Kali Linux rettsmedisinske verktøy

Kali Linux er et kraftig operativsystem spesielt designet for Penetration Tester og sikkerhetsfagfolk. De fleste av dens funksjoner og verktøy er laget for sikkerhetsforskere og pentestere, men den har en egen "rettsmedisin" -fane og en egen "rettsmedisin" -modus for rettsmedisinske etterforskere.

Rettsmedisinske blir veldig viktig i cybersikkerhet for å oppdage og backtrack Black Hat -kriminelle. Det er viktig å fjerne hackers ondsinnede bakdører/malwares og spore dem tilbake for å unngå eventuelle fremtidige hendelser. I Kalis rettsmedisinske modus monterer ikke operativsystem noen partisjon fra systemets harddisk og etterlater ingen endringer eller fingeravtrykk på vertssystemet.

Kali Linux kommer med forhåndsinstallerte populære rettsmedisinske applikasjoner og verktøysett. Her vil vi gjennomgå noen kjente open source -verktøy som er til stede i Kali Linux.

Bulkavtrekk

Bulk Extractor er et rik-funksjonsverktøy som kan hente ut nyttig informasjon som kredittkortnumre, domenenavn, IP-adresser, e-post, telefonnumre og nettadresser fra bevisharddriv/filer som ble funnet under Forensics-undersøkelse. Det er nyttig å analysere bilde eller skadelig programvare, hjelper også med cyberundersøkelse og passordsprekker. Den bygger ordlister basert på informasjon som er funnet fra bevis som kan hjelpe til med passordsprekker.

Bulk Extractor er populær blant andre verktøy på grunn av sin utrolige hastighet, flere plattformkompatibilitet og grundighet. Det skyldes raskt sine flertrådede funksjoner, og den har muligheten til å skanne alle typer digitale medier som inkluderer HDD-er, SSD-er, mobiltelefoner, kameraer, SD-kort og mange andre typer.

Bulk extractor har følgende kule funksjoner som gjør det mer å foretrekke,

• Den har grafisk brukergrensesnitt kalt “Bulk Extractor Viewer” som brukes til å samhandle med Bulk Extractor
• Den har flere outputalternativer som å vise og analysere utgangsdataene i histogram.
• Det kan enkelt automatiseres ved å bruke Python eller andre skriptspråk.
• Det kommer med noen forhåndsskrevne skript som kan brukes til å utføre ekstra skanning
• Det er flertrådet, kan være raskere på systemer med flere CPU-kjerner.

root@azad: ~# bulk_extractor --hjelp
Bruk: Bulk_Extractor [Alternativer] ImageFile
kjører bulkavtrekk og utganger til stdout et sammendrag av hva som ble funnet hvor
Nødvendige parametere:
ImageFile - Filen for å trekke ut
eller -r Filedir - Gjenopptatt gjennom en katalog med filer
Har støtte for E01 -filer
Har støtte for AFF -filer
-o outdir - spesifiserer utdatakatalog. Må ikke eksistere.
Bulk_Extractor oppretter denne katalogen.
Alternativer:
-I - Info -modus. Gjør en rask tilfeldig prøve og skriv ut en rapport.
-B banner.TXT- Legg til banner.txt innhold til toppen av hver utdatafil.
-R Alert_List.TXT - En fil som inneholder varsellisten over funksjoner som skal varslet
(kan være en funksjonsfil eller en liste over globs)
(Kan gjentas.)
-w stop_list.TXT - En fil som inneholder stopplisten over funksjoner (hvit liste
(kan være en funksjonsfil eller en liste over globs) S
(Kan gjentas.)
-F - Les en liste over vanlige uttrykk fra å finne
-f - Finn forekomster av ; kan gjentas.
Resultatene går inn på å finne.tekst
... Snip ..
Brukseksempel
root@azad: ~# bulk_extractor -o output secret.img

Autopsi

Obduksjon er en plattform som brukes av cyberetterforskere og rettshåndhevelser for å gjennomføre og rapportere rettsmedisinske operasjoner. Det kombinerer mange individuelle verktøy som brukes til rettsmedisinske og gjenopprettinger og gir dem grafisk brukergrensesnitt.

Obduksjon er en åpen kildekode, gratis og tverrplattformprodukt som er tilgjengelig for Windows, Linux og andre UNIX-baserte operativsystemer. Obduksjon kan søke og undersøke data fra harddisker av flere formater inkludert ext2, ext3, fett, ntfs og andre.

Det er enkelt å bruke, og det er ikke nødvendig å installere i Kali Linux, da det leveres med forhåndsinstallert og forhåndskonfigurert.

Dumpzilla

Dumpzilla er et kommandolinjeverktøy på tvers av plattformer skrevet på Python 3-språk som brukes til å dumpe rettsmedisinske informasjon fra nettlesere. Den henter ikke ut data eller informasjon, bare viser dem i terminal som kan røres ut, sorteres ut og lagres i filer ved hjelp av operativsystemkommandoer. For øyeblikket støtter den bare Firefox -baserte nettlesere som Firefox, Seamonkey, Iceweasel osv.

