Kriminalisztika

Kali Linux Legjobb Forensic Tools (2020) (2. rész)

Kali Linux Legjobb Forensic Tools (2020) (2. rész)

Bevezetés

Legutóbb 14 törvényszéki eszközt ismertettünk, amelyek jelen vannak a Kali Linux-ban, és ismertettük azok célját és speciális képességeit. Ma 14 törvényszéki eszközt mutatunk be, amelyek egy híres könyvtárból, a „The Sleuth Kit” (TSK) könyvtárból származnak, a Kali Linux 2020-as frissítésébe csomagolva. Ezeket az eszközöket megtalálhatja a Forráskutatás legördülő listában, a Sleuth Kit Suite eszközök néven a Kali Whisker menüben.

blkcalc

A blkcalc eszköz egy törvényszéki eszköz, amely átalakítja a fel nem osztott lemezpontokat szokásos lemezpontokká. Ez a program létrehoz egy pontszámot, amely két képet leképez. Ezen képek egyike normális, a másik pedig az első kép fel nem osztott pontszámait tartalmazza. Ez az eszköz sok fájlrendszertípust támogat. Ha a fájlrendszer nincs definiálva az elején, akkor a blkcalc rendelkezik az automatikus észlelési módszerek egyedülálló tulajdonságával a fájlrendszer típusának megkereséséhez.

tsk_comparedir

A tsk_comparedir eszköz segítségével a kép tartalmát összehasonlítjuk az összehasonlító könyvtár tartalmával. Ez a legjobb eszköz a tesztelési szakaszban a rootkitek (rosszindulatú kód vagy fájlok) azonosításához. A rootkit tesztet úgy hajtják végre, hogy összehasonlítják a helyi könyvtár tartalmát egy helyi nyers eszközzel. Ezek a rootkitek nincsenek elrejtve, ha nyers eszközről érik el őket, és olvassák őket.

tsk_gettimes

A tsk_gettimes törvényszéki eszköz egy sleuth kit könyvtáron alapul. Ez az eszköz összegyűjti a MAC időket (a fájlrendszer metaadatainak darabjait) egy megadott lemezképről, és az időket testfájlokká alakítja. A tsk_gettimes eszköz megvizsgálja a lemezpartíció vagy kép minden fájlrendszerét, és feldolgozza a benne lévő adatokat. Ennek az eszköznek a kimenete a lemezképadatok MAC idő törzsformátumban, amelyek felhasználhatók a rendszer bemeneteként a fájltevékenység kronológiájának előállításához. Ezután az adatokat fájlként kinyomtatják az STDOUT paranccsal.

blkcat

A blkcat eszköz egy gyors és hatékony törvényszéki eszköz, amelyet Kali belsejébe csomagolnak. Ennek az eszköznek a célja a fájlrendszer lemezképén tárolt adatok tartalmának megjelenítése. A kimenet az egységek számát jeleníti meg, kezdve az egység fő címével és nyomtatásával, különböző formátumokban, amelyek megadhatók és rendezhetők. Alapértelmezés szerint a kimeneti formátum nyers, és dcat-nak is hívják.

tsk_loaddb

A tsk_loaddb eszköz betölti a metaadatokat a lemezképről egy SQLite adatbázisba, amely használható adatbázis más szoftvereszközök elemzéséhez. Az adatbázist az egyszerű hozzáférés érdekében a képkönyvtárban tároljuk. Ez az eszköz sok fájlrendszert támogat, és minden fájlhoz kiszámíthatja az MD5 kivonatolási értéket.

blkstat

A blkstat sleuth kit eszköz megmutatja a fájlrendszer adategységeire vonatkozó összes információt. Ez az eszköz egy blokk vagy egy fájlrendszer szektorának kiosztási állapotáról ad vissza adatokat. Ez az eszköz használhatja az addr parancsot, amely megmutatja egy adat statisztikáját, és más néven dstat.

találni

Az ffind eszköz egy inode segítségével keresi meg a lemezképen található könyvtár vagy fájl nevét. A lemezpartíción az inode fájlazonosítóhoz rendelt fájlok neve van; alapértelmezés szerint ez az eszköz csak a megtalált keresztnevet adja vissza. Az ffind eszköz akár törölt fájlneveket is megtalál, ami ennek az eszköznek a speciális képessége. Ezenkívül az ffind eszköz több fájlnevet is megtalálhat.

