Sans etterforskende rettsmedisinske verktøysett

SIKTE er en datamaskin rettsmedisinske distribusjon opprettet av Sans rettsmedisinske team for å utføre digital rettsmedisinske. Denne distroen inneholder de fleste verktøy som kreves for digital rettsmedisinske analyser og eksamensundersøkelser. SIKTE er åpen kildekode og offentlig tilgjengelig gratis på internett. I dagens digitale verden, der forbrytelser blir begått hver dag ved bruk av digital teknologi, blir angripere mer og mer stealthy og sofistikerte. Dette kan føre til at selskaper mister viktige data, med millioner av brukere utsatt. Å beskytte organisasjonen din mot disse angrepene krever sterke rettsmedisinske teknikker og kunnskap i din forsvarsstrategi. SIKTE Tilbyr rettsmedisinske verktøy for filsystemer, minne- og nettverksundersøkelser for å utføre dyptgående rettsmedisinske undersøkelser.

I 2007, SIKTE var tilgjengelig for nedlasting og var hardkodet, så når en oppdatering kom, måtte brukerne laste ned den nyere versjonen. Med ytterligere innovasjon i 2014, SIKTE ble tilgjengelig som en robust pakke på Ubuntu, og kan nå lastes ned som en arbeidsstasjon. Senere, i 2017, en versjon av SIKTE kom til markedet og tillot større funksjonalitet og ga brukerne muligheten til å utnytte data fra andre kilder. Denne nyere versjonen inneholder mer enn 200 verktøy fra tredjepart, og inneholder en pakkebehandler som krever at brukere bare skriver en kommando for å installere en pakke. Denne versjonen er mer stabil, mer effektiv og gir bedre funksjonalitet når det gjelder minneanalyse. SIKTE er skriftlig, noe som betyr at brukere kan kombinere visse kommandoer for å få det til å fungere i henhold til deres behov.

SIKTE kan kjøre på et hvilket som helst system som kjører på Ubuntu eller Windows OS. SIFT støtter forskjellige bevisformater, inkludert Aff, E01, og rått format (Dd). Memory Forensics -bilder er også kompatible med SIFT. For filsystemer støtter SIFT Ext2, EXT3 for Linux, HFS for Mac og FAT, V-FAT, MS-DOS og NTFS for Windows.

Installasjon

For at arbeidsstasjonen skal fungere jevnt, må du ha god RAM, god CPU og en enorm harddiskplass (15 GB anbefales). Det er to måter å installere på SIKTE:

• VMware/VirtualBox

For å installere SIFT -arbeidsstasjon som en virtuell maskin på VMware eller VirtualBox, last ned .ova Formatfil fra følgende side:

https: // digital-formensics.sans.org/fellesskap/nedlastinger
Importer deretter filen i VirtualBox ved å klikke på Importalternativ. Etter at installasjonen er fullført, bruk følgende legitimasjon for å logge inn:

Innlogging = Sansforensics

Passord = rettsmedisinske

• Ubuntu

For å installere SIFT -arbeidsstasjon på Ubuntu -systemet ditt, gå først til følgende side:

https: // github.com/teamdfir/sift-cli/utgivelser/tag/v1.8.5

På denne siden, installer følgende to filer:

SIFT-CLI-LINUX
SIFT-CLI-LINUX.SHA256.ASC

Importer deretter PGP -tasten ved å bruke følgende kommando:

ubuntu@ubuntu: ~ $ gpg -keyServer hkp: // basseng.SKS-KeyServer.Nett: 80
--RECV-Keys 22598A94

Valider signaturen ved å bruke følgende kommando:

ubuntu@ubuntu: ~ $ gpg-verifiser sikt-cli-linux.SHA256.ASC

Valider SHA256 -signaturen ved å bruke følgende kommando:

ubuntu@ubuntu: ~ $ sha256sum -c sikt-cli-linux.SHA256.ASC

(En feilmelding om formaterte linjer i saken ovenfor kan ignoreres)

Flytt filen til stedet /usr/local/bin/sikt og gi den riktige tillatelser ved å bruke følgende kommando:

ubuntu@ubuntu: ~ $ chmod 755/usr/local/bin/sift

Til slutt, kjør følgende kommando for å fullføre installasjonen:

ubuntu@ubuntu: ~ $ sudo sikt installasjon

Etter at installasjonen er fullført, angir du følgende legitimasjon:

Innlogging = Sansforensics

Passord = rettsmedisinske

En annen måte å kjøre SIFT er å bare starte ISO i en oppstartbar stasjon og kjøre den som et komplett operativsystem.

