Криминалистика становится очень важной в кибербезопасности для обнаружения и преследования преступников Black Hat. Важно удалить вредоносные бэкдоры / вредоносные программы хакеров и отследить их, чтобы избежать любых возможных инцидентов в будущем. В режиме Kali Forensics операционная система не монтирует какие-либо разделы жесткого диска системы и не оставляет никаких изменений или отпечатков пальцев в системе хоста.
Kali Linux поставляется с предустановленными популярными криминалистическими приложениями и наборами инструментов. Здесь мы рассмотрим некоторые известные инструменты с открытым исходным кодом, присутствующие в Kali Linux.
Массовый экстрактор
Bulk Extractor - это многофункциональный инструмент, который может извлекать полезную информацию, такую как номера кредитных карт, имена доменов, IP-адреса, электронные письма, номера телефонов и URL-адреса, из вещественных доказательств с жестких дисков / файлов, обнаруженных во время судебно-медицинской экспертизы. Это полезно при анализе изображений или вредоносных программ, а также помогает в кибер-расследованиях и взломе паролей. Он составляет списки слов на основе информации, полученной из свидетельств, которые могут помочь во взломе паролей.
Bulk Extractor популярен среди других инструментов из-за его невероятной скорости, совместимости с несколькими платформами и тщательности. Он быстрый благодаря многопоточным функциям и может сканировать любые типы цифровых носителей, включая жесткие диски, твердотельные накопители, мобильные телефоны, камеры, SD-карты и многие другие типы.
Bulk Extractor имеет следующие интересные особенности, которые делают его более предпочтительным,
- Он имеет графический интерфейс под названием «Bulk Extractor Viewer», который используется для взаимодействия с Bulk Extractor
- Он имеет несколько вариантов вывода, таких как отображение и анализ выходных данных в гистограмме.
- Его можно легко автоматизировать с помощью Python или других языков сценариев.
- Поставляется с некоторыми заранее написанными скриптами, которые можно использовать для дополнительного сканирования
- Его многопоточность может быть более быстрой в системах с несколькими ядрами ЦП.
Использование: bulk_extractor [параметры] файл изображения
запускает массовый экстрактор и выводит в стандартный вывод сводку того, что было найдено, где
Обязательные параметры:
imagefile - файл для извлечения
или -R filedir - рекурсивный переход по каталогу файлов
ПОДДЕРЖИВАЕТ ФАЙЛЫ E01
ИМЕЕТ ПОДДЕРЖКУ ДЛЯ ФАЙЛОВ AFF
-o outdir - указывает выходной каталог. Не должно существовать.
bulk_extractor создает этот каталог.
Параметры:
-i - режим ИНФОРМАЦИЯ. Сделайте быструю случайную выборку и распечатайте отчет.
-b баннер.txt- Добавить баннер.txt в начало каждого выходного файла.
-r alert_list.txt - файл, содержащий список предупреждений о функциях для предупреждения
(может быть файл функции или список глобусов)
(можно повторить.)
-w stop_list.txt - файл, содержащий стоп-лист функций (белый список
(может быть файл функции или список глобусов) s
(можно повторить.)
-F
-ж
результаты идут в поиск.текст
… Отрезать…
Пример использования
[электронная почта защищена]: ~ # bulk_extractor -o секрет вывода.img
Вскрытие
Autopsy - это платформа, которая используется кибер-расследователями и правоохранительными органами для проведения криминалистических операций и отчетности по ним. Он сочетает в себе множество отдельных утилит, которые используются для криминалистики и восстановления, и предоставляет им графический пользовательский интерфейс.
Autopsy - это бесплатный кроссплатформенный продукт с открытым исходным кодом, доступный для Windows, Linux и других операционных систем на базе UNIX. Autopsy может искать и исследовать данные с жестких дисков различных форматов, включая EXT2, EXT3, FAT, NTFS и другие.
Он прост в использовании, и его не нужно устанавливать в Kali Linux, поскольку он поставляется с предустановленными и предварительно настроенными.
Dumpzilla
Dumpzilla - это кроссплатформенный инструмент командной строки, написанный на языке Python 3, который используется для выгрузки связанной с судебной экспертизой информации из веб-браузеров. Он не извлекает данные или информацию, а просто отображает их в терминале, который можно передать, отсортировать и сохранить в файлах с помощью команд операционной системы. В настоящее время он поддерживает только браузеры на базе Firefox, такие как Firefox, Seamonkey, Iceweasel и т. Д.