hfind

A hfind eszköz kivonatértékeket keres a hash adatbázisokban. A kivonatolási értékeket a bináris keresési algoritmus segítségével keresik. Az algoritmus használatának célja, hogy a felhasználók könnyedén létrehozhassanak hash adatbázisokat és gyorsan azonosítsanak egy fájlt, legyen az ismert vagy ismeretlen. Ez az eszköz az NSRL könyvtárat használja, és az md5sum értéket adja vissza. Ez az eszköz nagyon hatékony, mivel egy indexfájlt hoz létre, amely már rendezett és rögzített hosszúságú bejegyzésekkel rendelkezik, ami nagyon gyorsvá teszi a keresést.

fls

Az fls név magában foglalja az „ls” kifejezést, amely egy mappa tartalmának felsorolását jelenti. Az fls eszköz felsorolja az összes fájlnevet és könyvtárat egy képfájlban, és megmutathatja a nemrégiben eltávolított fájlok nevét is. Ha a fájlazonosítót vagy inode-t nem használják, akkor a gyökérkönyvtárat kell használni.

mmcat

Az mmcat eszköz egy törvényszéki eszköz, amely a partíció tartalmát a nyomtatási funkción keresztül adja vissza. Ez az eszköz a partícióban lévő összes adatot külön fájlba vonja ki.

sigfind

Ez az eszköz megtalálja a fájlban található bináris aláírást. Ezt a bináris aláírást hex_signature-nek hívják, amely minden fájlban megtalálható. Ez az eszköz elveszett szuperblokkok, partíciók vagy képtáblák és indító szektorok megkeresésére használható. A bináris aláírás megkereséséhez a hexadecimális formátumot kell használni.

találom

Ez az eszköz megkeresi egy fájl nyers adatszerkezetét, amelyet egy adott lemezegységben vagy fájlnévben osztanak ki. Néha e meta-adatstruktúrák bármelyike ​​nem osztható fel, de ez az eszköz akkor is megkapja az eredményeket.

válogató

A válogató eszköz egy „perl” szkript eszköz, amely rendezi a fájlrendszert annak érdekében, hogy a fájltípus alapján elosztott és kiosztatlan fájlokká rendezze. Ez az eszköz minden fájlhoz futtat egy parancsot, és a fájlokat a konfigurációs fájlok szerint rendezi. A fájltípusok tartalmazzák a rejtett fájlokat, a hash adatbázisok hash fájljait, a jónak ismert fájlokat és azokat, amelyeket meg kell változtatni. A felhasznált konfigurációs fájlokat alapértelmezés szerint az eszköz telepítési helyéről veszik át, de ez futtatási idejű döntésekkel megváltoztatható.

tsk_recover

Ez az eszköz fájlokat visz át egy lemezpartícióról egy helyi gyökérkönyvtárba. A helyreállított fájlok alapértelmezés szerint csak nem kiosztott fájlok. Bizonyos parancsok révén az összes fájl exportálható.

Következtetés

Ez a 14 eszköz a Kali Linux live, valamint a telepítő képekkel együtt érkezik, és nyílt forráskódúak és szabadon elérhetők. Ezek az eszközök megtalálhatók a Kali bajusz menüjében a Sleuth Kit Suite nevű mappában. Az eszközök gyakori frissítéseket kapnak a TSK-tól a kisebb hibajavítások miatt.

Egér Az egér bal oldali gombja nem működik a Windows 10 rendszeren
Az egér bal oldali gombja nem működik a Windows 10 rendszeren
Ha dedikált egeret használ laptopjával vagy asztali számítógépével, de a az egér bal gombja nem működik a Windows 10/8/7 rendszeren valamilyen oknál f...
Egér A kurzor véletlenszerűen ugrik vagy mozog, miközben gépel a Windows 10-ben
A kurzor véletlenszerűen ugrik vagy mozog, miközben gépel a Windows 10-ben
Ha úgy találja, hogy az egér kurzor önállóan, automatikusan, véletlenszerűen ugrik vagy mozog, miközben gépel Windows laptopba vagy számítógépbe, akko...
Egér Az egér és az érintőpadok görgetési irányának megfordítása a Windows 10 rendszerben
Az egér és az érintőpadok görgetési irányának megfordítása a Windows 10 rendszerben
Egér és Érintőpads nemcsak a számítást könnyűvé, de hatékonyabbá és kevésbé időigényessé is teszi. Nem tudunk elképzelni egy életet ezek nélkül az esz...