Phenquestions
Rettsmedisin blir veldig viktig i Cyber Security for å oppdage og backtrack Black Hat Criminals. Det er viktig å fjerne Hackers ondsinnede bakdører / malware og spore dem tilbake for å unngå mulige fremtidige hendelser. I Kali's Forensics-modus monterer ikke operativsystemet noen partisjon fra systemets harddisk og etterlater ingen endringer eller fingeravtrykk på vertssystemet.
Kali Linux leveres med forhåndsinstallerte populære rettsmedisinske applikasjoner og verktøysett. Her vil vi gjennomgå noen berømte open source-verktøy som er tilstede i Kali Linux.
Bulk Extractor
Bulk Extractor er et rikholdig verktøy som kan trekke ut nyttig informasjon som kredittkortnumre, domenenavn, IP-adresser, e-post, telefonnummer og URL-er fra bevis Harddisker / filer funnet under Forensics Investigation. Det er nyttig i å analysere bilde eller skadelig programvare, hjelper også i cyberetterforskning og passordsprekking. Den bygger ordlister basert på informasjon funnet fra bevis som kan hjelpe til med å knekke passord.
Bulk Extractor er populær blant andre verktøy på grunn av sin utrolige hastighet, kompatibilitet med flere plattformer og grundighet. Det er raskt på grunn av funksjonene med flere tråder, og det har muligheten til å skanne alle typer digitale medier som inkluderer harddisker, SSD-er, mobiltelefoner, kameraer, SD-kort og mange andre typer.
Bulk Extractor har følgende kule funksjoner som gjør det mer foretrukket,
- Den har grafisk brukergrensesnitt kalt “Bulk Extractor Viewer” som brukes til å samhandle med Bulk Extractor
- Den har flere utgangsalternativer som å vise og analysere utdataene i histogram.
- Det kan enkelt automatiseres ved hjelp av Python eller andre skriptspråk.
- Den leveres med noen forhåndsskrevne skript som kan brukes til å utføre ytterligere skanning
- Den har flere tråder, kan være raskere på systemer med flere CPU-kjerner.
Bruk: bulk_extractor [opsjoner] bildefil
kjører bulkavsug og utganger for å vise et sammendrag av hva som ble funnet hvor
Nødvendige parametere:
imagefile - filen du skal trekke ut
eller -R arkivert - resirkuler gjennom en katalog med filer
HAR STØTTE FOR E01-FILER
HAR STØTTE FOR AFF-FILER
-o outdir - spesifiserer utdatakatalogen. Må ikke eksistere.
bulk_extractor oppretter denne katalogen.
Alternativer:
-i - INFO-modus. Gjør et raskt tilfeldig utvalg og skriv ut en rapport.
-b banner.txt- Legg til banner.txt innhold til toppen av hver utdatafil.
-r varslingsliste.txt - en fil som inneholder varslingslisten over funksjoner som skal varsles
(kan være en funksjonsfil eller en liste over globus)
(kan gjentas.)
-w stoppliste.txt - en fil som inneholder stopplisten med funksjoner (hvit liste
(kan være en funksjonsfil eller en liste over globs) s
(kan gjentas.)
-F
-f
resultatene går i finne.tekst
... snip ..
Brukseksempel
[e-postbeskyttet]: ~ # bulk_extractor -o output secret.img
Autopsi
Obduksjon er en plattform som brukes av cyberetterforskere og rettshåndhevelser for å gjennomføre og rapportere kriminaltekniske operasjoner. Den kombinerer mange individuelle verktøy som brukes til rettsmedisin og gjenoppretting, og gir dem grafisk brukergrensesnitt.
Autopsi er et åpen kildekode, gratis og plattformoverskridende produkt som er tilgjengelig for Windows, Linux og andre UNIX-baserte operativsystemer. Obduksjon kan søke og undersøke data fra harddisker i flere formater, inkludert EXT2, EXT3, FAT, NTFS og andre.
Det er enkelt å bruke, og det er ikke nødvendig å installere i Kali Linux, da det leveres med forhåndsinstallert og forhåndskonfigurert.
Dumpzilla
Dumpzilla er et kommandolinjeverktøy på tvers av plattformer skrevet på Python 3-språk som brukes til å dumpe rettsmedisinsk informasjon fra nettlesere. Det trekker ikke ut data eller informasjon, bare viser det i terminalen som kan pipes, sorteres ut og lagres i filer ved hjelp av operativsystemkommandoer. Foreløpig støtter den bare Firefox-baserte nettlesere som Firefox, Seamonkey, Iceweasel osv.
