Kali Linux 'Bo' gir en rettsmedisinsk modus der du bare kan koble til en USB som inneholder en Kali ISO. Når det oppstår et rettsmedisinsk behov, kan du gjøre det du trenger uten å installere noe ekstra ved å bruke Kali Linux Live (rettsmedisinske modus). Oppstart i Kali (rettsmedisin) monterer ikke harddiskene, og dermed forlater ikke operasjonene du utfører på systemet noe spor.
Hvordan bruke Kali's Live (rettsmedisinske modus)
For å bruke "Kali's Live (Forensic Mode)", trenger du en USB -stasjon som inneholder Kali Linux ISO. For å lage en, kan du følge offisielle retningslinjer fra krenkende sikkerhet
Når. Der finner du en meny som denne:
Klikk på Live (rettsmedisinske modus) vil ta deg rett inn i rettsmedisinske modus som inneholder verktøyene og pakkene som kreves for dine rettsmedisinske behov. I denne artikkelen vil vi se på hvordan du organiserer din digitale rettsmedisinske prosess ved å bruke Live (rettsmedisinske modus).
Kopiering av data
Forensics krever avbildning av systemstasjoner som inneholder data. Det første vi trenger å gjøre er å lage en bit-for-bit kopi av filen, harddisken eller noen annen type data som vi trenger å utføre rettsmedisinske. Dette er et veldig avgjørende skritt fordi hvis det gjøres galt, kan alt arbeidet gå til spill.
De vanlige sikkerhetskopiene på en stasjon eller fil fungerer ikke for oss (de rettsmedisinske etterforskerne). Det vi trenger er en bit-for-bit kopi av data på stasjonen. For å gjøre dette, vil vi bruke følgende dd kommando:
root@kali: ~ $ dd if =
Vi må lage en kopi av stasjonen SDA1, Så vi vil bruke følgende kommando. Det vil lage en kopi av SDA1 til SDA2 512 byes om gangen.
root@kali: ~ $ dd if =/dev/sda1 av =/dev/sda2 bs = 512
Hashing
Med vår kopi av stasjonen kan hvem som helst stille spørsmål ved dens integritet og kunne tenke at vi plasserte stasjonen med vilje. For å generere bevis på at vi har den opprinnelige stasjonen, vil vi bruke hashing. Hashing brukes til å sikre bildeintegriteten. Hashing vil gi en hasj for en stasjon, men hvis en enkelt bit av data blir endret, vil hasj endres, og vi vil vite om den er erstattet eller er originalen. For å sikre integriteten til dataene og at ingen kan stille spørsmål ved dens originalitet, vil vi kopiere disken og generere en MD5 -hasj av den.
Først åpent dcfldd fra rettsmedisinske verktøysett.
De dcfld Grensesnittet vil se slik ut:
Nå vil vi bruke følgende kommando:
root@kali: ~ $ dcfldd if =/dev/sda av =/media/image.dd hash = md5 bs = 512
/dev/sda: stasjonen du vil kopiere
/media/bilde.DD: Plasseringen og navnet på bildet du vil at det skal kopiere til
hash = md5: Hashen du vil generere E.G MD5, SHA1, SHA2, etc. I dette tilfellet er det MD5.
BS = 512: antall byte å kopiere om gangen
En ting vi bør vite er at Linux ikke gir stasjoner navn med en enkelt bokstav som i Windows. I Linux er harddisker atskilt av HD betegnelse, for eksempel Hadde, HDB, etc. For SCSI (lite datasystemgrensesnitt) er det SD, SBA, SDB, etc.
Nå har vi litt for å kopiere en stasjon som vi ønsker å utføre rettsmedisinske. Her vil rettsmedisinske verktøy komme i spill, og alle med kunnskap om å bruke disse verktøyene og kan jobbe med dem vil komme godt med.
