Narzędzia kryminalistyczne Kali Linux

Igor Skrzypek
Narzędzia kryminalistyczne Kali Linux
Kali Linux to potężny system operacyjny specjalnie zaprojektowany dla testera penetracji i specjalistów ds. Bezpieczeństwa. Większość jego funkcji i narzędzi składa się dla badaczy bezpieczeństwa i pentesterów, ale ma osobną kartę „Forensics” i osobny tryb „kryminalistyki” dla badaczy kryminalistycznych.

Forensics staje się bardzo ważny w zakresie bezpieczeństwa cyber. Niezbędne jest usunięcie złośliwych backdorów/malwares i prześledzania ich, aby uniknąć możliwych przyszłych incydentów. W trybie kryminalistycznym Kali system operacyjny nie zamontować żadnej partycji z dysku twardego systemu i nie pozostawia żadnych zmian ani odcisków palców w systemie hosta.

Kali Linux jest wyposażony w wstępnie zainstalowane popularne aplikacje kryminalistyczne i zestaw narzędzi. Tutaj przejrzymy słynne narzędzia open source obecne w Kali Linux.

Ekstraktor luzem

Bulk Extractor to bogate narzędzie, które może wyodrębniać przydatne informacje, takie jak numery kart kredytowych, nazwy domeny, adresy IP, e-maile, numery telefonów i adresy URL z dowodów twardych/plików znalezionych podczas badań kryminalistycznych. Pomocne jest analizowanie obrazu lub złośliwego oprogramowania, pomaga również w cyberprzyjaźniach i łamaniu haseł. Buduje listy słów na podstawie informacji znalezionych na podstawie dowodów, które mogą pomóc w łamaniu haseł.

Ekstraktor luzem jest popularny wśród innych narzędzi ze względu na jego niesamowitą szybkość, kompatybilność i dokładność na platformie wielokrotnej. Jest szybki ze względu na swoje wielowo-strepinowe funkcje i ma zdolność skanowania każdego rodzaju mediów cyfrowych, w tym dysku twardego, dysków dysków, telefony komórkowe, kamery, karty SD i wiele innych typów.

Ekstraktor luzem ma podążanie za fajnymi funkcjami, dzięki czemu jest bardziej preferowany,

  • Ma graficzny interfejs użytkownika o nazwie „przeglądarka ekstraktora luzem”, który służy do interakcji z ekstraktorem luzem
  • Ma wiele opcji wyjściowych, takich jak wyświetlanie i analiza danych wyjściowych w histogramie.
  • Można go łatwo zautomatyzować za pomocą Python lub innych języków skryptowych.
  • Jest wyposażony w niektóre wstępnie napisane skrypty, które można użyć do wykonywania dodatkowego skanowania
  • Jest wielowarstwowy, może być szybszy w systemach z wieloma rdzeniami procesora.
root@azad: ~# Bulk_Extractor - -Help
Zastosowanie: Bulk_Extractor [opcje] ImageFile
uruchamia ekstraktor luzem i wyjścia, aby stale
Wymagane parametry:
ImageFile - plik do wyodrębnienia
lub -r FileDir - powrót za pośrednictwem katalogu plików
Ma obsługę plików E01
Ma obsługę plików AFF
-o Outr - określa katalog wyjściowy. Nie może istnieć.
Bulk_Extractor tworzy ten katalog.
Opcje:
-I - Tryb informacyjny. Wykonaj szybką losową próbkę i wydrukuj raport.
-B sztandar.TXT- Dodaj baner.TXT zawartość na górze każdego pliku wyjściowego.
-r alert_list.TXT - Plik zawierający listę alertów funkcji do ostrzegania
(może być plikiem funkcji lub listą globów)
(Można powtórzyć.)
-wlist W Stop_.TXT - plik zawierający listę przystanku funkcji (biała lista
(może być plik funkcji lub lista globów) s
(Można powtórzyć.)
-F - Przeczytaj listę wyrażeń regularnych z znaleźć
-F - Znajdź zdarzenia ; można powtórzyć.
Wyniki znajdują się w znalezisko.tekst
… Snip…
Przykład użytkowania
root@azad: ~# Bulk_Extractor -O Secret.img

Autopsja

Sekcja zwłok to platforma wykorzystywana przez cyber badaczy i egzekwowanie prawa do prowadzenia i zgłaszania operacji kryminalistycznych. Łączy wiele indywidualnych narzędzi, które są używane do kryminalistyki i odzyskiwania i zapewnia im graficzny interfejs użytkownika.

