Phenquestions
Introduksjon
Forrige gang dekket vi 14 rettsmedisinske verktøy som er til stede i Kali Linux og forklarte deres formål og spesielle evner. I dag skal vi presentere 14 rettsmedisinske verktøy, som kommer fra et kjent bibliotek, "The Sleuth Kit" (TSK), pakket i 2020-oppdateringen av Kali Linux. Du finner disse verktøyene i rullegardinlisten Forensics under navnet Sleuth Kit Suite-verktøy i Kali Whisker Menu.
blkcalc
Blkcalc-verktøyet er et rettsmedisinsk verktøy som konverterer ikke-tildelte diskpunkter til vanlige diskpunkter. Dette programmet lager et punktnummer som kartlegger to bilder. Ett av disse bildene er normalt, og det andre inneholder ikke tildelte punktnumre til det første bildet. Dette verktøyet kan støtte mange filsystemtyper. Hvis et filsystem ikke er definert i starten, har blkcalc den unike funksjonen til autodeteksjonsmetoder for å finne filsystemtypen.
tsk_comparedir
Ved hjelp av verktøyet tsk_comparedir sammenlignes innholdet på bildet med innholdet i sammenligningskatalogen. Dette er det beste verktøyet i testfasen for å identifisere rootkits (skadelig kode eller filer). Rootkit-testen utføres ved å sammenligne innholdet i den lokale katalogen med en lokal rå enhet. Disse rootkits er ikke skjult når du får tilgang til dem og leser dem fra en rå enhet.
tsk_gettimes
Det rettsmedisinske verktøyet tsk_gettimes er basert på et bibliotek med sleuth kit. Dette verktøyet samler MAC-tider (deler av filsystemmetadata) fra et spesifisert diskbilde og konverterer tidene til en kroppsfil. Verktøyet tsk_gettimes undersøker hvert filsystem i en diskpartisjon eller bilde og behandler dataene inne. Utdataene fra dette verktøyet er diskbildedataene i et MAC-tidsformat, som deretter kan brukes som en inngang til systemet for å generere en kronologi av filaktiviteten. Dataene skrives deretter ut som en fil gjennom STDOUT-kommandoen.
blkcat
Blkcat-verktøyet er et raskt og effektivt rettsmedisinsk verktøy pakket i Kali. Hensikten med dette verktøyet er å vise innholdet i dataene som er lagret i et filsystems diskbilde. Utgangen viser antall dataenheter, med utgangspunkt i enhetens hovedadresse og utskrifter, i forskjellige formater som kan spesifiseres og sorteres. Som standard er utdataformatet rå, og det kalles også dcat.
tsk_loaddb
Verktøyet tsk_loaddb laster metadataene fra diskbildet til en SQLite-database, som er en brukbar database for analyse av andre programvareverktøy. Databasen er lagret i bildekatalogen for enkel tilgang. Dette verktøyet støtter mange filsystemer og kan beregne MD5-hashverdien for hver fil.
blkstat
Sleuth kit-verktøyet blkstat viser all informasjon om dataenhetene til et filsystem. Dette verktøyet returnerer data om tildelingsstatus for en blokk eller en sektor av et filsystem. Dette verktøyet kan bruke addr-kommandoen, som viser statistikken til et stykke data, og kalles også dstat.
finn
Ffind-verktøyet bruker en inode for å søke etter navnet på katalogen eller filen i et diskbilde. Filene som er tilordnet en inode-filidentifikator på en diskpartisjon har navn; som standard vil dette verktøyet bare returnere fornavnet det finner. Ffind-verktøyet kan til og med finne slettede filnavn, som er spesialfunksjonen til dette verktøyet. I tillegg kan ffind-verktøyet også finne flere filnavn.
hfind
Hfind-verktøyet søker etter hashverdier i hash-databaser. Hash-verdiene blir søkt ved hjelp av den binære søkealgoritmen. Hensikten med å bruke denne algoritmen er å la brukerne enkelt lage hash-databaser og raskt identifisere en fil, enten den er kjent eller ukjent. Dette verktøyet bruker NSRL-biblioteket og returnerer md5sum. Dette verktøyet er veldig effektivt, ettersom det oppretter en indeksfil som allerede er sortert og har oppføringer med fast lengde, noe som gjør søket veldig raskt.
fls
Navnet fls innebærer begrepet "ls", som står for å liste opp innholdet i en mappe. FLS-verktøyet viser alle filnavnene og katalogene i en bildefil, og kan til og med vise navn på filer som nylig ble fjernet. Hvis filidentifikatoren eller inoden ikke brukes, brukes rotkatalogen.
mmcat
MMcat-verktøyet er et rettsmedisinsk verktøy som returnerer innholdet i en partisjon gjennom utskriftsfunksjonen. Dette verktøyet trekker ut alle dataene i en partisjon i en egen fil.
sigfind
Dette verktøyet finner den binære signaturen som er tilstede i en fil. Denne binære signaturen kalles hex_signature, som er tilstede i hver fil. Dette verktøyet kan brukes til å finne tapte superblokker, partisjoner eller bildetabeller og oppstartssektorer. Det heksadesimale formatet skal brukes til å finne den binære signaturen.
jeg finner
Dette verktøyet ser opp rådatastrukturen til en fil, som er tildelt i en bestemt diskenhet eller et filnavn. Noen ganger kan noen av disse metadatastrukturene ikke tildeles, men dette verktøyet vil fremdeles oppnå resultatene.
sorterer
Sorteringsverktøyet er et "perl" -skriptverktøy som utfører sortering på et filsystem for å ordne det i tildelte og ikke tildelte filer, basert på filtypen. Dette verktøyet kjører en kommando på hver fil og sorterer filene i henhold til konfigurasjonsfilene. Filtyper inkluderer skjulte filer, hash-filer for hash-databaser, filer som er kjent for å være gode, og de som bør endres. Konfigurasjonsfilene som brukes, er som standard hentet fra hvor verktøyet er installert, men dette kan endres med kjøretidsbeslutninger.
tsk_recover
Dette verktøyet overfører filer fra en diskpartisjon til en lokal rotkatalog. De gjenopprettede filene er som standard bare tildelte filer. Gjennom visse kommandoer kan alle filer eksporteres.
Konklusjon
Disse 14 verktøyene leveres med Kali Linux live, samt installasjonsbilder, og de er åpen kildekode og fritt tilgjengelig. Disse verktøyene finner du i Kali whisker-menyen i en mappe som heter Sleuth Kit Suite. Verktøyene mottar hyppige oppdateringer fra TSK for mindre feilrettinger.