Verktøy
Forensics-modus inneholder allerede kjente open source verktøysett og pakker for rettsmedisinske formål. Det er godt å forstå rettsmedisinske å inspisere forbrytelsen og sporet til den som har gjort det. All kunnskap om hvordan du bruker disse verktøyene vil komme til nytte. Her vil vi ta en rask oversikt over noen verktøy og hvordan vi kan bli kjent med dem
Autopsi
Obduksjon er et verktøy som brukes av militæret, rettshåndhevelsen og forskjellige byråer når det er et rettsmedisinsk behov. Denne pakken er antagelig en av de kraftigste tilgjengelige gjennom åpen kildekode, den konsoliderer funksjonalitetene til mange andre Littler-pakker som gradvis er engasjert i metodikken deres i en feilfri applikasjon med en nettleserbasert brukergrensesnitt.
For å bruke obduksjon, åpne hvilken som helst nettleser og type: http: // localhost: 9999/obduksjon
Nå, hva med at vi åpner ethvert program og utforsker stedet ovenfor. Dette vil i hovedsak ta oss med til den nærliggende webserveren på rammene våre (localhost) og komme til port 9999 der obduksjon kjører. Jeg bruker standardprogrammet i Kali, Iceweasel. Når jeg utforsker adressen, får jeg en side som den som er sett nedenfor:
Funksjonalitetene inkorporerer - tidslinjeundersøkelse, søkeordsøk, hash -separering, datakarving, media og markører for et godt kjøp. Obduksjon godtar diskbilder i rå OE EO1 -formater og gir resultater i det formatet som kreves vanligvis i XML, HTML -formater.
Binwalk
Dette verktøyet brukes mens du administrerer binære bilder, det har muligheten til å finne det innsatte dokumentet og kjørbar kode ved å undersøke bildefilen. Det er en fantastisk eiendel for de som vet hva de gjør. Når du brukes riktig, kan du godt oppdage delikate data dekket opp i firmwarebilder som kan avsløre et hack eller bli brukt til å oppdage en fluktbestemmelse for å misbruke.
Dette verktøyet er skrevet i Python og bruker Libmagic Library, noe. For å gjøre ting enklere for sensorer, inneholder det en fortryllende signaturrekord som inneholder de mest regelmessige oppdagede merker i firmware, noe som gjør det enklere å oppdage uoverensstemmelser.
Ddrescue
Det dupliserer informasjon fra ett dokument eller firkantet gadget (harddisk, CD-ROM, etc.) til en annen, og forsøker å beskytte de store delene først hvis det skulle oppstå en forekomst av lesefeil.
Den essensielle aktiviteten til ddrescue er fullstendig programmert. Det vil si at du ikke trenger å sitte tett etter en tabbe, stoppe programmet og starte det på nytt fra en annen stilling. Hvis du bruker MapFile -høydepunktet av DDRescue, lagres informasjonen dyktig (bare de nødvendige rutene blir gjennomgått). På samme måte kan du trenge inn i bergingen når og fortsette den senere på et lignende punkt. MapFile er et grunnleggende stykke av Ddrescues levedyktighet. Bruk det bortsett fra hvis du vet hva du gjør.
For å bruke den vil vi bruke følgende kommando:
root@kali: ~ $ dd_rescue
Dumpzilla
Dumpzilla -applikasjonen opprettes i Python 3.x og brukes til å trekke ut de målbare, fascinerende dataene fra Firefox, Ice-Weasel og Seamonkey-programmer som skal undersøkes. På grunn av Python 3.x hendelser, det vil sannsynligvis ikke fungere på riktig måte i gamle Python -former med spesifikke tegn. Applikasjonen fungerer i et ordregrensesnitt, slik at datadumps kan avledes av rør med enheter; For eksempel grep, awk, kuttet, sed. Dumpzilla lar brukere forestille seg følgende områder, søketilpasning og konsentrere seg om visse områder:
Fremst
Slette dokumenter som kan bidra til å avdekke en datastyrt episode? Glem det! Fremst er en enkel å bruke, open source-pakke som kan kutte informasjon ut av arrangerte sirkler. Selve filnavnet vil sannsynligvis ikke bli hentet inn. Fremst kan gjenopprette JPG, PNG, BMP, JPEG, EXE, MPG, OLE, RAR, PDF og mange andre typer filer.
