Boncolás
Úgy vélem, hogy a boncolás, amely alapértelmezés szerint a CAINE-n és a Kali Linuxon érkezik, az első eszköz, amely a kriminalisztikával ismerkedhet meg, mivel grafikus és intuitív kezelőfelülete a számítógépes kriminalisztikai eszközök kezeléséhez. A boncolás optimalizálja a folyamatot több processzormag használatával, miközben a háttérben fut, és előre meg tudja mondani, hogy a folyamat pozitív eredményhez vezet-e. A boncolás grafikus felületként is használható a különböző parancssori eszközökhöz, támogatja a kiterjesztéseket az integrációhoz olyan harmadik fél eszközeivel, mint a PhotoRec, amely már szerepel a LinuxHint-en a funkciók javítása és hozzáadása céljából.
Mint mondták, alapértelmezés szerint a Kali-n érkezik, a Debian és az Ubuntu felhasználók futtatásával kaphatják meg a boncolást:
apt install bonc -y
Hivatalos honlap: https: // www.sleuthkit.org / boncolás /
CAINE (számítógéppel segített nyomozati környezet)
A CAINE egy Ubuntu Linux alapú disztribúció, amelyet kifejezetten számítógépes kriminalisztikai célokra terveztek, alapértelmezés szerint a boncolással érkezik, és nagyon barátságos környezetet teremt a felhasználó számára. A CAINE nagyszerű asszisztens operációs rendszerként, mivel alapértelmezés szerint alkalmazza az általános kriminalisztikai gyakorlatokat, például megvédi a tárolóeszközöket a sérülésektől vagy felülírásoktól az igazságügyi eljárás során.
A CAINE egy naprakész Linux terjesztés, amelyet nagyon ajánlott a számítógépes kriminalisztika használatának megkezdéséhez.
Hivatalos honlap: https: // www.caine-live.háló/
P0f
A P0f egy elemző eszköz a különböző eszközök közötti, a hálózaton keresztüli kölcsönhatásra. A P0f képes azonosítani a passzív módban csatlakoztatott különböző eszközök által használt operációs rendszert és szoftvert, ahelyett, hogy csomagokat küldene a válasz elemzésére. A P0f csak későbbi elemzés céljából rögzíti a csomagokat, ezért vezethet jobb eredményekhez, mint az Nmap, amikor ujjlenyomatot készít. A P0f gyakorlati felhasználása magában foglalhatja a támadó észlelését egy folyamatban lévő pentesztelési munkamenet során, hálózati felügyeletet és további információkat a csatlakozásokról a megfelelő biztonsági intézkedések beállításához. A P0f sokáig nem volt frissítve, és P03 néven érkezett vissza a modern operációs rendszerek és szoftverek támogatásával. Egy későbbi cikkben különféle eszközökkel, többek között a P0f segítségével követjük nyomon a támadókat.
A Debian és az Ubuntu felhasználók a következő futtatással telepíthetik a P0f fájlt:
apt install p0f -y
Hivatalos honlap: http: // lcamtuf.coredump.cx / p0f3 /
Dumpzilla
A bűnügyi nyomozás során a böngészési tevékenység elemzése az első protokoll-lépés. Mint fentebb említettük, a boncolás lehetővé teszi számunkra, hogy engedélyezzük a kiterjesztéseket a felhasználó böngészési tevékenységének kutatásához. A Dumpzilla egy olyan eszköz, amely kifejezetten a böngészési adatok helyreállítására összpontosít a Mozilla Firefox böngészőkből vagy olyan származékokból, mint az Iceweasel vagy a Seamonkey. A Dumpzilla rengeteg értékes információt nyújthat nekünk, például felhasználónéveket, jelszavakat, böngészési előzményeket és a cookie-kban tárolt információkat, vagy a felhasználói beállításokat. Annak ellenére, hogy nagyon specifikus, a Dumpzilla futtatása a Firefox célpontjával ajánlott, annak ellenére, hogy az elmúlt két évben nem frissítették.
A Dumpzilla nem szerepel az alapértelmezett adattárakban, a következő címen szerezheti be: https: // github.com / Busindre / dumpzilla
Hivatalos honlap: https: // www.dumpzilla.org
Volatilitás
A volatilitás lehetővé teszi számunkra, hogy megvizsgáljuk egy eszköz élő RAM-ját, ami olyan információkat jelent, amelyek nem voltak tárolva a merevlemezen, de tárgyakat vagy nyomokat hagytak az élő RAM-on. Ez az eszköz, amely alapértelmezés szerint mind a CAINE, mind a Kali Linux alatt elérhető, hasznos információkhoz vezethet minket egy eszközön történt esemény után, például arról, hogy milyen események futottak vagy futnak egy esemény során. A volatilitás telepítéséhez a Debianon futtathat
apt install volatilitás -y
Hivatalos honlap: https: // www.volatilitásalapozás.org /
Chkrootkit
A RootKit egy rosszindulatú szoftver, amelyet helyben vagy távolról telepítettek egy eszközre, hogy törvénytelen hozzáférést biztosítsanak egy támadónak. Groteszk összehasonlítást végezhetünk a rootKits és a trójai szerverek között kis különbségek ellenére (a RootKIts további funkciókat tartalmaz). A RootKits módosíthatja a rendszerfájlokat és eltávolíthatja a törvénytelen behatolás nyomait. Itt jön a ChkRooKit, amely elemzi a bináris fájlokat a módosítások, naplók és egyéb nyomok után, amelyeket egy betolakodó eltávolíthat. A Debianon a chkrootkit futtatásával töltheti le:
apt install chkrootkit -y
Hivatalos honlap: http: // www.chkrootkit.org /
Remélem, hasznosnak találta ezt a cikket annak felismerésére, hogy a számítógépes kriminalisztika nem korlátozódik az informatikai gurukra, bárki könnyen elvégezheti a számítógépes kriminalisztikát a fent említett eszközökkel. Kövesse a LinuxHint alkalmazást, ha további tippeket és frissítéseket szeretne kapni a Linuxról.