Kali Linux Top rettsmedisinske verktøy

Introduksjon

Forrige gang dekket vi 14 rettsmedisinske verktøy som er til stede i Kali Linux og forklarte deres formål og spesielle evner. I dag skal vi presentere 14 rettsmedisinske verktøy, som er fra et kjent bibliotek, “The Sleuth Kit” (TSK), pakket inne i 2020 -oppdateringen av Kali Linux. Du kan finne disse verktøyene i rullegardinliste.

Blkcalc

Blkcalc -verktøyet er et rettsmedisinsk verktøy som konverterer ikke tildelt diskpunkter til vanlige diskpunkter. Dette programmet oppretter et poengnummer som kartlegger to bilder. Ett av disse bildene er normalt, og det andre inneholder ikke tildelt punktnummer for det første bildet. Dette verktøyet kan støtte mange filsystemtyper. Hvis et filsystem ikke er definert i starten, har Blkcalc den unike funksjonen i AutoDetection -metoder for å finne filsystemtypen.

TSK_COMPAREDIR

Ved hjelp av TSK_COMPAREDIR -verktøyet blir innholdet i bildet sammenlignet med innholdet i sammenligningskatalogen. Dette er det beste verktøyet i testfasen for å identifisere rootkits (ondsinnet kode eller filer). Rootkit -testen utføres ved å sammenligne innholdet i den lokale katalogen med en lokal rå enhet. Disse rootkits er ikke skjult når de får tilgang til og leses fra en rå enhet.

TSK_GETTIMES

Tsk_gettimes rettsmedisinske verktøy er basert på et Sleuth Kit -bibliotek. Dette verktøyet samler Mac Times (metadata for filsystem) fra et spesifisert diskbilde og konverterer tidene til en kroppsfil. T -verktøyet TSK_GETTIMES undersøker hvert filsystem i en diskpartisjon eller bilde og behandler dataene i. Utgangen til dette verktøyet er diskbildedataene i et Mac Time Body -format, som deretter kan brukes som en inngang til systemet for å generere en kronologi av filaktiviteten. Dataene skrives deretter ut som en fil gjennom stdout -kommandoen.

Blkcat

Blkcat -verktøyet er et raskt og effektivt rettsmedisinsk verktøy pakket inne i Kali. Hensikten med dette verktøyet er å vise innholdet i dataene som er lagret i et filsystemets diskbilde. Utgangen viser antall dataenheter, som starter med enhetens hovedadresse og utskrifter, til forskjellige formater som kan spesifiseres og sorteres. Som standard er utgangsformatet rå, og det kalles også DCAT.

tsk_loaddb

TSK_LoadDB -verktøyet laster metadataene fra diskbildet til en SQLite -database, som er en brukbar database for analyse av andre programvareverktøy. Databasen er lagret i bildekatalogen for enkel tilgang. Dette verktøyet støtter mange filsystemer og kan beregne MD5 -hashverdien for hver fil.

Blkstat

Sleuth Kit -verktøyet BlkStat viser all informasjon om dataenhetene i et filsystem. Dette verktøyet returnerer data om tildelingsstatusen til en blokk eller en sektor av et filsystem. Dette verktøyet kan bruke ADDR -kommandoen, som viser statistikken til et stykke data, og kalles også DSTAT.

ffind

FFIND -verktøyet bruker en inode for å søke etter navnet til katalog eller fil i et diskbilde. Filene som er tilordnet en inodefilidentifikator på en diskpartisjon har navn; Som standard vil dette verktøyet bare returnere fornavnet det finner. FFIND -verktøyet kan til og med finne slettede filnavn, som er den spesielle evnen til dette verktøyet. I tillegg kan FFIND -verktøyet også finne flere filnavn.

hfind

HFIND -verktøyet søker etter hasjverdier i hasjdatabaser. Hashverdiene søkes ved hjelp av den binære søkealgoritmen. Hensikten med å bruke denne algoritmen er å tillate brukere å enkelt lage hashdatabaser og raskt identifisere en fil, enten den er kjent eller ukjent. Dette verktøyet bruker NSRL -biblioteket og returnerer MD5Sum. Dette verktøyet er veldig effektivt, ettersom det oppretter en indeksfil som allerede er sortert og har fastlengdeoppføringer, noe som gjør søket veldig raskt.

fls

Navnet FLS involverer begrepet "LS", som står for å oppføre innholdet i en mappe. FLS -verktøyet viser alle filnavn og kataloger i en bildefil, og kan til og med vise navn på filer som nylig ble fjernet. Hvis filidentifikatoren eller inoden ikke brukes, brukes rotkatalogen.

mmcat

MMCAT -verktøyet er et rettsmedisinsk verktøy som returnerer innholdet i en partisjon gjennom utskriftsfunksjonen. Dette verktøyet trekker ut alle dataene i en partisjon i en egen fil.

Sigfind

Dette verktøyet finner den binære signaturen som er til stede i en fil. Denne binære signaturen kalles hex_signatur, som er til stede i hver fil. Dette verktøyet kan brukes til å finne tapte superblokker, skillevegger eller bildetabeller og oppstartssektorer. Det heksadesimale formatet skal brukes til å finne den binære signaturen.

jeg finner

Dette verktøyet ser opp rå datastrukturen til en fil, som er tildelt i en spesifikk diskenhet eller filnavn. Noen ganger kan noen av disse metadatakonstruksjonene ikke tildeles, men dette verktøyet vil fortsatt oppnå resultatene.

sorterer

Sorterverktøyet er et "perl" skriptverktøy som utfører sortering på et filsystem for å ordne det i tildelte og ikke tildelte filer, basert på filtypen. Dette verktøyet kjører en kommando på hver fil og sorterer filene i henhold til konfigurasjonsfilene. Filtyper inkluderer skjulte filer, hashfiler for hasjdatabaser, filer kjent for å være gode, og de som bør endres. Konfigurasjonsfilene som brukes som standard, er tatt fra der verktøyet er installert, men dette kan endres med beslutninger om kjøretid.

tsk_recover

Dette verktøyet overfører filer fra en diskpartisjon i en lokal rotkatalog. De gjenopprettede filene er som standard ikke tildelt filer. Gjennom visse kommandoer kan alle filer eksporteres.

Konklusjon

Disse 14 verktøyene kommer med Kali Linux live, samt installasjonsprogrammer, og de er åpen kildekode og fritt tilgjengelige. Disse verktøyene finner du i Kali Whisker -menyen i en mappe som heter Sleuth Kit Suite. Verktøyene mottar hyppige oppdateringer fra TSK for mindre feilrettinger.