Dumpzilla может получать следующую информацию из браузеров
- Может показывать просмотр в реальном времени пользователя во вкладках / окне.
- Загрузки пользователей, закладки и история.
- Веб-формы (поисковые запросы, электронные письма, комментарии…).
- Кеш / миниатюры ранее посещенных сайтов.
- Аддоны / расширения и используемые пути или URL-адреса.
- Пароли, сохраненные браузером.
- Файлы cookie и данные сеанса.
Использование: python dumpzilla.py browser_profile_directory [Параметры]
Параметры:
--Все (показывает все, кроме данных DOM. Не извлекает миниатюры или HTML 5 в автономном режиме)
--Файлы cookie [-showdom -domain
-Создайте
--Разрешения [-host
--Загрузки [-range
--Формы [-значение
--История [-url
-частота]
--Закладки [-range_bookmarks
… Отрезать…
Платформа цифровой криминалистики - DFF
DFF - это инструмент для восстановления файлов и платформа разработки Forensics, написанная на Python и C++. Он имеет набор инструментов и скрипт с командной строкой и графическим интерфейсом пользователя. Он используется для проведения судебно-медицинских расследований, а также для сбора цифровых доказательств и представления отчетов.
Он прост в использовании и может использоваться киберпрофессионалами, а также новичками для сбора и сохранения цифровой криминалистической информации. Здесь мы обсудим некоторые из его хороших функций
- Может выполнять криминалистику и восстановление как на локальных, так и на удаленных устройствах.
- Командная строка и графический интерфейс с графическими представлениями и фильтрами.
- Может восстанавливать разделы и диски виртуальных машин.
- Совместимость со многими файловыми системами и форматами, включая Linux и Windows.
- Может восстанавливать скрытые и удаленные файлы.
- Может восстанавливать данные из временной памяти, такой как сеть, процесс и т. Д
DFF
Система цифровой криминалистики
Использование: / usr / bin / dff [параметры]
Параметры:
-v --version отобразить текущую версию
-g - графический интерфейс запуска
-b --batch = FILENAME выполняет пакет, содержащийся в FILENAME
-l --language = LANG использовать LANG как язык интерфейса
-h --help отобразить это справочное сообщение
-d --debug перенаправить ввод-вывод на системную консоль
--verbosity = LEVEL установить уровень детализации при отладке [0-3]
-c --config = FILEPATH использовать файл конфигурации из FILEPATH
Самый главный
Foremost - это более быстрый и надежный инструмент восстановления на основе командной строки, позволяющий вернуть потерянные файлы в Forensics Operations. Foremost может работать с образами, созданными с помощью dd, Safeback, Encase и т. Д. Или непосредственно на диске. Foremost может восстанавливать exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar и многие другие типы файлов.
[электронная почта защищена]: ~ # передний -hпередовая версия x.Икс.x Джесси Корнблюм, Крис Кендалл и Ник Микус.
$ foremost [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - отобразить информацию об авторских правах и выйти
-t - указать тип файла. (-t jpeg, pdf…)
-d - включить косвенное обнаружение блоков (для файловых систем UNIX)
-i - указать входной файл (по умолчанию stdin)
-a - Записать все заголовки, не обнаруживать ошибок (поврежденные файлы)
-w - Записывать только файл аудита, не записывать на диск какие-либо обнаруженные файлы
-o - установить выходной каталог (по умолчанию выходной)
-c - установить файл конфигурации для использования (по умолчанию.conf)
… Отрезать…
Пример использования
[электронная почта защищена]: ~ # foremost -t exe, jpeg, pdf, png -i file-image.дд
Обработка: файл-изображение.дд
… Отрезать…
Заключение
Kali, наряду со своими знаменитыми инструментами тестирования на проникновение, также имеет целую вкладку, посвященную «Криминалистике». У него есть отдельный режим «Криминалистика», который доступен только для Live USB, в котором он не монтирует разделы хоста. Kali немного предпочтительнее других дистрибутивов Forensics, таких как CAINE, из-за его поддержки и лучшей совместимости.