Verktøy

SIFT-arbeidsstasjonen er utstyrt med mange verktøy som brukes til dyptgående rettsmedisinske og hendelsesundersøkelser. Disse verktøyene inkluderer følgende:

• Outopsi (filsystemanalyseverktøy)

Obduksjon er et verktøy som brukes av militæret, rettshåndhevelsen og andre byråer når det er et rettsmedisinsk behov. Obduksjon er i utgangspunktet en gui for den veldig berømte Sleuthkit. Sleuthkit tar bare kommandolinjeinstruksjoner. På den annen side gjør obduksjon den samme prosessen enkel og brukervennlig. Ved å skrive følgende:

ubuntu@ubuntu: ~ $ obduksjon
En skjerm, som følger, vil vises:
=================================================
Obduksjons rettsmedisinske nettleser
http: // www.Sleuthkit.org/obduksjon/
Ver 2.24
=================================================
Bevis skap:/var/lib/obduksjon
Starttid: ons 17. juni 00:42:46 2020
Fjern vert: Localhost
Lokal port: 9999
Åpne en HTML -nettleser på den eksterne verten og lim inn denne URL -en i den:
http: // localhost: 9999/obduksjon

På navigering til http: // localhost: 9999/obduksjon På hvilken som helst nettleser vil du se siden nedenfor:

Det første du må gjøre er å opprette en sak, gi det et saksnummer og skrive etterforskernes navn for å organisere informasjonen og beviset. Etter å ha lagt inn informasjonen og truffet NESTE Knapp, du vil siden vist nedenfor:

Dette skjermbildet viser hva du skrev som saksnummer og saksinformasjon. Denne informasjonen er lagret på biblioteket /var/lib/obduksjon/.

Ved å klikke Legg til vert, Du vil se følgende skjermbilde, der du kan legge til vertsinformasjonen, for eksempel navn, tidssone og vertsbeskrivelse ..

Klikk NESTE tar deg til en side som krever at du gir et bilde. E01 (Ekspert vitneformat), Aff (Advanced Forensics Format), Dd (Rått format), og minnemensikkbilder er kompatible. Du vil gi et bilde, og la obduksjonen gjøre sitt arbeid.

• fremst (File Carving Tool)

Hvis du vil gjenopprette filer som gikk tapt på grunn av deres interne datastrukturer, overskrifter og bunntekst, fremst kan bli brukt. Dette verktøyet tar innspill i forskjellige bildeformater, for eksempel de som genereres ved hjelp av DD, Encase osv. Utforsk alternativene til dette verktøyet ved å bruke følgende kommando:

ubuntu@ubuntu: ~ $ fremst -h
-D - Slå på indirekte blokkdeteksjon (for UNIX -filsystemer)
-I - Spesifiser inndatafil (standard er stdin)
-A - Skriv alle overskrifter, utfør ingen feildeteksjon (korrupte filer) Ash
-W - Skriv bare revisjonsfilen, ikke skriv noen oppdagede filer til disken
-o - Angi utdatakatalog (standard for å utdype)
-C - Angi konfigurasjonsfilen som skal brukes (standard til fremst.konf)
-Q - Aktiverer rask modus.

• binwalk

Å administrere binære biblioteker, binwalk benyttes. Dette verktøyet er en viktig ressurs for de som vet hvordan de skal bruke det. Binwalk regnes som det beste verktøyet som er tilgjengelig for omvendt engineering og trekke ut firmwarebilder. Binwalk er enkel å bruke og inneholder enorme evner. Ta en titt på Binwalk Hjelp Side for mer informasjon ved hjelp av følgende kommando:

ubuntu@ubuntu: ~ $ binwalk -hjelp
Bruk: binwalk [alternativer] [File1] [File2] [File3] ..
Signaturskannealternativer:
-B, -signatur skanner målfil (er) for vanlige filsignaturer
-R, - -RAW = skanner målfil (er) for den spesifiserte sekvensen av byte
-A, -OPCODES SCAN MÅL FIL (er) for vanlige kjørbare opcode -signaturer
-M, - -Magisk = spesifiser en tilpasset magisk fil som skal brukes
-B, - - -dumm deaktiverer smarte signatur nøkkelord
-I, -Invalid viser resultater markert som ugyldige
-x, -exclude = ekskludere resultater som samsvarer
-y, -include = bare vis resultater som samsvarer
Ekstraksjonsalternativer:
-E, -Ekstrakt trekker ut kjente filtyper automatisk
-D, - -dd = trekke ut signaturer, gi filene en
forlengelse av og utfør
-M, -Matryoshka skanner rekursivt ekstraherte filer
-D, - -Dypth = Limt Matryoshka Recursion Depth (standard: 8 nivåer dypt)
-C, - -Directory = Pakk ut filer/mapper til en tilpasset katalog
-j, -størrelse = Begrens størrelsen på hver ekstrahert fil
-n, -count = begrens antall ekstraherte filer
-r, - -rm slette utskårne filer etter utvinning
-Z, -CARVE CHARVE DATA fra filer, men ikke utfør utvinningsverktøy
Entropianalysealternativer:
-E, -Entropy Beregn filentropi
-F, -rask bruk raskere, men mindre detaljert, entropianalyse
-J, -Save Save Plot som en PNG
-Q, -Nlegend utelater legenden fra Entropy Plot -grafen
-N, -nplot ikke genererer en entropi plottgraf
-H, -Høy = sett den stigende kantets entropi -triggerterskel (standard: 0.95)
-L, -lav = sett den fallende kantets entropi -triggerterskel (standard: 0.85)
Binære diffingalternativer:
-W, - -HEXDUMP Utfør en hexdump / diff av en fil eller filer
-G, -Green viser bare linjer som inneholder byte som er de samme blant alle filene
-Jeg, -Red bare viser linjer som inneholder byte som er forskjellige mellom alle filer
-U, --blue viser bare linjer som inneholder byte som er forskjellige blant noen filer
-W, -Terse diff Alle filer, men viser bare en hex -dump av den første filen
Rå komprimeringsalternativer:
-X, -deflate skanning for rå deflate kompresjonsstrømmer
-Z, - -LZMA -skanning for rå LZMA -kompresjonsstrømmer
-P, -Partial utfører en overfladisk, men raskere, skanning
-S, -stopp stopp etter det første resultatet
Generelle alternativer:
-L, -Lengde = antall byte for å skanne
-o, -Offset = start skanning på denne filforskyvningen
-O, - -base = legg til en baseadresse til alle utskrevne forskyvninger
-K, -Block = Sett filblokkstørrelse
-g, -swap = snu hver n byte før skanning
-f, - -log = loggresultater til fil
-C, - -CSV Log Results to File In CSV -format
-t, -terminformatutgang for å passe til terminalvinduet
-Q, -Rett undertrykker output til stdout
-V, -Verbose Aktiver verbose output
-H, -Hjelp Vis hjelp
-A, -Finclude = Bare skannefiler hvis navn stemmer overens med denne regexen
-P, -FexClude = Ikke skann filer hvis navn stemmer overens med denne regexen
-s, --status = Aktiver statusserveren på den spesifiserte porten

• Volatilitet (minneanalyseverktøy)

Volatilitet er et populært minneanalyse rettsmedisinske verktøy som brukes til å inspisere flyktige minnedumper og for å hjelpe brukere til å hente viktige data lagret i RAM på hendelsestidspunktet. Dette kan omfatte filer som er endret eller prosesser som kjøres. I noen tilfeller kan nettleserhistorikk også bli funnet ved bruk av volatilitet.

Hvis du har en minnedump og vil kjenne operativsystemet, bruk følgende kommando:

ubuntu@ubuntu: ~ $ .Vol.py imageino -f

Utgangen fra denne kommandoen vil gi en profil. Når du bruker andre kommandoer, må du gi denne profilen som en omkrets.

For å få riktig KDBG -adresse, bruk KDBGSCAN Kommando, som skanninger for KDBG-overskrifter, merker koblet til volatilitetsprofiler, og bruker en gang for å bekrefte at alt er greit å minske falske positive. Verbositeten til utbyttet og antall en gang-overs som kan utføres avhenger av om volatilitet kan oppdage en DTB. Så på sjansen for at du kjenner riktig profil, eller hvis du har en profilanbefaling fra ImageInfo, må du huske å bruke riktig profil. Vi kan bruke profilen med følgende kommando:

ubuntu@ubuntu: ~ $ .Vol.py profil = KDBGSCAN
-f

Å skanne kjerneprosessorkontrollregionen (Kpcr) strukturer, bruk KPCRSCAN. Hvis det er et multiprosessorsystem, har hver prosessor sin egen kjerneprosessorskanningsregion.

