PRZESIAĆ to komputerowy dystrybucja kryminalistyczna stworzona przez Bez kryminalistyki Zespół do wykonywania cyfrowej kryminalistyki. Ta dystrybucja zawiera większość narzędzi wymaganych do analizy cyfrowej i badań reakcji incydentów. PRZESIAĆ jest open source i publicznie dostępny za darmo w Internecie. W dzisiejszym cyfrowym świecie, w którym codziennie popełniają przestępstwa za pomocą technologii cyfrowej, napastnicy stają się coraz bardziej ukryte i wyrafinowani. Może to spowodować, że firmy stracą ważne dane, z milionami użytkowników narażonych. Ochrona organizacji przed tymi atakami wymaga silnych technik kryminalistycznych i wiedzy w strategii obrony. PRZESIAĆ Zapewnia narzędzia kryminalistyczne dla systemów plików, pamięci i badań sieciowych w celu przeprowadzenia dogłębnych badań kryminalistycznych.
W 2007, PRZESIAĆ Był dostępny do pobrania i był twardy, więc ilekroć nadeszła aktualizacja, użytkownicy musieli pobrać nowszą wersję. Z dalszymi innowacjami w 2014 roku, PRZESIAĆ stał się dostępny jako solidny pakiet na Ubuntu i można go teraz pobrać jako stacja robocza. Później, w 2017 roku, wersja PRZESIAĆ przyszedł na rynek, umożliwiając większą funkcjonalność i zapewnianie użytkownikom możliwości wykorzystania danych z innych źródeł. Ta nowsza wersja zawiera ponad 200 narzędzi stron trzeci. Ta wersja jest bardziej stabilna, bardziej wydajna i zapewnia lepszą funkcjonalność pod względem analizy pamięci. PRZESIAĆ można scenariusz, co oznacza, że użytkownicy mogą łączyć niektóre polecenia, aby działało to zgodnie z ich potrzebami.
PRZESIAĆ może działać na dowolnym systemie działającym w systemie Ubuntu lub Windows. SIFT popiera różne formaty dowodów, w tym Aff, E01, i surowy format (Dd). Obrazy kryminalistyczne pamięci są również kompatybilne z SIFT. W przypadku systemów plików SIFT obsługuje ext2, ext3 dla Linux, HFS dla Mac i FAT, V-FAT, MS-DOS i NTFS dla systemu Windows.
Instalacja
Aby stacja robocza działała płynnie, musisz mieć dobry pamięć RAM, dobry procesor i rozległe miejsce na dysku twardym (zalecane jest 15 GB). Istnieją dwa sposoby instalacji PRZESIAĆ:
VMware/VirtualBox
Aby zainstalować SIFT Workstation jako maszynę wirtualną na VMware lub VirtualBox, pobierz .Ova Plik formatowy z następnej strony:
https: // cyfrowofirentyka.Sans.org/społeczność/pobieranie Następnie zaimportuj plik do VirtualBox, klikając Opcja importu. Po zakończeniu instalacji użyj następujących poświadczeń, aby zalogować się:
Zaloguj się = SansFORENSICS
Hasło = Kryminalni
Ubuntu
Aby zainstalować SIFT Workstation w systemie Ubuntu, najpierw przejdź do następnej strony:
(Komunikat o błędzie o sformatowanych liniach w powyższym przypadku można zignorować)
Przesuń plik do lokalizacji /USR/Local/Bin/Sift i daj mu odpowiednie uprawnienia za pomocą następującego polecenia:
Ubuntu@ubuntu: ~ $ chmod 755/usr/local/bin/sift
Na koniec uruchom następujące polecenie, aby zakończyć instalację:
Ubuntu@ubuntu: ~ $ sudo sift instaluj
Po zakończeniu instalacji wprowadź następujące poświadczenia:
Zaloguj się = SansFORENSICS
Hasło = Kryminalni
Innym sposobem uruchamiania SIFT jest po prostu uruchomienie ISO w napędzie rozruchowym i uruchomienie go jako kompletny system operacyjny.
Narzędzia
Sift Workstation jest wyposażona w liczne narzędzia używane do dogłębnej kryminalistyki i egzaminu reakcji incydentów. Narzędzia te obejmują następujące:
Autopsja (narzędzie do analizy systemu plików)
Sekcja zwłok to narzędzie wykorzystywane przez wojsko, organy ścigania i inne agencje, gdy istnieje potrzeba kryminalistyczna. Sekcja zwłok jest w zasadzie GUI dla bardzo znanych Sleuthkit. Sleuthkit przyjmuje tylko instrukcje wiersza poleceń. Z drugiej strony autopsja sprawia, że ten sam proces jest łatwy i przyjazny dla użytkownika. Po wpisaniu następujących czynności:
Ubuntu@ubuntu: ~ $ autopsyjna Pojawi się ekran w następujący sposób: ============================================== Przeglądarka kryminalistyczna sekcji zwłok http: // www.Sleuthkit.org/autopsy/ Ver 2.24 ============================================== Dowody Locker:/var/lib/autopsja Czas rozpoczęcia: śr. 17 czerwca 00:42:46 2020 Zdalny host: LocalHost Port lokalny: 9999 Otwórz przeglądarkę HTML na zdalnym hoście i wklej ten adres URL: http: // localhost: 9999/autopsja
Po nawigacji do http: // localhost: 9999/autopsja W dowolnej przeglądarce internetowej zobaczysz poniższą stronę:
Pierwszą rzeczą, którą musisz zrobić, to utworzyć sprawę, podać jej numer sprawy i napisać nazwy śledczych, aby zorganizować informacje i dowody. Po wprowadzeniu informacji i trafieniu Następny przycisk, będziesz pokazany poniżej:
Ten ekran pokazuje, co napisałeś jako numer sprawy i informacje o przypadku. Ta informacja jest przechowywana w bibliotece /var/lib/autopsy/.
