Jak używać trybu kryminalistyki Kali Linux

Kali Linux to system operacyjny wyposażony we wszystko, czego może potrzebować specjalista ds. Bezpieczeństwa, zawierający solidny pakiet programów do użytku przez badaczy bezpieczeństwa i testery pióra. Istnieje funkcja „Kali Linux na żywo”To zapewnia „Tryb sądowy'Dla użytkowników. „Tryb kryminalistyki” jest wyposażony w narzędzia wykonane w jawnym celu cyfrowej kryminalistyki.

Kali Linux 'Na żywo' zapewnia tryb kryminalistyczny, w którym można po prostu podłączyć USB zawierające Kali ISO. Ilekroć pojawia się potrzeba kryminalistyczna Kali Linux Live (tryb kryminalistyczny). Uruchamianie się w Kali (tryb kryminalistyczny) nie montuje dysków twardych systemowych, stąd operacje wykonane w systemie nie pozostawiają żadnego śladu.

Jak używać Kali Live (tryb kryminalistyczny)

Aby użyć „Kali Live (tryb sądowy)”, potrzebujesz napędu USB zawierającego Kali Linux ISO. Aby go stworzyć, możesz postępować zgodnie z oficjalnymi wytycznymi z ofensywnego bezpieczeństwa

Po przygotowaniu Live Kali Linux USB podłącz go i uruchom ponownie komputer, aby wprowadzić ładowarkę rozruchową. Tam znajdziesz menu takiego:

Kliknięcie Na żywo (tryb sądowy) zabierze Cię w tryb kryminalistyki zawierający narzędzia i pakiety wymagane dla twoich potrzeb kryminalistycznych. W tym artykule przyjrzymy się, jak uporządkować swój cyfrowy proces kryminalistyki za pomocą Na żywo (tryb sądowy).

Kopiowanie danych

Forensics wymaga obrazowania napędów systemowych zawierających dane. Pierwszą rzeczą, którą musimy zrobić, jest wykonanie bit-byt-bitowej kopii pliku, dysku twardego lub dowolnego innego rodzaju danych, na których musimy wykonywać kryminalistykę. Jest to bardzo ważny krok, ponieważ jeśli zostanie to zrobione źle, cała praca może się marnować.

Regularne tworzenie kopii zapasowych dysku lub pliku nie działają dla nas (śledczy kryminalistyczni). Potrzebujemy bit-bitowej kopii danych na dysku. Aby to zrobić, użyjemy następujących Dd Komenda:

root@kali: ~ $ dd if = o = BS =

Musimy zrobić kopię napędu SDA1, Dlatego użyjemy następującego polecenia. Zrobi kopię SDA1 do SDA2 512 Byes na raz.

root@kali: ~ $ dd if =/dev/sda1 o =/dev/sda2 BS = 512

Mieszanie

Dzięki naszej kopii dysku może kwestionować jego integralność i pomyśleć, że celowo umieściliśmy napęd. Aby wygenerować dowód, że mamy oryginalny dysk, będziemy używać mieszania. Mieszanie służy do zapewnienia integralności obrazu. Hashing zapewni skrót na dysk, ale jeśli zmieni się pojedynczy bit danych, skrót się zmieni i będziemy wiedzieć, czy został wymieniony, czy jest oryginał. Aby zapewnić integralność danych i że nikt nie może zakwestionować jego oryginalności, skopiujemy dysk i wygenerujemy jego skrót MD5.

Po pierwsze, otwórz dcfldd Z zestawu narzędzi kryminalistyki.

DCFLD Interfejs będzie wyglądał tak:

Teraz użyjemy następującego polecenia:

root@kali: ~ $ dcfldd if =/dev/sda of =/media/obraz.DD HASH = MD5 BS = 512

/dev/sda: dysk, który chcesz skopiować
/media/obraz.DD: lokalizacja i nazwa obrazu, do którego chcesz skopiować
Hash = MD5: Hash, który chcesz wygenerować e.G MD5, SHA1, SHA2 itp. W tym przypadku jest to MD5.
BS = 512: liczba bajtów do kopiowania na raz

Jedną rzeczą, którą powinniśmy wiedzieć, jest to, że Linux nie dostarcza nazw napędów jednej litery, jak w systemie Windows. W Linux dyski twarde są oddzielone przez HD Oznaczenie, takie jak miał, HDB, itp. Dla SCSI (mały interfejs systemu komputerowego) SD, SBA, SDB, itp.

Teraz mamy odciętą kopię dysku, na którym chcemy wykonywać kryminalistykę. Tutaj pojawią się narzędzia kryminalistyczne, a każdy, kto ma wiedzę na temat korzystania z tych narzędzi i może z nimi współpracować, przyda się.

