Phenquestions
Autopsi
Jeg vurderer obduksjon, som kommer som standard på CAINE og Kali Linux, det første verktøyet som blir introdusert for rettsmedisin på grunn av det grafiske og intuitive grensesnittet for å administrere datamaskinens rettsmedisinske verktøy. Obduksjon optimaliserer prosessen ved å bruke flere prosessorkjerner mens den kjører i bakgrunnen, og kan fortelle deg på forhånd om prosessen vil føre til et positivt resultat. Autopsi kan også brukes som grafisk grensesnitt for forskjellige kommandolinjeverktøy, støtter utvidelser for integrering med tredjepartsverktøy som PhotoRec som allerede er omtalt på LinuxHint for å forbedre og legge til funksjoner.
Som sagt kommer det som standard på Kali-, Debian- og Ubuntu-brukere kan få obduksjon ved å kjøre:
apt installere obduksjon -y
Offisielt nettsted: https: // www.sleuthkit.org / obduksjon /
CAINE (datamaskinstøttet undersøkende miljø)
CAINE er en Linux Linux-basert distribusjon spesielt designet for datamaskinmedisin, den leveres med obduksjon som standard og skaper et meget vennlig miljø for brukeren. CAINE er en flott assistent, som et operativsystem, siden det gjelder som standard vanlig rettsmedisinsk praksis som å beskytte lagringsenhetene fra å bli ødelagt eller overskrevet under den rettsmedisinske prosessen.
CAINE er en oppdatert Linux-distribusjon som anbefales for å komme i gang med datamaskinmedisin.
Offisiell nettside: https: // www.caine-live.nett/
P0f
P0f er en analysator for samspillet mellom forskjellige enheter gjennom nettverk. P0f er i stand til å identifisere operativsystemet og programvaren som brukes av forskjellige enheter som er koblet til i passiv modus, i stedet for å sende pakker for å analysere svaret. P0f fanger bare pakker for senere analyse, det er derfor det kan føre til bedre resultater enn Nmap når fingeravtrykk. Praktisk bruk av P0f kan omfatte å oppdage en angriper under en pågående pentesting-økt, nettverksovervåking og tilleggsinformasjon om tilkoblinger for å sette opp riktige sikkerhetstiltak. P0f ble ikke oppdatert på lenge og har kommet tilbake som P03 med støtte for moderne operativsystem og programvare. I en fremtidig artikkel sporer vi angripere ved hjelp av forskjellige verktøy, inkludert P0f.
Debian- og Ubuntu-brukere kan installere P0f ved å kjøre:
apt install p0f -y
Offisiell nettside: http: // lcamtuf.coredump.cx / p0f3 /
Dumpzilla
Under en kriminell etterforskning er analyse av surfeaktivitet blant de første protokolltrinnene. Som sagt ovenfor, lar autopsi oss aktivere utvidelser for å undersøke brukerens nettaktivitet. Dumpzilla er et verktøy som er spesielt fokusert på å gjenopprette nettleserdata fra Mozilla Firefox-nettlesere eller derivater som Iceweasel eller Seamonkey. Dumpzilla kan gi oss mye verdifull informasjon som brukernavn, passord, nettlesingslogg og all informasjon som er lagret i informasjonskapsler eller brukerpreferanser. Til tross for at det er veldig spesifikt å kjøre Dumpzilla mot et mål med Firefox anbefales, til tross for at det ikke ble oppdatert de siste to årene.
Dumpzilla er ikke inkludert i standardregister, du kan få det fra: https: // github.com / Busindre / dumpzilla
Offisiell nettside: https: // www.dumpzilla.org
Volatilitet
Volatilitet lar oss undersøke live RAM på en enhet, noe som betyr informasjon som ikke ble lagret på harddisken, men som etterlot gjenstander eller spor på live RAM. Dette verktøyet, som kommer som standard både på CAINE og Kali Linux, kan føre oss til nyttig informasjon etter en hendelse på en enhet, som hvilke prosesser som kjørte eller kjørte under en hendelse. For å installere volatilitet på Debian kan du kjøre
apt installere volatilitet -y
Offisiell nettside: https: // www.volatilityfoundation.org /
Chkrootkit
En RootKit er skadelig programvare installert lokalt eller eksternt på en enhet for å gi ulovlig tilgang til en angriper, vi kan gjøre en groteske sammenligning mellom rootKits og trojanservere til tross for små forskjeller (RootKIts inkluderer tilleggsfunksjoner). RootKits kan endre systemfilene og fjerne spor av ulovlige inntrengninger. Her er hvor ChkRooKit analyserer binærfiler for modifikasjoner, logger og andre spor som kan bli fjernet av en inntrenger. På Debian kan du få chkrootkit ved å kjøre:
apt installere chkrootkit -y
Offisiell nettside: http: // www.chkrootkit.org /
Jeg håper du fant denne artikkelen nyttig for å innse at datamaskinmedisin ikke er begrenset til IT-guruer, alle kan enkelt utføre datamaskinmedisin med verktøyene nevnt ovenfor. Fortsett å følge LinuxHint for flere tips og oppdateringer om Linux.