Dumpzilla kan få følgende informasjon fra nettlesere

• Kan vise live surfing av brukeren i faner/vindu.
• Brukernedlastinger, bokmerker og historie.
• Nettformer (søk, e -post, kommentarer ...).
• Cache/miniatyrbilder av tidligere besøkte nettsteder.
• Addons / utvidelser og brukte stier eller nettadresser.
• Nettleser lagret passord.
• Informasjonskapsler og øktdata.

root@azad: ~# dumpzilla -hjelp
Bruk: Python Dumpzilla.PY Browser_Profile_Directory [Alternativer]
Alternativer:
--Alt (viser alt annet enn DOM -dataene. Ikke trekke ut miniatyrbilder eller html 5 offline)
--Informasjonskapsler [-showdom -domene -navn -hostcookie -tilgang
-Create -Secure -Httponly -Range_Last -Range_Create
]
--Tillatelser [-host]
--Nedlastinger [-Range]
--Skjemaer [-Value -Range_Forms]
--Historie [-Url -title -date -Range_History
-Frekvens]
--Bookmarks [-Range_Bookmarks]
... Snip ..

Digital Forensics Framework - DFF

DFF er et filgjenopprettingsverktøy og rettsmedisinske utviklingsplattform skrevet i Python og C++. Den har sett med verktøy og skript med både kommandolinje og grafisk brukergrensesnitt. Det brukes til å utføre rettsmedisinske undersøkelser og å samle og rapportere digitale bevis.

Det er enkelt å bruke og kan brukes av cyber -fagpersoner så vel som nybegynnere for å samle inn og bevare digital rettsmedisinske info. Her skal vi diskutere noen av de gode funksjonene

• Kan utføre rettsmedisinske og utvinninger på lokale så vel som eksterne enheter.
• Både kommandolinje og grafisk brukergrensesnitt med grafiske visninger og filtre.
• Kan gjenopprette partisjoner og virtuelle maskinstasjoner.
• Kompatibel med mange filsystemer og formater inkludert Linux og Windows.
• Kan gjenopprette skjulte og slettede filer.
• Kan gjenopprette data fra midlertidig minne som nettverk, prosess og etc

root@azad: ~# dff -h
DFF
Digital rettsmedisinske rammer
Bruk:/usr/bin/dff [alternativer]
Alternativer:
-V -Version Display Current Version
-G -Grafisk lansering av grafisk grensesnitt
-b - -batch = filnavn utfører batch inneholdt i filnavn
-L -språk = lang Bruk lang som grensesnittspråk
-H -Hjelp Vis denne hjelpemeldingen
-D -Debug omdirigere IO til systemkonsoll
--Verbosity = nivå sett verbositetsnivå når feilsøking [0-3]
-C - -Config = FilePath Bruk konfigurasjonsfil fra FilePath

Fremst

Fremst er et raskere og pålitelig kommandolinjebasert gjenopprettingsverktøy for å få tilbake tapte filer i rettsmedisinske operasjoner. Fremst har muligheten til å jobbe med bilder generert av DD, Safe, Encase, etc, eller direkte på en stasjon. Fremst kan gjenopprette EXE, JPG, PNG, GIF, BMP, AVI, MPG, WAV, PDF, OLE, RAR og mange andre filtyper.

root@azad: ~# fremst -h
fremste versjon x.x.X av Jesse Kornblum, Kris Kendall og Nick Mikus.
$ fremst [-v | -v | -h | -t | -q | -q | -a | -w-d] [-t ] [-S ] [-K ]
[-B ] [-C ] [-o ] [-Jeg -V - Vis informasjon og exit Copyright og exit
-T - Spesifiser filtype. (-T JPEG, PDF ...)
-D - Slå på indirekte blokkdeteksjon (for UNIX -filsystemer)
-I - Spesifiser inndatafil (standard er stdin)
-A - Skriv alle overskrifter, utfør ingen feildeteksjon (ødelagte filer)
-W - Skriv bare revisjonsfilen, ikke skriv noen oppdagede filer til disken
-o - Angi utdatakatalog (standard for å utdype)
-C - Angi konfigurasjonsfilen som skal brukes (standard til fremst.konf)
... Snip ..
Brukseksempel
root@azad: ~# fremst -t exe, jpeg, pdf, png -i fil -image.dd
Behandling: filbilde.dd
... Snip ..

Konklusjon

Kali, sammen med sine berømte penetrasjonstestingsverktøy har også en hel fane dedikert for "rettsmedisin". Den har en egen "rettsmedisinske" -modus som bare er tilgjengelig for live USB -er der den ikke monterer vertens partisjoner. Kali er litt å foretrekke fremfor andre rettsmedisinske distroder som Caine på grunn av sin støtte og bedre kompatibilitet.