Narzędzia

Tryb kryminalistyki zawiera już słynne zestawy narzędzi i pakietów do celów kryminalistycznych. Dobrze jest zrozumieć kryminalistykę, aby sprawdzić przestępstwo i cofnąć się do tego, kto to zrobił. Przydałaby się wszelkie wiedzę o tym, jak korzystać z tych narzędzi. Tutaj podejmiemy szybki przegląd niektórych narzędzi i jak się z nimi zapoznać

Autopsja

Sekcja zwłok to narzędzie wykorzystywane przez wojsko, organy ścigania i różne agencje, gdy istnieje potrzeba kryminalistyczna. Ten pakiet jest prawdopodobnie jednym z najpotężniejszych dostępnych za pośrednictwem open source, konsoliduje funkcjonalność wielu innych wiązek Littlera, które są stopniowo zaangażowane w swoją metodologię w jedną bezbłędną aplikację z interfejsem internetowym interfejsem opartym na przeglądarce internetowej.

Aby użyć autopsji, otwórz dowolną przeglądarkę i wpisz: http: // localhost: 9999/autopsja

A może otworzymy dowolny program i zbadamy powyższą lokalizację. Zasadniczo zabierze nas na pobliski serwer WWW w naszej frameworku (LocalHost) i dostanie się do portu 9999, gdzie działa autopsja. Korzystam z domyślnego programu w Kali, IceWeasel. Kiedy eksploruję ten adres, otrzymuję stronę taką jak ta widoczna poniżej:

Jego funkcje obejmują - badanie osi czasu, wyszukiwanie słów kluczowych, oddzielenie skrótu, rzeźbienie danych, media i markery okazji. Sekcja zwłok akceptuje obrazy dysku w formatach RAW OE EO1 i daje wyniki w dowolnym formacie, zwykle wymagane w formatach XML, HTML.

Binwalk

To narzędzie jest wykorzystywane podczas zarządzania obrazami binarnymi, ma możliwość znalezienia włożonego dokumentu i kodu wykonywalnego poprzez badanie pliku obrazu. To niesamowity atut dla tych, którzy wiedzą, co robią. Po prawidłowym wykorzystaniu możesz bardzo dobrze odkryć delikatne dane pokryte obrazami oprogramowania układowego, które mogą ujawnić włamanie lub zostać użyte do odkrycia klauzuli ucieczki do niewłaściwego użycia.

To narzędzie jest napisane w Pythonie i wykorzystuje bibliotekę libmagic, dzięki czemu jest idealny do użytku z znakami zaklęcia wykonane dla UNIX Record Utility. Aby uprościć sytuację dla egzaminatorów, zawiera rekord podpisu zaklęcia, który zawiera najbardziej regularnie odkryte znaki w oprogramowaniu układowym, co sprawia, że ​​jest łatwiejsze do wykrywania niespójności.

Ddrescue

Duplikuje informacje z jednego dokumentu lub gadżetu kwadratowego (dysk twardy, CD-ROM itp.) do drugiego, próba ochrony wielkich części najpierw, jeśli nastąpi wystąpienie błędów odczytu.

Niezbędna aktywność ddrescue jest całkowicie zaprogramowana. Oznacza to, że nie musisz siedzieć ciasno, aby uzyskać błąd, zatrzymywać program i ponownie go ponownie z innej pozycji. Jeśli użyjesz wyróżnienia mapy pliku DDrescue, informacje są zapisywane biegnie (tylko wymagane kwadraty są przeglądane). Podobnie, możesz wtrącić się na rat. Mapa jest podstawowym elementem żywotności Ddrescue. Użyj go, z wyjątkiem tego, że wiesz, co robisz.

Aby go użyć, użyjemy następującego polecenia:

root@kali: ~ $ dd_rescue

DUBZILLA

Aplikacja Dumpzilla jest tworzona w Python 3.x i jest używany do wyodrębnienia mierzalnych, fascynujących danych programów Firefox, Ice Weasel i Seamonkey, które mają zostać zbadane. Ze względu na jego Python 3.x Zakończenie wydarzeń, prawdopodobnie nie będzie odpowiednio działać w starych formach Pythona z określonymi postaciami. Aplikacja działa w interfejsie linii zamówień, więc zrzuty danych można przekierować rurami z urządzeniami; Na przykład Grep, Awk, Cut, Sed. Dumpzilla pozwala użytkownikom wyobrazić sobie następujące obszary, wyszukiwać dostosowywanie i koncentrować się na niektórych obszarach:

• DUBZILLA może wyświetlać działania użytkowników na żywo w zakładkach/systemie Windows.
• Dane pamięci podręcznej i miniatury wcześniej otwartych systemów Windows
• Pobieranie użytkownika, zakładki i historia
• Zapisane hasła przeglądarki
• Pliki cookie i dane sesji
• Wyszukiwania, e -mail, komentarze

Główny

Usuń dokumenty, które mogą pomóc w rozwiązywaniu skomputeryzowanego odcinka? Zapomnij o tym! Przede wszystkim to prosty w użyciu pakiet otwartego źródła, który może wyciąć informacje z zaaranżowanych kręgów. Sama nazwa pliku prawdopodobnie nie zostanie odzyskana, jednak informacje, które przechowuje. Przede wszystkim może odzyskać JPG, PNG, BMP, JPEG, EXE, MPG, OLE, RAR, PDF i wiele innych rodzajów plików.

