Figur 1: Kali Linux
Generelt, når du utfører rettsmedisinske på et datasystem, må enhver aktivitet som kan endre eller endre dataanalysen av systemet unngås. Andre moderne stasjonære maskiner forstyrrer vanligvis dette målet, men med Kali Linux gjennom oppstartsmenyen, kan du aktivere en spesiell rettsmedisinske modus.
Binwalk Tool:
Binwalk er et rettsmedisinsk verktøy i Kali som søker i et spesifisert binært bilde for kjørbar kode og filer. Den identifiserer alle filene som er innebygd i ethvert firmwarebilde. Den bruker et veldig effektivt bibliotek kjent som "libmagic", som sorterer ut magiske signaturer i UNIX -filverktøyet.
Figur 2: binwalk cli -verktøy
Bulk Extractor Tool:
Bulk Extractor Tool Extracts Credit Card Numbers, URL -lenker, e -postadresser, som brukes digitale bevis. Dette verktøyet lar deg identifisere skadelig programvare og inntrengingsangrep, identitetsundersøkelser, cyber -sårbarheter og passordsprekker. Spesialiteten til dette verktøyet er at det ikke bare fungerer med normale data, men det fungerer også på komprimerte data og ufullstendige eller skadede data.
Figur 3: Bulk Extractor-kommandolinjeverktøy
Hashdeep -verktøy:
Hashdeep -verktøyet er en modifisert versjon av DC3DD Hashing Tool designet spesielt for digital rettsmedisinske. Dette verktøyet inkluderer automatisk hashing av filer, i.e., SHA-1, SHA-256 og 512, Tiger, Whirlpool og MD5. En feilloggfil er skrevet automatisk. Fremdriftsrapporter genereres med hver utdata.
Figur 4: Hashdeep CLI -grensesnittverktøy.
Magisk redningsverktøy:
Magic Rescue er et rettsmedisinsk verktøy som utfører skanningsoperasjoner på en blokkert enhet. Dette verktøyet bruker magiske byte for å trekke ut alle kjente filtyper fra enheten. Dette åpner enheter for skanning og lesing av filtyper og viser muligheten for å gjenopprette filer slettet eller ødelagt partisjon. Det kan fungere med hvert filsystem.
Figur 5: Magic Rescue Command-Line Interface Tool
Skalpelverktøy:
Dette rettsmedisinske verktøyet skjærer alle filene og indekserer de applikasjonene som kjøres på Linux og Windows. Skalpelverktøyet støtter multithreading -utførelse på flere kjernesystemer, som hjelper til med raske utførelser. Filskjæring utføres i fragmenter som vanlige uttrykk eller binære strenger.
Figur 6: Skalpellens rettsmedisinske utskjæringsverktøy
Scrounge-NTFS-verktøy:
Dette rettsmedisinske verktøyet hjelper med å hente data fra ødelagte NTFS -disker eller partisjoner. Det redder data fra et ødelagt filsystem til et nytt arbeidsfilsystem.
Figur 7: Rettsmedisinske verktøy for gjenoppretting av data
Guymager Tool:
Dette rettsmedisinske verktøyet brukes til å skaffe medier for rettsmedisinske bilder og har et grafisk brukergrensesnitt. På grunn av sin flertrådede databehandling og komprimering, er det et veldig raskt verktøy. Dette verktøyet støtter også kloning. Det genererer flate, aff og EWF -bilder. UI er veldig enkelt å bruke.
Figur 8: Guymager GUI rettsmedisinske verktøy
PDFID -verktøy:
Dette rettsmedisinske verktøyet brukes i PDF -filer. Verktøyet skanner PDF -filer for spesifikke nøkkelord, som lar deg identifisere kjørbare koder når du åpnes. Dette verktøyet løser de grunnleggende problemene forbundet med PDF -filer. De mistenkelige filene blir deretter analysert med PDF-Parser-verktøyet.
Figur 9: PDFID-kommandolinjegrensesnittverktøy
PDF-parserverktøy:
Dette verktøyet er et av de viktigste rettsmedisinske verktøyene for PDF -filer. PDF-Parser analyserer et PDF-dokument og skiller de viktige elementene som ble brukt under analysen, og dette verktøyet gir ikke det PDF-dokumentet.
Figur 10: PDF-Parser CLI rettsmedisinske verktøy
PEEPDF -verktøy:
Et Python -verktøy som utforsker PDF -dokumenter for å finne om det er ufarlig eller ødeleggende. Det gir alle elementene som trengs for å utføre PDF -analyse i en enkelt pakke. Det viser mistenkelige enheter og støtter forskjellige kodinger og filtre. Det kan analysere krypterte dokumenter også.
Figur 11: PEEPDF Python Tool for PDF -undersøkelse.
Obduksjonsverktøy:
En obduksjon er alt i ett rettsmedisinsk verktøy for rask datagjenoppretting og hashfiltrering. Dette verktøyet skjærer slettede filer og medier fra ikke tildelt rom ved hjelp av Photorec. Det kan også trekke ut exif -forlengelse multimedia. Outopsi skanninger for kompromissindikator ved hjelp av stixbibliotek. Det er tilgjengelig i kommandolinjen så vel som GUI -grensesnitt.
Figur 12: Obduksjon, alt i en rettsmedisinsk verktøypakke
IMG_CAT -verktøy:
IMG_CAT -verktøyet gir utgangsinnhold i en bildefil. Bildefilene som er utvunnet vil ha metadata og innebygde data, som lar deg konvertere dem til rå data. Denne rå data hjelper til med å røre utdataene til å beregne MD5 -hasj.
Figur 13: IMG_CAT innebygde data til Raw Data Recovery and Converter.
ICAT -verktøy:
ICAT er et Sleuth Kit Tool (TSK) som oppretter en utdata fra en fil basert på identifikatoren eller inodetallet. Dette rettsmedisinske verktøyet er ultrafast, og det åpner de navngitte filbildene og kopierer det til standardutgang med et spesifikt inodetall. En inode er en av datastrukturene i Linux -systemet som lagrer data og informasjon om en Linux -fil som eierskap, filstørrelse og skriver, skriver og leser tillatelser.
Figur 14: ICAT-konsollbasert grensesnittverktøy
SRCH_Strings Tool:
Dette verktøyet ser etter levedyktige ASCII- og Unicode -strenger inne i binære data og skriver deretter ut forskyvningsstrengen som finnes i de dataene. SRCH_STRINGS -verktøyet vil trekke ut og hente strengene som er til stede i en fil og gir forskyvning av byte hvis det blir bedt om det.
Figur 15: Streng henting av rettsmedisinske verktøy
Konklusjon:
Disse 14 verktøyene kommer med Kali Linux live, og installasjonsbilder, og de er åpen kildekode og fritt tilgjengelige. Når det gjelder en eldre versjon av Kali, vil jeg foreslå en oppdatering av den nyeste versjonen for å få disse verktøyene direkte. Det er mange andre rettsmedisinske verktøy som vi vil dekke neste gang. Se del 2 av denne artikkelen her.