Rysunek 1: Kali Linux
Zasadniczo, podczas wykonywania kryminalistyki w systemie komputerowym, należy unikać wszelkich działań, które można zmienić lub modyfikować analizę danych systemu. Inne nowoczesne komputery stacjonarne zwykle zakłócają ten cel, ale z Kali Linux za pośrednictwem menu rozruchowego możesz włączyć specjalny tryb kryminalistyki.
Narzędzie Binwalk:
Binwalk to narzędzie kryminalistyczne w Kali, które wyszukuje określony obraz binarny kodu i plików. Identyfikuje wszystkie pliki osadzone w dowolnym obrazie oprogramowania układowego. Wykorzystuje bardzo skuteczną bibliotekę znaną jako „Libmagic”, która sortuje magiczne podpisy w użyteczności pliku Unix.
Rysunek 2: Narzędzie Binwalk CLI
Narzędzie do ekstraktoru luzem:
Narzędzie do ekstraktoru luzem wyodrębnia numery kart kredytowych, linki URL, adresy e -mail, które są używane dowody cyfrowe. To narzędzie pozwala zidentyfikować ataki złośliwego oprogramowania i wtargnięcia, dochodzenia tożsamości, luki cybernetyczne i łamanie haseł. Specjalizacją tego narzędzia jest to, że nie tylko działa z normalnymi danymi, ale także działa na skompresowanych danych i niekompletnych lub uszkodzonych danych.
Rysunek 3: Narzędzie linii poleceń zbiorczych zbiorczych
Narzędzie do hashdeep:
Narzędzie Hashdeep to zmodyfikowana wersja narzędzia Hashing DC3DD zaprojektowana specjalnie do cyfrowej kryminalistyki. To narzędzie zawiera automatyczne mieszanie plików, i.mi., SHA-1, SHA-256 i 512, Tygrys, Whirlpool i MD5. Plik dziennika błędu jest pisany automatycznie. Raporty z postępów są generowane z każdym wyjściem.
Rysunek 4: Narzędzie interfejsu Hashdeep CLI.
Magic Rescue Tool:
Magic Rescue to narzędzie kryminalistyczne, które wykonuje operacje skanowania na zablokowanym urządzeniu. To narzędzie używa magicznych bajtów do wyodrębnienia wszystkich znanych typów plików z urządzenia. To otwiera urządzenia do skanowania i odczytania typów plików i pokazuje możliwość odzyskania plików usuniętej lub uszkodzonej partycji. Może działać z każdym systemem plików.
Rysunek 5: Narzędzie interfejsu linii poleceń Magic Rescue
Narzędzie Scalpel:
To narzędzie kryminalistyczne rzeźbi wszystkie pliki i indeksuje te aplikacje, które działają w systemie Linux i Windows. Narzędzie Scalpel obsługuje wykonywanie wielowy w wielu podstawowych systemach, które pomagają w szybkim wykonywaniu. Rzeźbienie plików odbywa się w fragmentach takich jak wyrażenia regularne lub struny binarne.
Rysunek 6: Narzędzie rzeźbienia kryminalistycznego skalpela
Narzędzie Scrounge-NTFS:
Ta użyteczność kryminalistyczna pomaga w pobieraniu danych z uszkodzonych dysków lub partycji NTFS. Ratuje dane z uszkodzonego systemu plików do nowego działającego systemu plików.
Rysunek 7: Narzędzie do odzyskiwania danych sądowych
Narzędzie Guymager:
To użyteczność kryminalistyczna służy do pozyskiwania mediów dla zdjęć kryminalistycznych i ma graficzny interfejs użytkownika. Ze względu na wielowarstwowe przetwarzanie danych i kompresję jest to bardzo szybkie narzędzie. To narzędzie obsługuje również klonowanie. Generuje obrazy płaskie, aff i eWF. Interfejs użytkownika jest bardzo łatwy w użyciu.