Sekcja zwłok to produkt open source, bezpłatny i międzyplatformowy, który jest dostępny dla systemu operacyjnego Windows, Linux i innych systemów operacyjnych opartych na UNIX. Sekcja zwłok może wyszukiwać i badać dane z dysków twardych wielu formatów, w tym ext2, ext3, fat, ntfs i inne.

Jest łatwy w użyciu i nie ma potrzeby instalowania w Kali Linux, ponieważ wysyła z wstępnie zainstalowanym i wstępnie skonfigurowanym.

DUBZILLA

Dumpzilla to narzędzie linii poleceń międzyplatformowych napisane w języku Python 3, które służy do zrzucania informacji związanych z kryminalistą z przeglądarek internetowych. Nie wyodrębnia danych ani informacji, po prostu wyświetla je w terminalu, który można ruszyć, sortować i przechowywać w plikach za pomocą poleceń systemu operacyjnego. Obecnie obsługuje tylko przeglądarki na bazie Firefox, takie jak Firefox, Seamonkey, IceWeasel itp.

Dumpzilla może uzyskać następujące informacje z przeglądarek

  • Może wyświetlać surfowanie na żywo użytkownika w zakładkach/oknie.
  • Pobieranie użytkowników, zakładki i historia.
  • Formularze internetowe (wyszukiwania, e -maile, komentarze…).
  • Pamięć podręczna/miniatury wcześniej odwiedzanych witryn.
  • Dodatki / rozszerzenia i używane ścieżki lub adresy URL.
  • Przeglądarka zapisała hasła.
  • Pliki cookie i dane sesji.
root@azad: ~# bupzilla - -help
Zastosowanie: Python Dumpzilla.PY Browser_Profile_Directory [opcje]
Opcje:
--Wszystko (pokazuje wszystko oprócz danych DOM. Nie wydobywa miniatur ani html 5 offline)
--Pliki cookie [-showdom -domain -name -hostcookie -Access
-Utwórz -Secure -httponly -Range_Last -Range_Create
]
--Uprawnienia [-Host]
--Pobierania [-Range]
--Forms [-Value -Range_forms]
--Historia [-url -title -date -Range_history
-częstotliwość]
--Zakładki [-Range_bookmarks]
… Snip…

Digital Forensics Framework - DFF

DFF to narzędzie do odzyskiwania plików i platforma rozwoju kryminalistyki napisana w Python i C++. Ma zestaw narzędzi i skryptu zarówno z wierszem poleceń, jak i graficznym interfejsem użytkownika. Służy do prowadzenia dochodzenia w sprawie kryminalistycznej oraz do gromadzenia i zgłaszania dowodów cyfrowych.

Jest łatwy w użyciu i może być używany przez cyberprzestępców, a także nowicjuszy do zbierania i zachowania cyfrowych informacji kryminalistycznych. Tutaj omówimy niektóre z jego dobrych funkcji

  • Może wykonywać kryminalistyki i odzyskiwanie na urządzeniach lokalnych i zdalnych.
  • Zarówno wiersz poleceń, jak i graficzny interfejs użytkownika z widokami graficznymi i filtrami.
  • Może odzyskać partycje i dyski wirtualne.
  • Kompatybilny z wieloma systemami i formatami plików, w tym Linux i Windows.
  • Może odzyskać ukryte i usunięte pliki.
  • Może odzyskać dane z pamięci tymczasowej, takich jak sieć, proces itp
root@azad: ~# dff -h
DFF
Cyfrowe ramy kryminalistyczne
Zastosowanie:/usr/bin/dff [opcje]
Opcje:
-V --version Wyświetl bieżącą wersję
-G -Graphical Launch Graphical Interface
-B -Batch = nazwa pliku wykonuje partię zawartą w nazwie pliku
-L -Language = Lang Użyj lang jako języka interfejsu
-H -HELP Wyświetl ten komunikat pomocy
-D -Debug przekierowuje IO do konsoli systemowej
--Poradność = poziom ustawiony na poziomie gadatości podczas debugowania [0-3]
-c - -config = FilePath Użyj pliku konfiguracyjnego z FilePath

