A kriminalisztika a kiberbiztonságban egyre fontosabbá válik a Black Hat bűnözők felderítésében és visszakeresésében. Elengedhetetlen a hackerek rosszindulatú hátsó ajtóinak / rosszindulatú programjainak eltávolítása és visszakeresése a jövőbeni esetleges események elkerülése érdekében. Kali Forensics módban az operációs rendszer nem csatlakoztat egyetlen partíciót sem a rendszer merevlemezéről, sem változásokat vagy ujjlenyomatokat nem hagy a gazdagép rendszerén.
A Kali Linux előre telepített népszerű törvényszéki alkalmazásokkal és eszközkészletekkel rendelkezik. Itt áttekintünk néhány híres nyílt forráskódú eszközt, amelyek jelen vannak a Kali Linux-ban.
Tömeges elszívó
A Bulk Extractor egy gazdag funkciójú eszköz, amely hasznos információkat nyerhet ki, mint például a hitelkártyaszámok, a domainnevek, az IP-címek, az e-mailek, a telefonszámok és az URL-ek a bizonyítékokból. Merevlemezek / fájlok az igazságügyi nyomozás során. Hasznos a kép vagy a rosszindulatú program elemzésében, valamint segítséget nyújt a számítógépes nyomozásban és a jelszó feltörésében. Szójegyzékeket épít a bizonyítékokból származó információk alapján, amelyek segíthetnek a jelszó feltörésében.
A Bulk Extractor hihetetlen sebessége, több platform kompatibilitása és alapossága miatt népszerű más eszközök között. Gyors a többszálas funkcióinak köszönhetően, és képes bármilyen digitális adathordozó beolvasására, beleértve a HDD-ket, SSD-ket, mobiltelefonokat, fényképezőgépeket, SD-kártyákat és még sok más típust.
A Bulk Extractor a következő jó tulajdonságokkal rendelkezik, amelyek előnyösebbé teszik,
- Grafikus felhasználói felülete van, amelyet „Bulk Extractor Viewer” -nek hívnak, és amelyet a Bulk Extractor-nal való interakcióra használnak
- Számos kimeneti opcióval rendelkezik, például a kimeneti adatok hisztogramban történő megjelenítése és elemzése.
- A Python vagy más szkriptnyelvek segítségével egyszerűen automatizálható.
- Néhány előre megírt szkriptet tartalmaz, amelyek további szkenneléshez használhatók
- Több szálú, gyorsabb lehet a több CPU maggal rendelkező rendszereken.
Használat: bulk_extractor [opciók] imagefile
futtatja a tömeges elszívót és a kimeneteket összefoglalja, hogy hol találtak
Szükséges paraméterek:
imagefile - a kibontandó fájl
vagy -R filedir - visszatérés a fájlok könyvtárán keresztül
TÁMOGATJA az E01-FÁJLOKAT
TÁMOGATÁS AZ AFF FÁJLOKHOZ
-o outdir - meghatározza a kimeneti könyvtárat. Nem létezhet.
A bulk_extractor létrehozza ezt a könyvtárat.
Opciók:
-i - INFO mód. Készítsen gyors véletlenszerű mintát és nyomtasson ki egy jelentést.
-b szalaghirdetés.txt- Szalaghirdetés hozzáadása.txt tartalmat minden kimeneti fájl tetejére.
-r alert_list.txt - egy fájl, amely tartalmazza a riasztandó funkciók figyelmeztetési listáját
(lehet szolgáltatásfájl vagy gömbök listája)
(megismételhető.)
-w stop_list.txt - a funkciók leállítási listáját tartalmazó fájl (fehér lista
(lehet szolgáltatásfájl vagy gömbök listája) s
(megismételhető.)
-F
-f
az eredmények megtalálhatók.txt
... kivágás…
Használati példa
[e-mail védett]: ~ # bulk_extractor -o kimeneti titok.img
Boncolás
A boncolás egy olyan platform, amelyet a számítógépes nyomozók és a bűnüldöző szervek használnak a törvényszéki műveletek lebonyolításához és azok bejelentéséhez. Ez egyesíti a kriminalisztikához és a helyreállításhoz használt számos egyedi segédprogramot, és grafikus felhasználói felületet biztosít számukra.
A boncolás egy nyílt forráskódú, ingyenes és platformokon átívelő termék, amely Windows, Linux és más UNIX alapú operációs rendszerek számára érhető el. A boncolás többféle formátumú merevlemez-meghajtóról származó adatok keresésére és kivizsgálására képes, beleértve az EXT2, EXT3, FAT, NTFS és más merevlemezeket.
Könnyen használható, és nincs szükség telepítésre a Kali Linux rendszerbe, mivel előre telepített és előre konfigurált szállítmányt tartalmaz.
Dumpzilla
A Dumpzilla egy platformon átívelő, Python 3 nyelven írt parancssori eszköz, amelyet a kriminalisztikával kapcsolatos információk webböngészőkből történő kidobására használnak. Nem nyer ki adatokat vagy információkat, csak megjeleníti azokat a terminálon, amelyeket csövezhetünk, rendezhetünk és fájlokban tárolhatunk az operációs rendszer parancsai segítségével. Jelenleg csak olyan Firefox alapú böngészőket támogat, mint a Firefox, Seamonkey, Iceweasel stb.