Skriv inn følgende kommando for å bruke KPCRScan:

ubuntu@ubuntu: ~ $ .Vol.py profil = KPCRSCAN
-f

Å skanne etter malwares og rootkits, Psscan benyttes. Dette verktøyet skanninger for skjulte prosesser knyttet til rootkits.

Vi kan bruke dette verktøyet ved å legge inn følgende kommando:

ubuntu@ubuntu: ~ $ .Vol.py profil = Psscan
-f

Ta en titt på Man -siden for dette verktøyet med hjelpekommandoen:

ubuntu@ubuntu: ~ $ volatilitet -h
Alternativer:
-h, -hjelp liste alle tilgjengelige alternativer og standardverdiene.
Standardverdier kan settes i konfigurasjonsfilen
(/etc/volatilityRc)
--Confile =/Home/Usman/.Volatilitetrc
Brukerbasert konfigurasjonsfil
-D, -Debug Debug Volatility
--plugins = plugins ekstra plugin -kataloger å bruke (kolon separert)
--Informasjon om informasjon om alle registrerte objekter
--Cache-Directory =/Home/Usman/.Cache/volatilitet
Katalog der hurtigbufferfiler er lagret
--Cache Bruk hurtigbufring
--TZ = TZ setter (Olson) tidssone for å vise tidsstempler
ved hjelp av pytz (hvis installert) eller TZSet
-f filnavn, --filenavn = filnavn
Filnavn å bruke når du åpner et bilde
--PROFIL = WINXPSP2X86
Profilens navn for å laste inn (bruk -Info for å se en liste over støttede profiler)
-l Plassering, -Lokalisering = beliggenhet
En urnested for å laste inn et adresseplass
-W, -Skriv Aktiver skrivestøtte
--DTB = DTB DTB -adresse
--Shift = Shift Mac Kaslr Shift Address
--output = tekstutgang i dette formatet (støtte er modulspesifikk, se
Modulutgangsalternativene nedenfor)
--output-fil = output_file
Skriv utgang i denne filen
-V, -Verbose Verbose informasjon
--Physical_shift = Physical_shift
Linux Kernel fysisk skiftadresse
--virtual_shift = virtual_shift
Linux Kernel virtuell skiftadresse
-G KDBG,-KDBG = KDBG Angi en virtuell KDBG
Windows 8 og over dette er adressen til
KdcopyDatablock)
--Kraftkraftutnyttelse av mistenkt profil
--cookie = cookie spesifiser adressen til nt!Obheadercookie (gyldig for
Bare Windows 10)
-K KPCR, -KPCR = KPCR Angi en spesifikk KPCR -adresse
Støttede plugin -kommandoer:
Amcache Print Amcache Information
Apihooks oppdager API -kroker i prosess- og kjerneminne
Atoms Print Session and Window Station Atom Tables
Atomscan bassengskanner for atombord
AuditPol skriver ut revisjonspolicyene fra HKLM \ Security \ Policy \ Poladtev
Bigpools dumper Big Page -bassengene ved hjelp av BigPagePoolscanner
Bioskbd leser tastaturbufferen fra ekte modusminne
CacheDump Dumps Cached Domain Hashes fra minnet
tilbakeringinger av utskrift av systemomfattende varslingsrutiner
Utklippstavle trekker ut innholdet i Windows Clipboard
cmdline display prosess kommandolinje argumenter
CMDSCAN Extract Command History ved å skanne for _command_history
Tilkoblinger Utskriftsliste over åpne tilkoblinger [bare Windows XP og bare 2003]
Connscan Pool Scanner for TCP -tilkoblinger
Konsoller trekker ut kommandohistorikk ved å skanne for _console_information
CrashInfo Dump Crash-Dump Informasjon
Deskscan PoolScaner for Tagdesktop (stasjonære maskiner)
Devicetree Show Device Tree
dlldump dump dlls fra et prosessadresseom
dlllist utskriftsliste over lastede DLL -er for hver prosess
DriverIRP -driveren IRP Hook -deteksjon
DriverModule tilknyttede driverobjekter til kjernemoduler
DrivereScan Pool Scanner for driverobjekter
Dumpcerts Dump RSA Private og Public SSL Keys
Dumpfiles trekker ut minnet kartlagt og hurtigbufrede filer
Dumpregistry dumper registerfiler ut til disk
GDitimers Print installerte GDI -tidtakere og tilbakeringinger
GDT Vis global deskriptorbord
getServicesids får navnene på tjenester i registeret og returnerer SID
getSids skriver ut sidene som eier hver prosess
håndterer utskriftsliste over åpne håndtak for hver prosess
Hashdump Dumps Passwords Hashhes (LM/NTLM) fra minnet
Hibinfo dump dvale filinformasjon
Lsadump Dump (dekryptert) LSA -hemmeligheter fra registeret
machoinfo dump mach-o filformat informasjon
Memmap Skriv ut minnekartet
Messagehooks List Desktop og Thread Window Message Hooks
MFTParser skanner etter og analyserer potensielle MFT -oppføringer
Moddump Dump en kjernedriver til en kjørbar filprøve
Modscan Pool Scanner for kjernemoduler
Moduler Utskriftsliste over lastede moduler
Multiscan skanner etter forskjellige objekter samtidig
Mutantscan bassengskanner for mutex -objekter
Notisblokkliste viste for øyeblikket notisblokk tekst
ObjTypeScan skanner etter objekter av Windows -objekter
Patcher lapper minne basert på sideskanninger
PoolPeek konfigurerbar bassengskannerplugin