: ~ $ najważniejsze -h
Najważniejsza wersja 1.5.7 Jesse Kornblum, Kris Kendall i Nick Mikus.
$ przede wszystkim [-v | -v | -h | -t | -q | -q | -a | -w-d] [-t ]
[-S ] [-K ]
[-B ] [-C ] [-O ] [-I

-V - Wyświetl informacje o prawach autorskich i wyjście
-T - Określ typ pliku. (-t JPEG, PDF…)
-D - Włącz pośrednie wykrywanie bloków (dla systemów plików UNIX)
-i - Określ plik wejściowy (domyślnie to stdin)
-a - Napisz wszystkie nagłówki, wykonaj nie wykrywanie błędów (uszkodzone pliki)
-W - Zapisz tylko plik audytu, nie pisz żadnych wykrytych plików na dysku
-O - Ustaw katalog wyjściowy (domyślnie na wyjściu)
-C - Ustaw plik konfiguracyjny do użycia (domyślnie na najważniejsze.conf)
-Q - Włącza tryb szybki. Wyszukiwania są wykonywane na 512 granicach bajtów.
-Q - Włącza tryb cichy. Tłumij komunikaty wyjściowe.
-V - Tryb w pełni. Rejestruje wszystkie wiadomości do ekranu

Ekstraktor luzem

Jest to wyjątkowo przydatne narzędzie, gdy egzaminator ma nadzieję oddzielić konkretne informacje od skomputeryzowanego rekordu dowodowego, to urządzenie może wycinać adresy e -mail, adresy URL, numery kart ratalnych i tak dalej. To narzędzie wystrzeliwuje w katalogach, plikach i obrazach dysku. Informacje mogą być zrujnowane w połowie drogi lub są zwykle zagęszczone. To urządzenie odkryje do niego drogę.

Ta funkcja zawiera najważniejsze informacje, które pomagają uzyskać przykład w informacjach, które są coraz więcej, na przykład, adresy URL, e -maile i nie tylko i przedstawia je w grupie histogramu. Ma komponent, w którym tworzy listę słów z odkrytych informacji. Może to pomóc w podzieleniu haseł do zapinanych dokumentów.

Analiza pamięci RAM

Widzieliśmy analizę pamięci na obrazach dysku twardego, ale czasami musimy przechwytywać dane z Memory Live (RAM). Pamiętaj, że pamięć RAM jest niestabilnym źródłem pamięci, co oznacza, że ​​traci swoje dane, takie jak otwarte gniazda, hasła, procesy działające, gdy tylko się wyłączają.

Jedną z wielu dobrych rzeczy w analizie pamięci jest możliwość odtworzenia tego, co podejrzany robił w czasie nieszczęścia. Jednym z najbardziej znanych narzędzi do analizy pamięci jest Zmienność.

W Live (tryb kryminalistyki), Najpierw przejdziemy do Zmienność Korzystanie z następującego polecenia:

root@kali: ~ $ cd/usr/share/zmienność

Ponieważ zmienność jest skryptem Python, wprowadź następujące polecenie, aby zobaczyć menu pomocy:

root@kali: ~ $ Python vol.Py -h

Przed wykonaniem jakiejkolwiek pracy nad tym obrazem pamięci, najpierw musimy dostać się do jego profilu, używając następującego polecenia. Obraz profilowy pomaga zmienność wiedzieć, gdzie w pamięci dotyczą znaczących informacji. To polecenie zbada plik pamięci pod kątem dowodów systemu operacyjnego i kluczowych informacji:

root@kali: ~ $ Python vol.PY ImageInfo -f =

Zmienność to potężne narzędzie do analizy pamięci z mnóstwem wtyczek, które pomogą nam zbadać, co podejrzany robił w momencie napadu komputerowego.

Wniosek

Forensics coraz bardziej staje się coraz bardziej niezbędna w dzisiejszym cyfrowym świecie, w którym każdego dnia wiele przestępstw jest popełnianych za pomocą technologii cyfrowej. Posiadanie technik kryminalistycznych i wiedzy w arsenale jest zawsze niezwykle przydatnym narzędziem do walki z cyberprzestępczością na własnej murawie.

Kali jest wyposażony w narzędzia potrzebne do wykonywania kryminalistyki i używanie Na żywo (tryb sądowy), Nie musimy cały czas przechowywać tego w naszym systemie. Zamiast tego możemy po prostu zrobić na żywo USB lub przygotować Kali ISO w urządzeniu peryferyjnym. W przypadku wyskakowania w potrzebie Forensic możemy po prostu podłączyć USB, przełączać się na Na żywo (tryb sądowy) I wykonaj pracę płynnie.