Główny

Przede wszystkim to szybsze i niezawodne narzędzie odzyskiwania linii poleceń do odzyskania utraconych plików w operacjach kryminalistycznych. Najważniejszy ma możliwość pracy na obrazach generowanych przez DD, Safeback, Encase itp. Lub bezpośrednio na dysku. Przede wszystkim może odzyskać EXE, JPG, PNG, GIF, BMP, AVI, MPG, WAV, PDF, OLE, RAR i wiele innych typów plików.

root@azad: ~# przede wszystkim -h
Najważniejsza wersja x.X.x autor: Jesse Kornblum, Kris Kendall i Nick Mikus.
$ przede wszystkim [-v | -v | -h | -t | -q | -q | -a | -w-d] [-t ] [-S ] [-K ]
[-B ] [-C ] [-O ] [-I -V - Wyświetl informacje o prawach autorskich i wyjście
-T - Określ typ pliku. (-t JPEG, PDF…)
-D - Włącz pośrednie wykrywanie bloków (dla systemów plików UNIX)
-i - Określ plik wejściowy (domyślnie to stdin)
-a - Napisz wszystkie nagłówki, wykonaj nie wykrywanie błędów (uszkodzone pliki)
-W - Zapisz tylko plik audytu, nie pisz żadnych wykrytych plików na dysku
-O - Ustaw katalog wyjściowy (domyślnie na wyjściu)
-C - Ustaw plik konfiguracyjny do użycia (domyślnie na najważniejsze.conf)
… Snip…
Przykład użytkowania
root@azad: ~# ForeMost -t exe, jpeg, pdf, png -i -file -image.Dd
Przetwarzanie: obraz plików.Dd
… Snip…

Wniosek

Kali wraz ze słynnymi narzędziami testowania penetracji ma również całą kartę poświęconą „kryminalistycznemu”. Ma osobny tryb „kryminalistyki”, który jest dostępny tylko dla na żywo USBS, w którym nie montuje partycji hosta. Kali jest nieco preferowany od innych dystrybucji kryminalistycznych, takich jak Caine ze względu na jego wsparcie i lepszą kompatybilność.

Polecenia Linux
Jak generować klawisze SSH w systemie Windows Top 10/Top 10, aby uzyskać dostęp do serwerów Linux bez haseł
Praktyczny samouczek na temat generowania klawisza SSH w systemie Windows 10 i 11 i zainstalowania g...
Pani Julia Szwed
Programowanie C
Jak znaleźć wartość ASCII znaku w programowaniu C?
W programowaniu C wartość ASCII znaku można znaleźć za pomocą funkcji scanf () lub getchar (). Aby u...
Pani Alicja Szafrański
php
Jak używać podczas pętli w PHP?
While pętla jest kluczową koncepcją stosowaną do wielokrotnego wykonywania bloku kodu, dopóki nie zo...
Sebastian Kaczyński
Pyton
Python Math Exp
Pani Żaneta Pakuła
Pyton
Python znajduje indeks wszystkich zdarzeń na liście
Pani Żaneta Pakuła
Pyton
Jak sprawdzić, czy sznurek jest pusty w Pythonie
Pani Alicja Szafrański
Golang
Jak używać czasu.Teraz funkcja w Golang - przykłady
Pani Alicja Szafrański
JavaScript
Jak uruchomić TypeScript w kodzie VS
Pani Żaneta Pakuła
Doker
Jakie są kroki do wdrożenia obrazu Nginx za pomocą Dockera?
Justyna Flak
html
Jak można użyć Flexbox do utworzenia paska nawigacyjnego?
Maja Kucharski
PowerShell
Jak używać polecenia „Get-Service” w PowerShell
Pani Alicja Szafrański
Baza danych Oracle
Jak usunąć sekwencję w Oracle?
Pani Żaneta Pakuła
php
Jak dołączyć do tablicy PHP?
Renata Borowiec