Phenquestions
Въведение
Последният път обхванахме 14 криминалистични инструмента, които присъстват в Kali Linux, и обяснихме тяхната цел и специални възможности. Днес ще ви представим 14 криминалистични инструмента, които са от известна библиотека „The Sleuth Kit“ (TSK), пакетирани в актуализацията на Kali Linux за 2020 г. Можете да намерите тези инструменти в падащия списък на Forensics под името Sleuth Kit Suite tools в Kali Whisker Menu.
blkcalc
Инструментът blkcalc е криминалистичен инструмент, който преобразува неразпределените дискови точки в обикновени дискови точки. Тази програма създава номер на точка, който картографира две изображения. Едно от тези изображения е нормално, а другото съдържа неразпределени номера на точки от първото изображение. Този инструмент може да поддържа много типове файлова система. Ако файловата система не е дефинирана в началото, blkcalc има уникалната функция на методите за автоматично откриване, за да намери типа на файловата система.
tsk_comparedir
С помощта на инструмента tsk_comparedir съдържанието на изображението се сравнява със съдържанието на директорията за сравнение. Това е най-добрият инструмент във фазата на тестване за идентифициране на руткитове (злонамерен код или файлове). Тестът за руткит се извършва чрез сравняване на съдържанието на локалната директория с локално сурово устройство. Тези руткитове не са скрити при достъп и четене от необработено устройство.
tsk_gettimes
Криминалистичният инструмент tsk_gettimes се основава на библиотека за комплекти шут. Този инструмент събира MAC пъти (части от метаданни на файловата система) от определен образ на диска и преобразува времената в телесен файл. Инструментът tsk_gettimes изследва всяка файлова система в дисков дял или изображение и обработва данните вътре. Резултатът от този инструмент са данните за изображението на диска в MAC формат на тялото, които след това могат да се използват като вход към системата за генериране на хронология на дейността на файла. След това данните се отпечатват като файл чрез командата STDOUT.
blkcat
Инструментът blkcat е бърз и ефективен криминалистичен инструмент, опакован в Kali. Целта на този инструмент е да покаже съдържанието на данните, съхранени в дисковия образ на файловата система. Изходът показва броя на единиците за данни, започвайки с основния адрес и разпечатките на блока, в различни формати, които могат да бъдат посочени и сортирани. По подразбиране изходният формат е суров и се нарича още dcat.
tsk_loaddb
Инструментът tsk_loaddb зарежда метаданните от образа на диска в база данни SQLite, която е използваема база данни за анализ от други софтуерни инструменти. Базата данни се съхранява в директорията с изображения за лесен достъп. Този инструмент поддържа много файлови системи и може да изчисли MD5 хеш стойността за всеки файл.
blkstat
Инструментът sleuth kit blkstat показва цялата информация, отнасяща се до единиците за данни на файлова система. Този инструмент връща данни за състоянието на разпределение на блок или сектор на файлова система. Този инструмент може да използва командата addr, която показва статистиката на част от данните и се нарича още dstat.
намери
Инструментът ffind използва inode за търсене на името на директория или файл в изображение на диск. Файловете, присвоени на идентификатор на inode файл на дисков дял, имат имена; по подразбиране този инструмент ще върне само първото име, което намери. Инструментът ffind може дори да намери изтрити имена на файлове, което е специалната способност на този инструмент. Освен това инструментът ffind може също да намери множество имена на файлове.
hfind
Инструментът hfind търси хеш стойности в хеш бази данни. Хеш стойностите се търсят с помощта на двоичен алгоритъм за търсене. Целта на използването на този алгоритъм е да позволи на потребителите лесно да създават хеш бази данни и бързо да идентифицират файл, независимо дали е известен или неизвестен. Този инструмент използва библиотеката NSRL и връща md5sum. Този инструмент е много ефективен, тъй като създава индексен файл, който вече е сортиран и има записи с фиксирана дължина, което прави търсенето много бързо.
fls
Името fls включва термина „ls“, който означава списък на съдържанието на папка. Инструментът fls изброява всички имена на файлове и директории в файл с изображение и дори може да показва имена на файлове, които наскоро бяха премахнати. Ако идентификаторът на файла или inode не се използва, тогава се използва главната директория.
mmcat
Инструментът mmcat е криминалистичен инструмент, който връща съдържанието на дял чрез функцията за печат. Този инструмент извлича всички данни в дял в отделен файл.
sigfind
Този инструмент намира двоичния подпис, присъстващ във файл. Този двоичен подпис се нарича hex_signature, който присъства във всеки файл. Този инструмент може да се използва за намиране на изгубени суперблокове, дялове или таблици с изображения и сектори за зареждане. Шестнадесетичният формат трябва да се използва за намиране на двоичен подпис.
намирам
Този инструмент търси структурата на суровите данни на файл, който се разпределя в конкретна дискова единица или име на файл. Понякога някоя от тези структури с метаданни може да бъде неразпределена, но този инструмент все пак ще получи резултатите.
сортиращ
Инструментът за сортиране е инструмент за скриптове „perl“, който извършва сортиране на файлова система, за да го подреди в разпределени и неразпределени файлове, въз основа на типа файл. Този инструмент изпълнява команда за всеки файл и сортира файловете според конфигурационните файлове. Типовете файлове включват скрити файлове, хеш файлове за хеш бази данни, файлове, за които е известно, че са добри, и такива, които трябва да бъдат променени. Използваните по подразбиране конфигурационни файлове се вземат от мястото, където е инсталиран инструментът, но това може да бъде променено с решения за изпълнение.
tsk_recover
Този инструмент прехвърля файлове от дисков дял в локална коренна директория. Възстановените файлове по подразбиране са само неразпределени файлове. Чрез определени команди всички файлове могат да бъдат експортирани.
Заключение
Тези 14 инструмента се доставят с Kali Linux live, както и изображения на инсталатора, и са с отворен код и свободно достъпни. Тези инструменти могат да бъдат намерени в менюто на мустаци Kali в папка, наречена Sleuth Kit Suite. Инструментите получават чести актуализации от TSK за незначителни корекции на грешки.
