Kali Linux Top Forensic Tools

Wstęp

Ostatnim razem omówiliśmy 14 narzędzi kryminalistycznych, które są obecne w Kali Linux i wyjaśniliśmy swój cel i możliwości specjalne. Dzisiaj zaprezentujemy 14 narzędzi kryminalistycznych, które pochodzą z słynnej biblioteki „The Sleuth Kit” (TSK), pakowanych w aktualizacji Kali Linux 2020. Te narzędzia można znaleźć na liście rozwijanej kryminalistyki pod nazwą Suith Kit Suite Tools w menu Kali Whisker.

Blkcalc

Narzędzie BLKCALC to narzędzie kryminalistyczne, które przekształca niewrażone punkty dysku w zwykłe punkty dysku. Ten program tworzy numer punktowy, który mapuje dwa obrazy. Jeden z tych obrazów jest normalny, a drugi zawiera niezrównaną liczbę punktów pierwszego obrazu. To narzędzie może obsługiwać wiele typów systemów plików. Jeśli system plików nie jest zdefiniowany na początku, BLKCALC ma unikalną funkcję metod autodetekcji w celu znalezienia typu systemu plików.

TSK_Compreedir

Za pomocą narzędzia TSK_Compreedir zawartość obrazu jest porównywana z zawartością katalogu porównawczego. Jest to najlepsze narzędzie w fazie testowania do identyfikacji rootkits (złośliwy kod lub pliki). Test rootkita jest wykonywany przez porównanie zawartości lokalnego katalogu z lokalnym surowym urządzeniem. Te rootkity nie są ukryte po dostępie i odczytania z surowego urządzenia.

TSK_GETTIME

Narzędzie kryminalistyczne TSK_GetTimes oparte jest na bibliotece Sleuth Kit. To narzędzie zbiera MAC Times (kawałki metadanych systemu plików) z określonego obrazu dysku i przekształca czasy w plik ciała. Narzędzie TSK_GetTimes analizuje każdy system plików w partycji dysku lub obrazie i przetwarza dane w środku. Dane wyjściowe tego narzędzia są dane obrazu dysku w formacie nadwozia czasu Mac, które mogą być użyte jako wejście do systemu do wygenerowania chronologii aktywności pliku. Dane są następnie drukowane jako plik za pośrednictwem polecenia stdout.

Blkcat

Narzędzie BLKCAT to szybkie i wydajne narzędzie kryminalistyczne pakowane w Kali. Celem tego narzędzia jest wyświetlanie zawartości danych przechowywanych na obrazie dysku systemu plików. Wyjście wyświetla liczbę jednostek danych, zaczynając od głównego adresu i wydruków urządzenia, w różnych formatach, które można określić i sortować. Domyślnie format wyjściowy jest surowy i nazywa się również DCAT.

TSK_LOODDB

Narzędzie TSK_LoadDB ładuje metadane z obrazu dysku do bazy danych SQLITE, która jest użyteczną bazą danych do analizy przez inne narzędzia programowe. Baza danych jest przechowywana w katalogu obrazów, aby ułatwić dostęp. To narzędzie obsługuje wiele systemów plików i może obliczyć wartość skrótu MD5 dla każdego pliku.

Blkstat

Narzędzie Sleuth Kit Blkstat wyświetla wszystkie informacje dotyczące jednostek danych systemu plików. To narzędzie zwraca dane o statusie alokacji bloku lub sektora systemu plików. To narzędzie może użyć polecenia AddR, które pokazuje statystyki danych, a także nazywa się DSTAT.

ffind

Narzędzie FFIND używa inode do wyszukiwania nazwy katalogu lub pliku na obrazie dysku. Pliki przypisane do identyfikatora pliku iDe na partycji dysku mają nazwy; Domyślnie to narzędzie zwróci tylko pierwsze nazwisko. Narzędzie FFIND może nawet znaleźć usunięte nazwy plików, co jest specjalną możliwością tego narzędzia. Ponadto narzędzie FFIND może również znaleźć wiele nazw plików.

Hfind

Narzędzie HFIND wyszukuje wartości skrótu w bazach danych HASH. Wartości skrótu są przeszukiwane za pomocą algorytmu wyszukiwania binarnego. Celem użycia tego algorytmu jest umożliwienie użytkownikom łatwego tworzenia baz danych skrótów i szybkiego identyfikacji pliku, niezależnie od tego, czy jest znany, czy nieznany. To narzędzie korzysta z biblioteki NSRL i zwraca MD5Sum. To narzędzie jest bardzo wydajne, ponieważ tworzy plik indeksu, który jest już posortowany i ma wpisy o stałej długości, co sprawia, że ​​wyszukiwanie jest bardzo szybkie.

fls

Nazwa FLS obejmuje termin „LS”, który oznacza wymienienie zawartości folderu. Narzędzie FLS wymienia wszystkie nazwy i katalogi plików w pliku obrazu, a może nawet wyświetlać nazwy plików, które zostały niedawno usunięte. Jeśli identyfikator pliku lub inode nie jest używany, używany jest katalog główny.

MMCAT

Narzędzie MMCAT to narzędzie kryminalistyczne, które zwraca zawartość partycji za pośrednictwem funkcji drukowania. To narzędzie wyodrębnia wszystkie dane w partycji do osobnego pliku.

sigfind

To narzędzie znajduje podpis binarny obecny w pliku. Ten binarny podpis nazywa się Hex_Signature, który jest obecny w każdym pliku. To narzędzie można użyć do znalezienia utraconych superbloków, partycji lub tabel obrazów i sektorów rozruchowych. Do znalezienia podpisu binarnego należy użyć formatu szesnastkowego.

znajduję

To narzędzie wyszukuje surową strukturę danych pliku, który jest przydzielany w określonej nazwie dysku lub nazwy pliku. Czasami każda z tych struktur meta-data może być niezrównana, ale to narzędzie nadal uzyska wyniki.

sorter

Narzędzie sortera to narzędzie skryptowe „perl”, które wykonuje sortowanie w systemie plików, aby ułożyć je w przydzielonych i niezrównanych plikach, w oparciu o typ pliku. To narzędzie uruchamia polecenie na każdym pliku i sortuje pliki zgodnie z plikami konfiguracyjnymi. Typy plików obejmują ukryte pliki, pliki skrótu do baz danych skrótu, pliki znane jako dobre, a te, które należy zmienić. Używane pliki konfiguracyjne, domyślnie, są pobierane z miejsca, w którym jest zainstalowane narzędzie, ale można to zmienić za pomocą decyzji w czasie wykonywania.

TSK_RECOVER

To narzędzie przenosi pliki z partycji dysku do lokalnego katalogu głównego. Odzyskane pliki są domyślnie tylko nie do zorganizowanej. Za pośrednictwem niektórych poleceń wszystkie pliki można wyeksportować.

Wniosek

Te 14 narzędzi jest wyposażone w Kali Linux Live, a także obrazy instalatorów, i są one open source i dostępne bezpłatnie. Narzędzia te można znaleźć w menu Kali Whisker w folderze o nazwie Suteuth Kit Suite. Narzędzia odbierają częste aktualizacje z TSK dla drobnych poprawek błędów.