• Hashdeep eller MD5Deep (Hashing Tools)

Det er sjelden mulig at to filer har samme MD5 -hasj, men det er umulig for en fil å bli endret med MD5 -hashen som forblir den samme. Dette inkluderer integriteten til filene eller bevisene. Med en duplikat av stasjonen, kan hvem som helst granske dens pålitelighet og ville tro et sekund at stasjonen ble satt der bevisst. For å få bevis på at stasjonen som vurderes er originalen, kan du bruke hashing, som vil gi en hasj til en kjøretur. Hvis til og med et enkelt stykke informasjon blir endret, vil hasj endres, og du vil kunne vite om stasjonen er unik eller en duplikat. For å sikre integriteten til stasjonen og at ingen kan stille spørsmål ved den, kan du kopiere disken for å generere en MD5 -hasj på stasjonen. Du kan bruke MD5SUM For en eller to filer, men når det gjelder flere filer i flere kataloger, er MD5Deep det beste tilgjengelige alternativet for å generere hashes. Dette verktøyet har også muligheten til å sammenligne flere hasjer samtidig.

Ta en titt på MD5Deep Man -siden:

ubuntu@ubuntu: ~ $ md5deep -h
$ md5deep [alternativ] ... [filer] ..
Se mannsiden eller readme.txt -fil eller bruk -hh for hele listen over alternativer
-P - Piecewise Mode. Filer er brutt i blokker for hashing
-R - rekursiv modus. Alle underkataloger er krysset
-E - Vis estimert tid som gjenstår for hver fil
-s - stille modus. Undertrykke alle feilmeldinger
-Z - Vis filstørrelse før hasj
-M - Aktiverer matchende modus. Se Readme/Man -siden
-X - Aktiverer negativ samsvarsmodus. Se Readme/Man -siden
-M og -x er de samme som -m og -x, men skriver også ut hashes av hver fil
-W - Viser som kjente filer genererte en kamp
-N - Viser kjente hasj som ikke stemte overens med noen inndatafiler
-a og -a legg til en enkelt hasj til det positive eller negative matchende settet
-B - skriver bare det nakne navnet på filer; All baneinformasjon er utelatt
-L - Skriv ut relative stier for filnavn
-T - Skriv ut GMT Timestamp (CTime)
-I/I - Bare prosessfiler mindre/større enn størrelse
-V - Vis versjonsnummer og exit
-d - utgang i dfxml; -u - unnslippe Unicode; -W -fil - Skriv til fil.
-J - Bruk NUM -tråder (standard 4)
-Z - Triage Mode; -h - hjelp; -hh - Full hjelp

• Exiftool

Det er mange verktøy som. Exiftool er et åpen kildekodeverktøy som brukes til å se, endre, manipulere og trekke ut et bildes metadata med bare noen få kommandoer. Metadata gir tilleggsinformasjon om et element; For et bilde vil metadata være oppløsningen, når det ble tatt eller opprettet, og kameraet eller programmet som ble brukt til å lage bildet. Exiftool kan brukes til ikke bare. For å undersøke metadataene til et bilde i rått format, bruk følgende kommando:

ubuntu@ubuntu: ~ $ exif

Denne kommandoen lar deg opprette data, for eksempel å endre dato, tid og annen informasjon som ikke er oppført i de generelle egenskapene til en fil.

