Phenquestions
Фигура 1: Kali Linux
Като цяло, при извършване на криминалистика на компютърна система, всяка дейност, която може да промени или модифицира анализа на данните на системата, трябва да се избягва. Други съвременни настолни компютри обикновено пречат на тази цел, но с Kali Linux чрез менюто за зареждане можете да активирате специален режим на криминалистика.
Инструмент Binwalk:
Binwalk е криминалистичен инструмент в Kali, който търси определено двоично изображение за изпълним код и файлове. Той идентифицира всички файлове, които са вградени във всяко изображение на фърмуера. Той използва много ефективна библиотека, известна като „libmagic“, която сортира магически подписи в файловата програма Unix.
Фигура 2: Binwalk CLI инструмент
Инструмент за извличане на насипни товари:
Инструментът за груб екстрактор извлича номера на кредитни карти, URL връзки, имейл адреси, които се използват цифрови доказателства. Този инструмент ви позволява да идентифицирате злонамерен софтуер и атаки за проникване, разследвания на самоличността, кибер уязвимости и разбиване на пароли. Специалността на този инструмент е, че не само работи с нормални данни, но също така работи върху компресирани данни и непълни или повредени данни.
Фигура 3: Инструмент за команден ред на групов екстрактор
Инструмент HashDeep:
Инструментът hashdeep е модифицирана версия на инструмента за хеширане dc3dd, проектиран специално за цифрова криминалистика. Този инструмент включва автоматично хеширане на файлове, т.е.д., sha-1, sha-256 и 512, тигър, джакузи и md5. Регистрационният файл за грешка се записва автоматично. Отчетите за напредъка се генерират с всеки изход.
Фигура 4: Инструмент за интерфейс на HashDeep CLI.
Магически спасителен инструмент:
Магическото спасяване е криминалистичен инструмент, който извършва сканиране на блокирано устройство. Този инструмент използва магически байтове за извличане на всички известни типове файлове от устройството. Това отваря устройства за сканиране и четене на типовете файлове и показва възможността за възстановяване на изтрити или повредени дялове. Може да работи с всяка файлова система.
Фигура 5: Инструмент за интерфейс за команден ред Magic спасяване
Инструмент за скалпел:
Този инструмент за криминалистика изрязва всички файлове и индексира тези приложения, които работят на Linux и Windows. Инструментът за скалпел поддържа многопоточно изпълнение на множество основни системи, които помагат за бързо изпълнение. Издълбаването на файлове се извършва във фрагменти като регулярни изрази или двоични низове.
Фигура 6: Съдебномедицински инструмент за скалпел
Инструмент Scrounge-NTFS:
Тази съдебно-медицинска програма помага при извличането на данни от повредени NTFS дискове или дялове. Той спасява данни от повредена файлова система в нова работеща файлова система.
Фигура 7: Съдебен инструмент за възстановяване на данни
Инструмент Guymager:
Тази криминалистична помощна програма се използва за придобиване на носители за криминалистични изображения и има графичен потребителски интерфейс. Поради своята многонишкова обработка и компресия на данни, това е много бърз инструмент. Този инструмент също поддържа клониране. Той генерира плоски, AFF и EWF изображения. Потребителският интерфейс е много лесен за използване.
Фигура 8: Съдебната помощна програма на GUImager GUI
Pdfid инструмент:
Този инструмент за криминалистика се използва в pdf файлове. Инструментът сканира pdf файлове за конкретни ключови думи, което ви позволява да идентифицирате изпълними кодове при отваряне. Този инструмент решава основните проблеми, свързани с pdf файлове. След това подозрителните файлове се анализират с инструмента pdf-parser.
Фигура 9: Помощна програма за интерфейс на командния ред Pdfid
Инструмент за анализ на Pdf:
Този инструмент е един от най-важните криминалистични инструменти за pdf файлове. pdf-parser анализира pdf документ и разграничава важните елементи, използвани по време на неговия анализ, и този инструмент не прави този pdf документ.
Фигура 10: Съдебен инструмент на CLI за Pdf-парсер
Инструмент Peepdf:
Инструмент на python, който изследва pdf документи, за да установи дали е безвреден или разрушителен. Той предоставя всички елементи, необходими за извършване на pdf анализ в един пакет. Той показва подозрителни обекти и поддържа различни кодирания и филтри. Той може да анализира и криптирани документи.
Фигура 11: Инструмент Peepdf python за разследване на pdf.
Инструмент за аутопсия:
Аутопсията е всичко в една съдебна програма за бързо възстановяване на данни и филтриране на хеш. Този инструмент изрязва изтрити файлове и носители от неразпределено пространство с помощта на PhotoRec. Той също така може да извлече разширение EXIF мултимедия. Аутопсия сканира за индикатор за компромис с помощта на библиотека STIX. Той е достъпен в командния ред, както и GUI интерфейс.
Фигура 12: Аутопсия, всичко в един съдебен пакет от помощни средства
инструмент img_cat:
Инструментът img_cat дава изходно съдържание на файл с изображение. Възстановените файлове с изображения ще съдържат метаданни и вградени данни, което ви позволява да ги конвертирате в сурови данни. Тези сурови данни помагат в тръбопровода на изхода за изчисляване на хеш MD5.
Фигура 13: img_cat вградени данни за възстановяване на сурови данни и конвертор.
Инструмент ICAT:
ICAT е инструмент Sleuth Kit (TSK), който създава изход на файл въз основа на неговия идентификатор или номер на inode. Този инструмент за съдебна медицина е свръх бърз и отваря посочените файлови изображения и го копира в стандартен изход с определен номер на inode. Inode е една от структурите на данни на системата Linux, която съхранява данни и информация за Linux файл, като собственост, размер на файла и разрешения за писане и четене.
Фигура 14: Интерфейсен инструмент, базиран на конзола ICAT
Инструмент Srch_strings:
Този инструмент търси жизнеспособни ASCII и Unicode низове вътре в двоични данни и след това отпечатва отместващия низ, намерен в тези данни. Инструментът srch_strings ще извлече и извлече низовете, присъстващи във файл, и дава компенсиран байт, ако бъде извикан.
Фигура 15: Съдебен инструмент за извличане на струни
Заключение:
Тези 14 инструмента се доставят с Kali Linux на живо и изображения за инсталиране и са с отворен код и свободно достъпни. В случай на по-стара версия на Kali, тогава бих предложил актуализация до най-новата версия, за да получите тези инструменти директно. Има много други съдебни инструменти, които ще разгледаме по-нататък. Вижте част 2 от тази статия тук.