Dumpzilla a következő információkat kaphatja meg a böngészőkből
- Meg tudja mutatni a felhasználó élő szörfözését füleken / ablakokban.
- Felhasználói letöltések, könyvjelzők és előzmények.
- Webes űrlapok (keresések, e-mailek, megjegyzések…).
- A korábban felkeresett webhelyek gyorsítótár / indexképei.
- Kiegészítők / kiterjesztések és használt utak vagy URL-ek.
- A böngésző mentette a jelszavakat.
- Cookie-k és munkamenet-adatok.
Használat: python dumpzilla.py browser_profile_directory [Opciók]
Opciók:
--Mind (mindent megmutat, kivéve a DOM adatokat. Nem vonja le a bélyegképeket vagy a HTML 5-t offline)
--Cookie-k [-showdom -domain
-teremt
--Engedélyek [-host
--Letöltések [-tartomány
--Forms [-érték
--Történelem [-url
-frekvencia]
--Könyvjelzők [-tartomány_könyvjelzők
... kivágás…
Digital Forensics Framework - DFF
A DFF egy fájl-helyreállító eszköz és a Forensics fejlesztői platform Pythonban és C-ben írva++. Eszközöket és szkripteket tartalmaz mind a parancssorral, mind a grafikus felhasználói felülettel. A törvényszéki nyomozás elvégzésére, valamint a digitális bizonyítékok összegyűjtésére és jelentésére szolgál.
Könnyen használható, és a számítógépes szakemberek, valamint a kezdők is használhatják a digitális kriminalisztikai információk gyűjtésére és megőrzésére. Itt megvitatjuk néhány jó tulajdonságát
- Helyi, valamint távoli eszközökön végezhet kriminalisztikát és helyreállítást.
- Parancssori és grafikus felhasználói felület grafikus nézetekkel és szűrőkkel.
- Helyreállíthatja a partíciókat és a virtuális gép-meghajtókat.
- Kompatibilis sok fájlrendszerrel és formátummal, beleértve a Linuxot és a Windows-ot is.
- Visszaállíthatja a rejtett és törölt fájlokat.
- Visszaállíthatja az adatokat az ideiglenes memóriából, például a hálózatról, a folyamatról stb
DFF
Digitális törvényszéki keretrendszer
Használat: / usr / bin / dff [opciók]
Opciók:
-v --verzió az aktuális verzió megjelenítése
-g - grafikus indítás grafikus felület
-b --batch = FILENAME végrehajtja a FILENAME fájlban található köteget
-l --language = LANG a LANG-t használja az interfész nyelveként
-h - help jelenítse meg ezt a súgó üzenetet
-d - hibakeresés átirányítja az IO-t a rendszerkonzolra
--verbosity = LEVEL beállította a bőbeszédűségi szintet a hibakeresés során [0-3]
-c --config = FILEPATH használja a FILEPATH konfigurációs fájlt
Legelső
A Foremost egy gyorsabb és megbízható parancssori alapú helyreállítási eszköz az elveszett fájlok visszaszerzéséhez a Forensics Operations alkalmazásban. A legfontosabb az, hogy képes dolgozni a dd, a Safeback, az Encase stb. Által generált képeken, vagy közvetlenül a meghajtón. A legfontosabb az exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar és még sok más fájltípus helyreállítása.
[e-mail védett]: ~ # elöl -hlegelső verzió x.x.x Jesse Kornblum, Kris Kendall és Nick Mikus.
$ legelső [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - a szerzői jogi információk megjelenítése és kilépés
-t - adja meg a fájltípust. (-t jpeg, pdf…)
-d - a közvetett blokkfelismerés bekapcsolása (UNIX fájlrendszerek esetén)
-i - adja meg a bemeneti fájlt (az alapértelmezett stdin)
-a - Írjon minden fejlécet, ne végezzen hibajelzést (sérült fájlok)
-w - Csak az ellenőrzési fájlt írja, a felismert fájlokat ne írja a lemezre
-o - a kimeneti könyvtár beállítása (alapértelmezés szerint a kimenet)
-c - állítsa be a konfigurációs fájlt (alapértelmezés szerint a legfontosabb.konf)
... kivágás…
Használati példa
[e-mail védett]: ~ # legelső -t exe, jpeg, pdf, png -i fájl-kép.dd
Feldolgozás: fájl-kép.dd
... kivágás…
Következtetés
Kali a híres behatolási tesztelő eszközeivel együtt egy teljes füllel is rendelkezik, amely a „Forensics” számára készült. Külön „Forensics” móddal rendelkezik, amely csak az élő USB-k számára érhető el, amelyekben nem csatlakoztatja a gazdagép partícióit. Támogatása és jobb kompatibilitása miatt Kali egy kicsit előnyösebb más Forensics disztribútorokkal szemben, mint például a CAINE.