Anta at du trenger å navngi hundrevis av filer og mapper ved hjelp av metadata for å opprette dato og klokkeslett. For å gjøre det, må du bruke følgende kommando:

ubuntu@ubuntu: ~ $ exif '-filename
Opprettet: Sorter etter filens opprettelsesdato og tid
-D: Angi formatet
-R: Rekursiv (bruk følgende kommando på hver fil i den gitte banen)
-Utvidelse: Utvidelse av filer som skal endres (JPEG, PNG, etc.)
-Path to File: Plassering av mappen eller undermappen
Ta en titt på Exiftool Man -siden:
ubuntu@ubuntu: ~ $ exif --hjelp
-V, -Version Display Software Version
-Jeg, --Der viser ID -er i stedet for tagnavn
-t, - -tag = tagg Velg tag
--IFD = IFD SELECT IFD
-l,-list-tags liste alle exif-tagger
-|,-Show-Mnote Vis innhold av tag MakerNote
--fjern fjerne taggen eller IFD
-s,-Show-beskrivelse Vis beskrivelse av taggen
-e,-extract-t itatekstrakt miniatyrbilde
-R,-Før-tittatyren Fjern miniatyrbildet
-n,-Insert-ttimnail = filinnsatsfil som miniatyrbilde
--No-Fixup Ikke fikser eksisterende tagger i filer
-o, -output = fil Skriv data til fil
--set-verdi = strengverdi på taggen
-c,-create-exif opprette exif-data hvis ikke eksisterende
-M,-Maskin-lesbar utgang i et maskinlesbart (tab avgrenset) format
-w, -bredde = bredde bredde på utgangen
-x, --xml-output-utgangen i et XML-format
-D, -Debug viser feilsøkingsmeldinger
Hjelpemuligheter:
-?, --Hjelp med å vise denne hjelpemeldingen
--Bruk Vis kort bruksmelding

• DCFLDD (Disk Imaging Tool)

Et bilde av en disk kan fås dcfldd nytte. For å få bildet fra disken, bruk følgende kommando:

ubuntu@ubuntu: ~ $ dcfldd if = av
BS = 512 telling = 1 hash =
hvis = destinasjon for stasjon som du skal lage et bilde
av = destinasjon der kopiert bilde vil bli lagret
BS = Blokkstørrelse (antall byte å kopiere om gangen)
hash = hash type (valgfritt)

Ta en titt på DCFLDD -hjelpesiden for å utforske forskjellige alternativer for dette verktøyet ved å bruke følgende kommando:

ubuntu@ubuntu: ~ $ dcfldd -hjelp
DCFLDD -Hjelp
Bruk: DCFLDD [alternativ] ..
Kopier en fil, konvertering og formatering i henhold til alternativene.
BS = byte kraft IBS = byte og obs = byte
CBS = byte konverterer byte byte om gangen
Conv = nøkkelord konverter filen i henhold til komma -separat nøkkelordliste
Count = blokkerer kun kopiering av inngangsblokker
IBS = byte leste byte byte om gangen
hvis = fillest fra filen i stedet for stdin
OBS = byte skriver byte byte om gangen
av = fil skriv til fil i stedet for stdout
Merk: av = fil kan brukes flere ganger til å skrive
utgang til flere filer samtidig
av: = kommando exec og skriv output til prosesskommando
Søk = blokker hoppblokker OBS-størrelse blokker ved utgangen av produksjonen
hopp over = blokker hoppblokker IBS-størrelse blokker ved start av inngang
mønster = hex Bruk det spesifiserte binære mønsteret som inngang
textPattern = tekst Bruk gjenta tekst som inndata
Errlog = Fil Send feilmeldinger til fil så vel som stderr
Hashwindow = byte utfører en hasj på hver byte mengde data
Hash = Navn enten MD5, SHA1, SHA256, SHA384 eller SHA512
Standard algoritme er MD5. For å velge flere
Algoritmer for å kjøre samtidig som du skriver inn navnene
I en komma -separert liste
Hashlog = Fil Send MD5 Hash -utgang til fil i stedet for stderr
Hvis du bruker flere hash -algoritmer deg
kan sende hver til en egen fil ved hjelp av
konvensjonsalgorithMlog = Fil, for eksempel
MD5Log = File1, Sha1Log = File2, etc.
Hashlog: = kommando exec og skriv hashlog for å behandle kommandoen
AlgorithMlog: = Kommando fungerer også på samme måte
HashConv = [før | etter] utfør hashingen før eller etter konverteringene
Hashformat = Format Vis hver Hashwindow i henhold til format
Hash-formatet minispråk er beskrevet nedenfor
TotalHashFormat = Format Vis den totale hasjverdien i henhold til format
Status = [på | av] Vis en kontinuerlig statusmelding på stderr
Standard tilstand er "på"
StatusInterval = N Oppdater statusmeldingen hver N -blokkering
Standardverdien er 256
størrelseprobe = [hvis | av] bestemmer størrelsen på inngangs- eller utgangsfilen
for bruk med statusmeldinger. (Dette alternativet
gir deg en prosentvis indikator)
Advarsel: Ikke bruk dette alternativet mot en
Tapeenhet.
Du kan bruke et hvilket som helst antall 'a' eller 'n' i en hvilken som helst kombinasjonsboksen
Standardformatet er "NNN"
Merk: Alternativer for delte og delte format trer i kraft
Bare for utgangsfiler spesifisert etter sifre i
Enhver kombinasjon du vil ha.
(e.g. "Anaannnaana" ville være gyldig, men
ganske sinnssyk)
VF = Fil Bekreft at filen samsvarer med den spesifiserte inngangen
verifyLog = Fil Send Verify Results til File i stedet for stderr
verifyLog: = kommando exec og skriv verifisere resultater for å behandle kommandoen
--Hjelp med å vise denne hjelpen og avslutte
--Versjonsutgangsversjonsinformasjon og exit
ascii fra ebcdic til ascii
Ebcdic fra ascii til ebcdic
IBM fra ASCII til vekslet ebcdic
Blokker Pad Newline-terminerte poster med mellomrom til CBS-størrelse
Fjern blokkering erstatter etterfølgende rom i CBS-størrelse rekorder med Newline
LCase Endre store saker til små bokstaver
Notrunc ikke avkortet utdatafilen
UCase Endre små bokstaver til store bokstaver
Pinne bytter hvert par inputbyte
NoError fortsetter etter lest feil
Synkroniser hver inngangsblokk med NULS til IBS-størrelse; når det brukes

Jukselapper

Nok en kvalitet på SIKTE Arbeidsstasjon er juksearkene som allerede er installert med denne distribusjonen. Juksearkene hjelper brukeren i gang. Når du utfører en undersøkelse, minner juksearkene brukeren om alle de kraftige alternativene som er tilgjengelige med dette arbeidsområdet. Juksearkene lar brukeren få tak i de nyeste rettsmedisinske verktøyene. Jukseark med mange viktige verktøy er tilgjengelige på denne distribusjonen, for eksempel juksearket tilgjengelig for Skyggelinjeoppretting:

Et annet eksempel er juksearket for det berømte Sleuthkit:

Jukseark er også tilgjengelig for Minneanalyse Og for å montere alle slags bilder:

Konklusjon

SANS -undersøkende rettsmedisinske verktøysett (SIKTE) har de grunnleggende mulighetene til alle andre rettsmedisinske verktøysett, og inkluderer også alle de nyeste kraftige verktøyene som trengs for å utføre en detaljert rettsmedisinske analyser på E01 (Ekspert vitneformat), Aff (Advanced Forensics Format) eller Raw Image (Dd) formater. Minneanalyseformat er også kompatibel med SIFT. SIFT plasserer strenge retningslinjer for hvordan bevis blir analysert, og sikrer at bevisene ikke er tuklet med (disse retningslinjene har skrivebeskyttet tillatelser). De fleste verktøyene som er inkludert i SIFT er tilgjengelige gjennom kommandolinjen. SIFT kan også brukes til å spore nettverksaktiviteten, gjenopprette viktige data og lage en tidslinje på en systematisk måte. På grunn av denne distribusjonens evne til å undersøke disker og flere filsystemer grundig er SIFT på toppnivå i rettsmedisinske felt og regnes som en veldig effektiv arbeidsstasjon for alle som jobber i rettsmedisinske. Alle verktøyene som kreves for enhver rettsmedisinsk undersøkelse er inneholdt i Sikt arbeidsstasjon opprettet av Sans rettsmedisinske team og Rob Lee .