Phenquestions
1. ábra: Kali Linux
Általánosságban, ha számítógépes rendszeren végeznek kriminalisztikát, kerülni kell minden olyan tevékenységet, amely megváltoztathatja vagy módosíthatja a rendszer adatelemzését. Más modern asztali számítógépek általában zavarják ezt a célt, de a Kali Linux rendszerindító menüjén keresztül engedélyezhet egy speciális kriminalisztikai módot.
Binwalk eszköz:
A Binwalk egy törvényszéki eszköz Kaliban, amely egy megadott bináris képben keres futtatható kódot és fájlokat. Azonosítja az összes fájlt, amely bármilyen firmware képbe be van ágyazva. Nagyon hatékony, „libmagic” néven ismert könyvtárat használ, amely a mágikus aláírásokat rendezi a Unix fájl segédprogramban.
2. ábra: Binwalk CLI eszköz
Tömeges elszívó eszköz:
Az ömlesztett eszköz a digitális bizonyítékként használt hitelkártyaszámokat, URL-linkeket, e-mail címeket vonja ki. Ez az eszköz lehetővé teszi a rosszindulatú programok és behatolási támadások, személyazonosság-vizsgálatok, számítógépes biztonsági rések és jelszó feltörések azonosítását. Az eszköz különlegessége, hogy nem csak normál adatokkal működik, hanem tömörített adatokon és hiányos vagy sérült adatokon is.
3. ábra: Tömeges kiszedő parancssori eszköz
HashDeep eszköz:
A hashdeep eszköz a dc3dd hashing eszköz módosított változata, amelyet kifejezetten a digitális kriminalisztikához terveztek. Ez az eszköz tartalmazza a fájlok automatikus kivonatolását, azaz.e., sha-1, sha-256 és 512, tigris, pezsgőfürdő és md5. A hibanaplófájl automatikusan íródik. Az előrehaladási jelentések minden kimenettel elkészülnek.
4. ábra: HashDeep CLI interfész eszköz.
Varázslatos mentési eszköz:
A mágikus mentés egy törvényszéki eszköz, amely letiltott eszközön végez szkennelési műveleteket. Ez az eszköz varázsbájtokat használ az összes ismert fájltípus kivonására az eszközről. Ez megnyitja az eszközöket a fájltípusok beolvasására és olvasására, és megmutatja a törölt vagy sérült partíciók helyreállításának lehetőségét. Minden fájlrendszerrel működhet.
5. ábra: Varázslatos mentési parancssori felület eszköz
Szike eszköz:
Ez a törvényszéki eszköz lefaragja az összes fájlt és indexeli azokat az alkalmazásokat, amelyek Linuxon és Windowson futnak. A szike eszköz támogatja a többszálas végrehajtást több magos rendszereken, amelyek segítenek a gyors végrehajtásban. A fájlfaragást töredékekben, például reguláris kifejezésekben vagy bináris karakterláncokban hajtják végre.
6. ábra: Szike törvényszéki faragó eszköz
Scrounge-NTFS eszköz:
Ez a törvényszéki segédprogram segít az adatok lekérésében a sérült NTFS lemezekről vagy partíciókról. Megmenti az adatokat a sérült fájlrendszerből egy új működő fájlrendszerbe.
7. ábra: Törvényszéki adat-helyreállítási eszköz
Guymager eszköz:
Ezt a törvényszéki segédprogramot kriminalisztikai képekhez használt média megszerzésére használják, és grafikus felhasználói felülettel rendelkezik. Többszálas adatfeldolgozásának és tömörítésének köszönhetően nagyon gyors eszköz. Ez az eszköz támogatja a klónozást is. Lapos, AFF és EWF képeket generál. A felhasználói felület nagyon könnyen használható.
8. ábra: Guymager GUI kriminalisztikai segédprogram
Pdfid eszköz:
Ezt a törvényszéki eszközt pdf fájlokban használják. Az eszköz megvizsgálja a pdf fájlokat bizonyos kulcsszavak után, ami lehetővé teszi a futtatható kódok azonosítását megnyitáskor. Ez az eszköz megoldja a pdf fájlokkal kapcsolatos alapvető problémákat. A gyanús fájlokat ezután elemzi a pdf-elemző eszköz.
9. ábra: Pdfid parancssori interfész segédprogram
Pdf-elemző eszköz:
Ez az eszköz az egyik legfontosabb törvényszéki eszköz a pdf fájlok számára. A pdf-parser elemzi a pdf dokumentumot, és megkülönbözteti az elemzés során felhasznált fontos elemeket, és ez az eszköz nem teszi ezt a pdf dokumentumot.
10. ábra: Pdf-értelmező CLI törvényszéki eszköz
Peepdf eszköz:
Python eszköz, amely a pdf dokumentumokat kutatja, hogy kiderítse, ártalmatlan vagy romboló. A PDF elemzés elvégzéséhez szükséges összes elemet egyetlen csomagban tartalmazza. Gyanús entitásokat mutat, és támogatja a különféle kódolásokat és szűrőket. A titkosított dokumentumokat is elemezheti.
11. ábra: Peepdf python eszköz a pdf vizsgálathoz.
Boncoló eszköz:
A boncolás egy törvényszéki segédprogramban áll rendelkezésre az adatok gyors helyreállítása és a hash szűrése érdekében. Ez az eszköz a törölt fájlokat és adathordozókat faragja le nem rendelt helyről a PhotoRec használatával. Az EXIF kiterjesztésű multimédiát is kibonthatja. A boncolás kompromisszumjelzőt keres a STIX könyvtár segítségével. A parancssorban és a GUI felületen is elérhető.
12. ábra: Boncolás, mindez egy törvényszéki segédprogram-csomagban
img_cat eszköz:
Az img_cat eszköz egy képfájl kimeneti tartalmát adja meg. A helyreállított képfájlok metaadatokat és beágyazott adatokat tartalmaznak, ami lehetővé teszi, hogy azokat nyers adatokká konvertálja. Ez a nyers adat segíti a kimenet továbbítását az MD5 kivonat kiszámításához.
13. ábra: img_cat beágyazott adatok a nyers adatok helyreállításához és átalakítóvá.
ICAT eszköz:
Az ICAT egy Sleuth Kit eszköz (TSK), amely egy fájl kimenetét hozza létre azonosítója vagy inode száma alapján. Ez a törvényszéki eszköz rendkívül gyors, és megnyitja a megnevezett fájlképeket, és szabványos kimenetre másolja egy adott inode számmal. Az inode a Linux rendszer egyik adatstruktúrája, amely adatokat és információkat tárol egy Linux fájlról, például a tulajdonjogot, a fájl méretét, a típusát, az írási és az olvasási engedélyeket.
14. ábra: ICAT konzol alapú interfész eszköz
Srch_strings eszköz:
Ez az eszköz életképes ASCII és Unicode karakterláncokat keres a bináris adatokban, majd kinyomtatja az adatokban található eltolási karakterláncot. Az srch_strings eszköz kibontja és beolvassa a fájlban található karakterláncokat, és offset bájtot ad, ha meghívják.
15. ábra: Karakterlánc-visszakereső törvényszéki eszköz
Következtetés:
Ez a 14 eszköz a Kali Linux live és telepítő képeivel érkezik, és nyílt forráskódúak és szabadon elérhetők. A Kali régebbi verziója esetén javasolnám a legújabb verzió frissítését, hogy ezeket az eszközöket közvetlenül megszerezzük. Számos más törvényszéki eszköz létezik, amelyekkel a következőkben foglalkozunk. Lásd a cikk 2. részét itt.
