Phenquestions
Криминалистиката става много важна в киберсигурността за откриване и проследяване на престъпниците от Black Hat. Важно е да премахнете злонамерените бекдори / зловредни програми на хакерите и да ги проследите обратно, за да избегнете евентуални бъдещи инциденти. В режима на Forensics на Kali, операционната система не монтира никакъв дял от твърдия диск на системата и не оставя промени или пръстови отпечатъци в системата на хоста.
Kali Linux се предлага с предварително инсталирани популярни криминалистични приложения и инструменти. Тук ще разгледаме някои известни инструменти с отворен код, присъстващи в Kali Linux.
Екстрактор за насипни товари
Bulk Extractor е богат инструмент, който може да извлече полезна информация като номера на кредитни карти, имена на домейни, IP адреси, имейли, телефонни номера и URL адреси от доказателства Твърди дискове / файлове, открити по време на разследването на криминалистика. Полезно е при анализирането на изображения или злонамерен софтуер, помага и при кибер разследване и разбиване на пароли. Той изгражда списъци с думи въз основа на информация, намерена от доказателства, които могат да помогнат при разбиването на пароли.
Bulk Extractor е популярен сред другите инструменти поради невероятната си скорост, съвместимост с множество платформи и задълбоченост. Той е бърз поради своите многонишкови функции и има възможност за сканиране на всякакъв вид дигитални носители, които включват твърди дискове, SSD дискове, мобилни телефони, камери, SD карти и много други видове.
Bulk Extractor има следните страхотни функции, които го правят по-предпочитан,
- Той има графичен потребителски интерфейс, наречен “Bulk Extractor Viewer”, който се използва за взаимодействие с Bulk Extractor
- Той има множество изходни опции като показване и анализ на изходните данни в хистограма.
- Той може лесно да се автоматизира с помощта на Python или други скриптови езици.
- Предлага се с някои предварително написани скриптове, които могат да се използват за допълнително сканиране
- Неговата многонишкова, може да бъде по-бърза в системи с множество процесорни ядра.
Използване: bulk_extractor [опции] imagefile
изпълнява групов екстрактор и извежда, за да изведе обобщение на това, къде е намерено
Необходими параметри:
imagefile - файлът за извличане
или -R fileir - извличане през директория с файлове
ИМА ПОДКРЕПА ЗА ФАЙЛОВЕ E01
ИМА ПОДКРЕПА ЗА ФАЙЛОВЕ AFF
-o outdir - указва изходна директория. Не трябва да съществува.
bulk_extractor създава тази директория.
Настроики:
-i - INFO режим. Направете бърза произволна проба и отпечатайте отчет.
-b банер.txt - Добавяне на банер.txt съдържание в горната част на всеки изходен файл.
-r alert_list.txt - файл, съдържащ списъка с предупреждения за функции за предупреждение
(може да бъде файл с функции или списък с глобуси)
(може да се повтори.)
-w списък със списък.txt - файл, съдържащ списък със спирки на функции (бял списък
(може да бъде файл с функции или списък с глобуси) s
(може да се повтори.)
-F
-е
резултатите влизат в find.текст
... изрязване ..
Пример за употреба
[имейл защитен]: ~ # bulk_extractor -o изходна тайна.img
Аутопсия
Аутопсията е платформа, която се използва от кибер разследващите и правоприлагащите органи за провеждане и докладване на криминалистични операции. Той съчетава много отделни помощни програми, които се използват за криминалистика и възстановяване и им предоставя графичен потребителски интерфейс.
Autopsy е продукт с отворен код, безплатен и с различни платформи, който е достъпен за Windows, Linux и други UNIX базирани операционни системи. Аутопсията може да търси и изследва данни от твърди дискове от множество формати, включително EXT2, EXT3, FAT, NTFS и други.
Той е лесен за използване и няма нужда да се инсталира в Kali Linux, тъй като се доставя с предварително инсталиран и предварително конфигуриран.
Dumpzilla
Dumpzilla е инструмент за команден ред на различни платформи, написан на език Python 3, който се използва за изхвърляне на информация, свързана с криминалистика, от уеб браузъри. Той не извлича данни или информация, просто ги показва в терминала, който може да бъде пренасочен, сортиран и съхранен във файлове с помощта на команди на операционната система. Понастоящем той поддържа само браузъри, базирани на Firefox като Firefox, Seamonkey, Iceweasel и др.
