Phenquestions
Вступление
В прошлый раз мы рассмотрели 14 инструментов криминалистики, которые присутствуют в Kali Linux, и объяснили их назначение и особые возможности. Сегодня мы собираемся представить 14 криминалистических инструментов из известной библиотеки «The Sleuth Kit» (TSK), упакованных в обновление Kali Linux 2020 года. Вы можете найти эти инструменты в раскрывающемся списке Forensics под названием Sleuth Kit Suite tools в Kali Whisker Menu.
blkcalc
Инструмент blkcalc - это криминалистический инструмент, который преобразует нераспределенные точки на диске в обычные точки на диске. Эта программа создает номер точки, который отображает два изображения. Одно из этих изображений нормальное, а другое содержит нераспределенные номера точек первого изображения. Этот инструмент может поддерживать многие типы файловых систем. Если файловая система не определена в начале, blkcalc имеет уникальную функцию методов автоопределения для определения типа файловой системы.
tsk_comparedir
С помощью инструмента tsk_comparedir содержимое изображения сравнивается с содержимым каталога сравнения. Это лучший инструмент на этапе тестирования для выявления руткитов (вредоносного кода или файлов). Тест руткита выполняется путем сравнения содержимого локального каталога с локальным необработанным устройством. Эти руткиты не скрываются при доступе и чтении с необработанного устройства.
tsk_gettimes
Криминалистический инструмент tsk_gettimes основан на библиотеке набора для поиска сыщиков. Этот инструмент собирает время MAC (фрагменты метаданных файловой системы) из указанного образа диска и преобразует время в основной файл. Инструмент tsk_gettimes проверяет каждую файловую систему в разделе или образе диска и обрабатывает данные внутри. Результатом работы этого инструмента являются данные образа диска в формате тела времени MAC, которые затем можно использовать в качестве входных данных для системы для генерации хронологии файловой активности. Затем данные распечатываются в виде файла с помощью команды STDOUT.
blkcat
Инструмент blkcat - это быстрый и эффективный инструмент судебной экспертизы, заключенный в Kali. Цель этого инструмента - отображать содержимое данных, хранящихся в образе диска файловой системы. На выходе отображается количество блоков данных, начиная с основного адреса блока и распечаток, в различных форматах, которые можно указать и отсортировать. По умолчанию выходной формат является необработанным, его также называют dcat.
tsk_loaddb
Инструмент tsk_loaddb загружает метаданные из образа диска в базу данных SQLite, которая является используемой базой данных для анализа другими программными инструментами. База данных хранится в каталоге изображений для облегчения доступа. Этот инструмент поддерживает множество файловых систем и может вычислить хеш-значение MD5 для каждого файла.
blkstat
Инструмент набора поисковиков blkstat отображает всю информацию, касающуюся блоков данных файловой системы. Этот инструмент возвращает данные о статусе выделения блока или сектора файловой системы. Этот инструмент может использовать команду addr, которая показывает статистику фрагмента данных и также называется dstat.
найти
Инструмент ffind использует индексный дескриптор для поиска имени каталога или файла в образе диска. Файлы, назначенные идентификатору файла inode на разделе диска, имеют имена; по умолчанию этот инструмент возвращает только первое найденное имя. Инструмент ffind может даже находить имена удаленных файлов, что является особой способностью этого инструмента. Кроме того, инструмент ffind также может находить несколько имен файлов.
hfind
Инструмент hfind ищет хеш-значения в хеш-базах данных. Хеш-значения ищутся с использованием алгоритма двоичного поиска. Цель использования этого алгоритма - позволить пользователям легко создавать хеш-базы данных и быстро идентифицировать файл, известен он или неизвестен. Этот инструмент использует библиотеку NSRL и возвращает md5sum. Этот инструмент очень эффективен, поскольку он создает индексный файл, который уже отсортирован и содержит записи фиксированной длины, что делает поиск очень быстрым.
fls
В названии fls используется термин «ls», обозначающий перечисление содержимого папки. Инструмент fls перечисляет все имена файлов и каталоги в файле изображения и может даже отображать имена файлов, которые были недавно удалены. Если идентификатор файла или индексный дескриптор не используется, используется корневой каталог.
mmcat
Инструмент mmcat - это судебно-медицинский инструмент, который возвращает содержимое раздела через функцию печати. Этот инструмент извлекает все данные в разделе в отдельный файл.
sigfind
Этот инструмент находит двоичную подпись, присутствующую внутри файла. Эта двоичная подпись называется hex_signature и присутствует в каждом файле. Этот инструмент можно использовать для поиска потерянных суперблоков, разделов или таблиц образов, а также загрузочных секторов. Для поиска двоичной подписи следует использовать шестнадцатеричный формат.
я нахожу
Этот инструмент ищет структуру необработанных данных файла, который размещен на определенном диске или имени файла. Иногда любая из этих структур метаданных может быть нераспределена, но этот инструмент все равно будет получать результаты.
сортировщик
Инструмент сортировки - это инструмент-скрипт «perl», который выполняет сортировку файловой системы, чтобы разделить ее на выделенные и нераспределенные файлы в зависимости от типа файла. Этот инструмент запускает команду для каждого файла и сортирует файлы в соответствии с файлами конфигурации. Типы файлов включают скрытые файлы, хеш-файлы для хэш-баз данных, файлы, заведомо исправные, и те, которые следует изменить. Файлы конфигурации, используемые по умолчанию, берутся из того места, где установлен инструмент, но это можно изменить с помощью решений во время выполнения.
tsk_recover
Этот инструмент переносит файлы с раздела диска в локальный корневой каталог. Восстановленные файлы по умолчанию являются только неразмеченными файлами. С помощью определенных команд можно экспортировать все файлы.
Заключение
Эти 14 инструментов поставляются с Kali Linux live, а также с образами установщика, они имеют открытый исходный код и находятся в свободном доступе. Эти инструменты можно найти в меню усов Kali в папке Sleuth Kit Suite. Инструменты получают частые обновления от TSK для исправления мелких ошибок.