Rycina 8: Guymager GUI użyteczność kryminalistyczna
Narzędzie PDFID:
To narzędzie kryminalistyczne jest używane w plikach PDF. Narzędzie skanuje pliki PDF dla określonych słów kluczowych, które pozwala zidentyfikować kody wykonywalne po otwarciu. To narzędzie rozwiązuje podstawowe problemy związane z plikami PDF. Podejrzane pliki są następnie analizowane za pomocą narzędzia PDF-Parser.
Rysunek 9: Narzędzie interfejsu linii poleceń PDFID
Narzędzie PDF-Parser:
To narzędzie jest jednym z najważniejszych narzędzi kryminalistycznych do plików PDF. PDF-Parser analizuje dokument PDF i rozróżnia ważne elementy wykorzystywane podczas jego analizy, a to narzędzie nie czyni tego dokumentu PDF.
Rysunek 10: Narzędzie kryminalistyczne CLI PDF-Parser
Narzędzie Peepdf:
Narzędzie Pythona, które bada dokumenty PDF, aby znaleźć, czy jest to nieszkodliwe, czy destrukcyjne. Zapewnia wszystkie elementy potrzebne do przeprowadzenia analizy PDF w jednym pakiecie. Pokazuje podejrzane podmioty i obsługuje różne kodowania i filtry. Może też analizować zaszyfrowane dokumenty.
Rysunek 11: Narzędzie Peepdf Python do badań PDF.
Narzędzie autopsji:
Sekcja zwłok znajduje się w jednym narzędzia kryminalistycznym do szybkiego odzyskiwania danych i filtrowania skrótu. To narzędzie rzeźbi usuwane pliki i nośniki z niewykonanej przestrzeni za pomocą PhotoRec. Może również wyodrębnić multimedia rozszerzenia EXIF. Skanowanie autopsji w celu kompromisu wskaźnika za pomocą biblioteki STIX. Jest dostępny w wierszu poleceń, a także interfejsu GUI.
Rysunek 12: Sekcja zwłok, wszystko w jednym pakiecie narzędzi kryminalistycznych
narzędzie IMG_CAT:
narzędzie IMG_CAT daje zawartość wyjściową pliku obrazu. Odzyskane pliki obrazów będą miały dane meta-data i osadzone dane, które pozwalają przekonwertować je na surowe dane. Te surowe dane pomagają w przygotowaniu wyjścia w celu obliczenia skrótu MD5.
Rysunek 13: Dane wbudowane IMG_CAT do odzyskiwania i konwertera surowego danych.
Narzędzie ICAT:
ICAT to narzędzie Sleuth Kit (TSK), które tworzy dane wyjściowe pliku oparte na jego identyfikatorze lub numerze INODE. To narzędzie kryminalistyczne jest bardzo szybkie i otwiera nazwane obrazy plików i kopiuje je na standardowe wyjście z określonym numerem iNODE. INODE jest jedną ze struktur danych systemu Linux, który przechowuje dane i informacje o pliku Linuksa, takie jak własność, rozmiar i typ, pisanie i odczyt uprawnienia.
Rysunek 14: Narzędzie interfejsu oparte na konsoli ICAT
Narzędzie SRCH_STRINGS:
To narzędzie szuka żywotnych ASCII i ciągów Unicode wewnątrz danych binarnych, a następnie drukuje ciąg przesunięcia znaleziony w tych danych. Narzędzie SRCH_STRINGS wyodrębni i odzyskuje ciągi obecne w pliku i podaje bajt przesunięty, jeśli zostanie wezwany.
Rysunek 15: Narzędzie kryminalistyczne do pobierania ciągu
Wniosek:
Te 14 narzędzi jest wyposażone w Kali Linux Live i instalator obrazów i są one open source i są dostępne swobodnie. W przypadku starszej wersji Kali sugeruję aktualizację najnowszej wersji, aby uzyskać bezpośrednio te narzędzia. Istnieje wiele innych narzędzi kryminalistycznych, które omówimy. Zobacz część 2 tego artykułu tutaj.