Dumpzilla може да получи следната информация от браузърите
- Може да показва сърфиране на живо на потребител в раздели / прозорец.
- Потребителски файлове за изтегляне, отметки и история.
- Уеб формуляри (търсения, имейли, коментари ...).
- Кеш / миниатюри на предишно посетени сайтове.
- Добавки / разширения и използвани пътища или URL адреси.
- Запазени в браузъра пароли.
- „Бисквитки“ и данни за сесията.
Употреба: python dumpzilla.py browser_profile_directory [Опции]
Настроики:
--Всички (Показва всичко, освен данните на DOM. Не извлича миниатюри или HTML 5 офлайн)
--„Бисквитки“ [-showdom -domain
-създайте
--Разрешения [-host
--Изтегляния [-диапазон
--Форми [-стойност
--История [-url
-честота]
--Отметки [-range_bookmarks
... изрязване ..
Рамка за цифрова криминалистика - DFF
DFF е инструмент за възстановяване на файлове и платформа за разработка на Forensics, написана на Python и C++. Той има набор от инструменти и скрипт както с командния ред, така и с графичния потребителски интерфейс. Използва се за извършване на криминалистическо разследване и за събиране и докладване на цифрови доказателства.
Той е лесен за използване и може да се използва от киберпрофесионалисти, както и от начинаещи за събиране и запазване на цифрова информация за криминалистика. Тук ще обсъдим някои от добрите му характеристики
- Може да извършва криминалистика и възстановяване на локални, както и отдалечени устройства.
- Команден ред и графичен потребителски интерфейс с графични изгледи и филтри.
- Може да възстановява дялове и устройства на виртуална машина.
- Съвместим с много файлови системи и формати, включително Linux и Windows.
- Може да възстановява скрити и изтрити файлове.
- Може да възстановява данни от временна памет като Network, Process и т.н
DFF
Цифрова съдебна рамка
Употреба: / usr / bin / dff [опции]
Настроики:
-v - версия показва текущата версия
-g - графичен стартиращ графичен интерфейс
-b --batch = FILENAME изпълнява партида, съдържаща се в FILENAME
-l --language = LANG използва LANG като език на интерфейса
-h --help покажете това съобщение за помощ
-d --debug пренасочва IO към системната конзола
--детайлност = LEVEL задайте ниво на детайлност при отстраняване на грешки [0-3]
-c --config = FILEPATH използва конфигурационен файл от FILEPATH
Най-напред
Foremost е по-бърз и надежден инструмент за възстановяване, базиран на командния ред за връщане на загубени файлове в Forensics Operations. Foremost има способността да работи върху изображения, генерирани от dd, Safeback, Encase и т.н., или директно върху устройство. Foremost може да възстанови exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar и много други типове файлове.
[имейл защитен]: ~ # foremost -hпървостепенна версия x.х.x от Джеси Корнблум, Крис Кендъл и Ник Микус.
$ foremost [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - показва информация за авторските права и излизане
-t - посочете типа на файла. (-t jpeg, pdf ...)
-г - включване на непрякото откриване на блокове (за UNIX файлови системи)
-i - посочете входния файл (по подразбиране е stdin)
-а - Напишете всички заглавки, не изпълнявайте откриване на грешки (повредени файлове)
-w - Записвайте само файла за одит, не записвайте никакви открити файлове на диска
-o - задаване на изходна директория (по подразбиране извежда)
-c - задаване на конфигурационен файл за използване (по подразбиране най-напред.conf)
... изрязване ..
Пример за употреба
[имейл защитен]: ~ # foremost -t exe, jpeg, pdf, png -i file-image.дд
Обработка: файл-изображение.дд
... изрязване ..
Заключение
Kali, заедно с известните си инструменти за тестване на проникване, има и цял раздел, посветен на „Криминалистика“. Той има отделен режим “Forensics”, който е достъпен само за USB USB на живо, в който не монтира дялове на хоста. Kali е малко за предпочитане пред други дистрибуции на Forensics като CAINE поради своята поддръжка и по-добра съвместимост.
