Phenquestions
Figur 1: Kali Linux
Generelt, når du utfører rettsmedisin på et datasystem, må enhver aktivitet som kan endre eller modifisere dataanalysen til systemet unngås. Andre moderne skrivebord forstyrrer vanligvis dette målet, men med Kali Linux gjennom oppstartsmenyen kan du aktivere en spesiell rettsmedisinmodus.
Binwalk-verktøy:
Binwalk er et rettsmedisinsk verktøy i Kali som søker i et spesifisert binært bilde etter kjørbar kode og filer. Den identifiserer alle filene som er innebygd i et fastvarebilde. Den bruker et veldig effektivt bibliotek kjent som "libmagic", som sorterer ut magiske signaturer i Unix filverktøy.
Figur 2: Binwalk CLI-verktøy
Bulktrekkverktøy:
Bulk extractor verktøy trekker ut kredittkortnumre, URL-lenker, e-postadresser, som brukes digital bevis. Dette verktøyet lar deg identifisere angrep på skadelig programvare og innbrudd, identitetsundersøkelser, cybersårbarhet og passordsprekking. Spesialiteten til dette verktøyet er at det ikke bare fungerer med normale data, men det fungerer også på komprimerte data og ufullstendige eller ødelagte data.
Figur 3: Kommandolinjeverktøy for bulkuttrekk
HashDeep-verktøy:
Hashdeep-verktøyet er en modifisert versjon av dc3dd hashing-verktøy designet spesielt for digital rettsmedisin. Dette verktøyet inkluderer automatisk hashing av filer, dvs.e., sha-1, sha-256 og 512, tiger, boblebad og md5. En feilloggfil blir automatisk skrevet. Fremdriftsrapporter genereres for hver utgang.
Figur 4: HashDeep CLI-grensesnittverktøy.
Magisk redningsverktøy:
Magic rescue er et rettsmedisinsk verktøy som utfører skanneoperasjoner på en blokkert enhet. Dette verktøyet bruker magiske byte for å trekke ut alle kjente filtyper fra enheten. Dette åpner enheter for skanning og lesing av filtyper og viser muligheten for å gjenopprette filer som er slettet eller ødelagt partisjon. Det kan fungere med alle filsystemer.
Figur 5: Magic Rescue kommandolinjegrensesnittverktøy
Skalpellverktøy:
Dette rettsmedisinske verktøyet skjærer alle filene og indekserer de applikasjonene som kjører på Linux og windows. Skalpellverktøyet støtter kjøring av flere tråder på flere kjernesystemer, noe som hjelper til raske kjøringer. File carving utføres i fragmenter som vanlige uttrykk eller binære strenger.
Figur 6: Scalpel rettsmedisinsk carving verktøy
Scrounge-NTFS verktøy:
Dette rettsmedisinske verktøyet hjelper til med å hente data fra ødelagte NTFS-disker eller partisjoner. Den redder data fra et ødelagt filsystem til et nytt fungerende filsystem.
Figur 7: Rettsmedisinsk datarekonstruksjonsverktøy
Guymager-verktøy:
Dette rettsmedisinske verktøyet brukes til å skaffe media for rettsmedisinske bilder og har et grafisk brukergrensesnitt. På grunn av sin databehandling og komprimering med flere tråder, er det et veldig raskt verktøy. Dette verktøyet støtter også kloning. Den genererer flate, AFF- og EWF-bilder. Brukergrensesnittet er veldig enkelt å bruke.
Figur 8: Guymager GUI rettsmedisinsk verktøy
Pdfid-verktøy:
Dette rettsmedisinske verktøyet brukes i pdf-filer. Verktøyet skanner pdf-filer for bestemte nøkkelord, som lar deg identifisere kjørbare koder når de åpnes. Dette verktøyet løser de grunnleggende problemene knyttet til pdf-filer. De mistenkelige filene blir deretter analysert med pdf-parser-verktøyet.
Figur 9: Pdfid kommandolinjegrensesnittverktøy
Pdf-parser-verktøy:
Dette verktøyet er et av de viktigste rettsmedisinske verktøyene for pdf-filer. pdf-parser analyserer et pdf-dokument og skiller de viktige elementene som ble brukt under analysen, og dette verktøyet gjengir ikke pdf-dokumentet.
Figur 10: Pdf-parser CLI rettsmedisinsk verktøy
Peepdf-verktøy:
Et pythonverktøy som utforsker pdf-dokumenter for å finne ut om det er ufarlig eller ødeleggende. Den inneholder alle elementene som trengs for å utføre pdf-analyse i en enkelt pakke. Den viser mistenkelige enheter og støtter forskjellige kodinger og filtre. Det kan også analysere krypterte dokumenter.
Figur 11: Peepdf python-verktøy for pdf-undersøkelse.
Obduksjonsverktøy:
En obduksjon er alt i ett rettsmedisinsk verktøy for rask datagjenoppretting og hashfiltrering. Dette verktøyet skjærer slettede filer og media fra ikke-allokert plass ved hjelp av PhotoRec. Det kan også trekke ut EXIF-utvidelsesmultimedia. Obduksjon skanner etter kompromissindikator ved hjelp av STIX-biblioteket. Den er tilgjengelig både i kommandolinjen og GUI-grensesnittet.
Figur 12: Obduksjon, alt i en rettsmedisinsk verktøypakke
img_cat verktøy:
img_cat-verktøyet gir utdatainnholdet i en bildefil. De gjenopprettede bildefilene vil ha metadata og innebygde data, som lar deg konvertere dem til rådata. Disse rådataene hjelper til med å lede utgangen for å beregne MD5-hash.
Figur 13: img_cat innebygde data til rådatagjenoppretting og omformer.
ICAT-verktøy:
ICAT er et Sleuth Kit-verktøy (TSK) som lager en utdata fra en fil basert på identifikatoren eller inodenummeret. Dette rettsmedisinske verktøyet er ekstremt raskt, og det åpner de navngitte filbildene og kopierer det til standardutdata med et spesifikt inodenummer. En inode er en av datastrukturene til Linux-systemet som lagrer data og informasjon om en Linux-fil, for eksempel eierskap, filstørrelse og type-, skrive- og lesetillatelser.
Figur 14: ICAT-konsollbasert grensesnittverktøy
Srch_strings verktøy:
Dette verktøyet ser etter levedyktige ASCII- og Unicode-strenger i binære data, og skriver deretter ut forskyvningsstrengen som finnes i disse dataene. srch_strings verktøy vil trekke ut og hente strengene som er tilstede i en fil og gir offset byte hvis det blir påkalt.
Figur 15: Retensinnsamling av rettsmedisinsk verktøy
Konklusjon:
Disse 14 verktøyene leveres med Kali Linux live, og installasjonsbilder, og de er åpen kildekode og fritt tilgjengelig. I tilfelle en eldre versjon av Kali, vil jeg foreslå en oppdatering til den nyeste versjonen for å få disse verktøyene direkte. Det er mange andre rettsmedisinske verktøy som vi vil dekke videre. Se del 2 av denne artikkelen her.
