Phenquestions
Вскрытие
Я считаю Autopsy, который по умолчанию входит в CAINE и Kali Linux, первым инструментом, который знакомится с криминалистикой благодаря графическому и интуитивно понятному интерфейсу для управления компьютерными криминалистическими инструментами. Autopsy оптимизирует процесс, используя несколько ядер процессора при работе в фоновом режиме, и может заранее сказать вам, приведет ли процесс к положительному результату. Autopsy также может использоваться в качестве графического интерфейса для различных инструментов командной строки, поддерживает расширения для интеграции со сторонними инструментами, такими как PhotoRec, уже представленные в LinuxHint, для улучшения и добавления функций.
Как уже говорилось, он по умолчанию установлен в Kali, а пользователи Debian и Ubuntu могут получить Autopsy, запустив:
apt установить вскрытие -y
Официальный сайт: https: // www.сыщик.org / аутопсия /
CAINE (Компьютерная среда расследования)
CAINE - это дистрибутив на основе Ubuntu Linux, специально разработанный для компьютерной криминалистики, он по умолчанию поставляется с Autopsy, создавая очень дружественную среду для пользователя. CAINE - отличный помощник в качестве ОС, поскольку по умолчанию он применяет общие методы криминалистической экспертизы, такие как защита запоминающих устройств от повреждения или перезаписи во время криминалистического процесса.
CAINE - это современный дистрибутив Linux, который настоятельно рекомендуется начать с компьютерной криминалистики.
Официальный сайт: https: // www.каин-лайв.сеть/
P0f
P0f - это анализатор взаимодействия между различными устройствами через сеть. P0f способен идентифицировать ОС и программное обеспечение, используемые различными устройствами, подключенными в пассивном режиме, вместо того, чтобы отправлять пакеты для анализа ответа P0f только захватывает пакеты для последующего анализа, поэтому он может привести к лучшим результатам, чем Nmap при снятии отпечатков пальцев. Практическое использование P0f может включать обнаружение злоумышленника во время текущего сеанса пентеста, наблюдение за сетью и дополнительную информацию о соединениях для настройки надлежащих мер безопасности. P0f долгое время не обновлялся и вернулся как P03 с поддержкой современных ОС и программного обеспечения. В следующей статье мы будем отслеживать злоумышленников с помощью различных инструментов, включая P0f.
Пользователи Debian и Ubuntu могут установить P0f, запустив:
apt install p0f -y
Официальный веб-сайт: http: // lcamtuf.coredump.cx / p0f3 /
Dumpzilla
Во время уголовного расследования анализ активности просмотра является одним из первых шагов протокола. Как было сказано выше, Autopsy позволяет нам включать расширения для исследования активности пользователя в Интернете. Dumpzilla - это инструмент, специально предназначенный для восстановления данных просмотра из браузеров Mozilla Firefox или производных, таких как Iceweasel или Seamonkey. Dumpzilla может предоставить нам много ценной информации, такой как имена пользователей, пароли, историю просмотров и любую информацию, хранящуюся в файлах cookie или настройках пользователя. Несмотря на то, что это очень специфично, рекомендуется запускать Dumpzilla против цели с Firefox, несмотря на то, что он не обновлялся последние два года.
Dumpzilla не входит в репозитории по умолчанию, вы можете получить его по адресу: https: // github.com / Busindre / dumpzilla
Официальный сайт: https: // www.dumpzilla.org
Волатильность
Волатильность позволяет нам исследовать оперативную оперативную память устройства, что означает информацию, которая не была сохранена на жестком диске, но оставила артефакты или следы в оперативной памяти. Этот инструмент, который по умолчанию поставляется как в CAINE, так и в Kali Linux, может предоставить нам полезную информацию после инцидента на устройстве, например, какие процессы были запущены или выполняются во время события. Чтобы установить волатильность в Debian, вы можете запустить
apt install volatility -y
Официальный сайт: https: // www.волатильность.org /
Chkrootkit
RootKit - это вредоносное программное обеспечение, устанавливаемое локально или удаленно на устройстве для предоставления незаконного доступа злоумышленнику, мы можем провести гротескное сравнение между руткитами и троянскими серверами, несмотря на небольшие различия (RootKIts включают дополнительные функции). RootKits может изменять системные файлы и удалять следы незаконных вторжений. Здесь ChkRooKit анализирует двоичные файлы на предмет модификаций, журналов и других следов, которые могут быть удалены злоумышленником. В Debian вы можете получить chkrootkit, запустив:
apt install chkrootkit -y
Официальный сайт: http: // www.chkrootkit.org /
Я надеюсь, что вы нашли эту статью полезной для понимания того, что компьютерная криминалистика не ограничивается ИТ-гуру, любой может легко провести компьютерную криминалистику с помощью инструментов, упомянутых выше. Следите за LinuxHint для получения дополнительных советов и обновлений по Linux.