Dumpzilla kan få følgende informasjon fra nettlesere
- Kan vise live surfing av bruker i faner / vindu.
- Brukernedlastinger, bokmerker og historie.
- Webskjemaer (søk, e-post, kommentarer ...).
- Cache / miniatyrbilder av tidligere besøkte nettsteder.
- Tillegg / utvidelser og brukte stier eller nettadresser.
- Nettleser lagrede passord.
- Informasjon om informasjonskapsler og økter.
Bruk: python dumpzilla.py browser_profile_directory [Alternativer]
Alternativer:
--Alle (Viser alt annet enn DOM-data. Tar ikke ut miniatyrbilder eller HTML 5 offline)
--Cookies [-showdom -domain
-skape
--Tillatelser [-host
--Nedlastinger [-rekke
--Skjemaer [-verdi
--Historie [-url
-Frekvens]
--Bokmerker [-range_bokmerker
... snip ..
Digital Forensics Framework - DFF
DFF er et verktøy for filgjenoppretting og utviklingsplattform for Forensics skrevet i Python og C++. Den har sett med verktøy og skript med både kommandolinje og grafisk brukergrensesnitt. Den brukes til å utføre rettsmedisinsk etterforskning og til å samle inn og rapportere digitale bevis.
Den er enkel å bruke og kan brukes av Cyber Professionals så vel som nybegynnere for å samle og bevare digital Forensics Info. Her vil vi diskutere noen av de gode funksjonene
- Kan utføre rettsmedisin og gjenoppretting på lokale så vel som eksterne enheter.
- Både kommandolinje og grafisk brukergrensesnitt med grafiske visninger og filtre.
- Kan gjenopprette partisjoner og virtuelle maskinstasjoner.
- Kompatibel med mange filsystemer og formater, inkludert Linux og Windows.
- Kan gjenopprette skjulte og slettede filer.
- Kan gjenopprette data fra midlertidig minne som nettverk, prosess og etc
DFF
Digital rettsmedisinsk rammeverk
Bruk: / usr / bin / dff [opsjoner]
Alternativer:
-v - versjon vise gjeldende versjon
-g - grafisk lansering grafisk grensesnitt
-b --batch = FILENAME utfører batch som er inneholdt i FILENAME
-l - språk = LANG bruk LANG som grensesnitt språk
-h --hjelp med å vise denne hjelpemeldingen
-d --debug omdirigere IO til systemkonsollen
--verbosity = LEVEL angi detaljnivå ved feilsøking [0-3]
-c --config = FILEPATH bruk konfigurasjonsfil fra FILEPATH
Fremst
Fremst er et raskere og pålitelig kommandolinjebasert gjenopprettingsverktøy for å få tilbake tapte filer i Forensics Operations. Fremst har evnen til å jobbe med bilder generert av dd, Safeback, Encase, etc, eller direkte på en stasjon. Fremst kan gjenopprette exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar og mange andre filtyper.
[e-postbeskyttet]: ~ # fremst -hfremste versjon x.x.x av Jesse Kornblum, Kris Kendall og Nick Mikus.
$ fremst [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - vis copyright-informasjon og avslutt
-t - spesifiser filtype. (-t jpeg, pdf ...)
-d - slå på indirekte blokkeringsdeteksjon (for UNIX-filsystemer)
-i - spesifiser inndatafil (standard er stdin)
-a - Skriv alle overskrifter, utfør ingen feilregistrering (ødelagte filer)
-w - Skriv kun revisjonsfilen, ikke skriv noen oppdagede filer til disken
-o - angi utdatakatalog (standard som utdata)
-c - angi konfigurasjonsfilen som skal brukes (som standard.conf)
... snip ..
Brukseksempel
[e-postbeskyttet]: ~ # fremst -t exe, jpeg, pdf, png -i filbilde.dd
Behandling: filbilde.dd
... snip ..
Konklusjon
Kali, sammen med sine berømte Penetration-testverktøy, har også en hel fane dedikert til "Forensics". Den har en egen “Forensics” -modus som bare er tilgjengelig for Live USB-er der den ikke monterer vertens partisjoner. Kali er litt å foretrekke fremfor andre rettsmedisinske distribusjoner som CAINE på grunn av sin støtte og bedre kompatibilitet.
