidsbeslutninger.
tsk_recover
Dette værktøj overfører filer fra en diskpartition til en lokal rodkatalog. De gendannede filer er som standard kun ikke-tildelte filer. Via visse kommandoer kan alle filer eksporteres.
Konklusion
Disse 14 værktøjer leveres med Kali Linux live såvel som installationsprogrammer, og de er open source og frit tilgængelige. Disse værktøjer kan findes i Kali whisker-menuen i en mappe ved navn Sleuth Kit Suite. Værktøjerne modtager hyppige opdateringer fra TSK for mindre fejlrettelser.