: ~ $ fremst -h
fremste versjon 1.5.7 av Jesse Kornblum, Kris Kendall og Nick Mikus.
$ fremst [-v | -v | -h | -t | -q | -q | -a | -w-d] [-t]
[-S] [-K ]
[-B] [-C ] [-o ] [-Jeg -V - Vis informasjon og exit Copyright og exit
-T - Spesifiser filtype. (-T JPEG, PDF ...)
-D - Slå på indirekte blokkdeteksjon (for UNIX -filsystemer)
-I - Spesifiser inndatafil (standard er stdin)
-A - Skriv alle overskrifter, utfør ingen feildeteksjon (ødelagte filer)
-W - Skriv bare revisjonsfilen, ikke skriv noen oppdagede filer til disken
-o - Angi utdatakatalog (standard for å utdype)
-C - Angi konfigurasjonsfilen som skal brukes (standard til fremst.konf)
-Q - Aktiverer rask modus. Søk utføres på 512 byte grenser.
-Q - Aktiverer stille modus. Undertrykke utgangsmeldinger.
-V - Verbosemodus. Logger alle meldinger til skjermBulkavtrekk
Dette er et usedvanlig nyttig verktøy når en sensor håper å skille spesifikk form for informasjon fra den datastyrte bevisoppføringen, denne enheten kan kutte ut e -postadresser, URL -er, avdragskortnumre og så videre. Dette verktøyet tar et skudd på kataloger, filer og diskbilder. Informasjonen kan bli halvveis ødelagt, eller den har en tendens til å bli komprimert. Denne enheten vil oppdage veien inn i den.
Denne funksjonen inkluderer høydepunkter som hjelper til. Den har en komponent som den lager en ordliste fra informasjonen som er oppdaget. Dette kan hjelpe med å dele passordene til krypterte dokumenter.
RAM -analyse
Vi har sett minneanalyse på harddiskbilder, men noen ganger må vi fange data fra live minne (RAM). Husk at RAM er en flyktig minnekilde, som betyr at den mister dataene som åpne stikkontakter, passord, prosesser som kjører så snart de er slått av.
En av de mange gode tingene med minneanalyse er evnen til å gjenskape det den mistenkte gjorde på tidspunktet for et uhell. Et av de mest kjente verktøyene for minneanalyse er Volatilitet.
I Live (Forensics Mode), Først vil vi navigere til Volatilitet Bruke følgende kommando:
root@kali: ~ $ cd/usr/share/volatilitetSiden volatilitet er et Python -skript, skriver du inn følgende kommando for å se hjelpemenyen:
root@kali: ~ $ python vol.py -hFør vi gjør noe arbeid med dette minnebildet, må vi først komme til profilen ved å bruke følgende kommando. Profilbildet hjelper volatilitet å vite hvor i minnet adresserer den viktige informasjonen ligger. Denne kommandoen vil undersøke minnefilen for bevis på operativsystem og nøkkelinformasjon:
root@kali: ~ $ python vol.py imageInfo -f =Volatilitet er et kraftig minneanalyseverktøy med mange plugins som vil hjelpe oss å undersøke hva den mistenkte gjorde på tidspunktet for datamaskinens anfall.
Konklusjon
Forensics blir i økende grad mer og mer viktig i dagens digitale verden, der hver dag er mange forbrytelser forpliktet til å bruke digital teknologi. Å ha rettsmedisinske teknikker og kunnskap i ditt arsenal er alltid et ekstremt nyttig verktøy for å kjempe mot cyber-kriminalitet på ditt eget torv.
Kali er utstyrt med verktøyene som trengs for å utføre rettsmedisin, og ved å bruke Live (rettsmedisinske modus), Vi trenger ikke å holde det i systemet vårt hele tiden. I stedet kan vi bare lage en live USB eller ha Kali Iso klar i en perifer enhet. I tilfelle rettsmedisinske behov dukker opp, kan vi bare koble til USB, bytte til Live (rettsmedisinske modus) og få jobben gjort jevnt.