Po kliknięciu Dodaj hosta, Zobaczysz poniższy ekran, na którym możesz dodać informacje o hoście, takie jak nazwa, strefa czasowa i opis hosta…
Kliknięcie Następny zabierze Cię na stronę wymagającą dostarczenia obrazu. E01 (Format świadków ekspertów), Aff (Zaawansowany format kryminalistyki), Dd (Format surowy), a obrazy kryminalistyczne pamięci są kompatybilne. Zapewniesz obraz i pozwolisz autopsji wykonać swoją pracę.
przede wszystkim (narzędzie do rzeźbienia plików)
Jeśli chcesz odzyskać pliki utracone ze względu na ich wewnętrzne struktury danych, nagłówki i stopki, główny może być użyte. To narzędzie przyjmuje dane wejściowe w różnych formatach obrazów, takich jak te generowane za pomocą DD, Encase itp. Przeglądaj opcje tego narzędzia za pomocą następującego polecenia:
Ubuntu@ubuntu: ~ $ najważniejsze -h -D - Włącz pośrednie wykrywanie bloków (dla systemów plików UNIX) -i - Określ plik wejściowy (domyślnie to stdin) -a - Napisz wszystkie nagłówki, nie wykonaj wykrywania błędów (uszkodzone pliki) popiół -W - Zapisz tylko plik audytu, nie pisz żadnych wykrytych plików na dysku -O - Ustaw katalog wyjściowy (domyślnie na wyjściu) -C - Ustaw plik konfiguracyjny do użycia (domyślnie na najważniejsze.conf) -Q - Włącza tryb szybki.
Binwalk
Zarządzać bibliotekami binarnymi, Binwalk Jest używane. To narzędzie jest głównym atutem dla tych, którzy wiedzą, jak z niego korzystać. Binwalk jest uważany za najlepsze narzędzie do inżynierii odwrotnej i wyodrębniania obrazów oprogramowania układowego. Binwalk jest łatwy w użyciu i zawiera ogromne możliwości, spójrz na Binwalk's Pomoc Strona, aby uzyskać więcej informacji za pomocą następującego polecenia:
Ubuntu@ubuntu: ~ $ binwalk - -help Użycie: binwalk [opcje] [File1] [File2] [File3]… Opcje skanowania podpisu: -B, -Plik docelowy skanowania skanowania Signature dla wspólnych podpisów plików -R, - -RAW = Skanowanie docelowe (y) do określonej sekwencji bajtów -A, --pcodes skanowanie plików docelowych dla wspólnych podpisów opcji wykonywalnych -m, - -Magic = określ niestandardowy plik magiczny do użycia -B, -DUMB Wyłącz słowa kluczowe Smart Signature -I, --invalid pokazuj wyniki oznaczone jako nieprawidłowe -x, -exclude = wyklucz wyniki, które pasują -y, -Include = pokazuj tylko wyniki, które pasują Opcje ekstrakcji: -e, -Ekstrację automatycznie wyodrębnia znane typy plików -D, - -dd = wyodrębnij podpisy, podaj pliki rozszerzenie i wykonanie -M, -Matryoshka rekurencyjnie skanuje pliki wyodrębnione -D, -Depth = Ogranicz głębokość rekurencji Matryoshka (domyślnie: 8 poziomów głębokich) -C, - -directory = wyodrębnij pliki/foldery do niestandardowego katalogu -j, - -size = ogranicz rozmiar każdego wyodrębnionego pliku -n, - -Count = ogranicz liczbę wyodrębnionych plików -R, - -RM Usuń rzeźbione pliki po ekstrakcji -Z, -Carve rzeźbowy z plików, ale nie wykonywaj narzędzi do ekstrakcji Opcje analizy entropii: -E, -Entropia Oblicz entropię pliku -F, -Faster Użyj szybciej, ale mniej szczegółowej analizy entropii -J, - -Save Save Fout jako PNG -Q, -NLEGEND pomiń legendę z wykresu fabuły entropii -N, -nplot nie generuje entropii wykresu wykresu -H, - -high = ustaw próg spustu entropii rosnącej krawędzi (domyślnie: 0.95) -L, - -Low = ustaw próg spustowej entropii entropii upadającej (domyślnie: 0.85) Opcje różnicowe binarne: -W, - -hexdump wykonaj sześciokątną / różnicę pliku lub plików -G, -zielone tylko pokazują linie zawierające bajty, które są takie same wśród wszystkich plików -I, -RED Pokaż tylko wiersze zawierające bajty, które są różne między wszystkimi plikami -U, --blue pokaż tylko wiersze zawierające bajty, które różnią się między niektórymi plikami -W, --tere Diff All Files, ale wyświetl tylko zrzut sześciokątny pierwszego pliku Opcje surowego kompresji: -X, -deflate skanowanie surowego sprężania strumieni kompresji -Z, -LZMA SKAN dla surowych strumieni kompresji LZMA -P, -Partial wykonuj powierzchowne, ale szybsze, skanuj -S, -Stop Stop po pierwszym wyniku Opcje ogólne: -L, -długość = liczba bajtów do skanowania -o, --ffset = rozpoczęcie skanowania w tym przesunięciu pliku -O, - -base = dodaj adres podstawowy do wszystkich drukowanych przesunięć -K, --block = ustaw rozmiar bloku pliku -g, - -swap = odwróć wszystkie n bajty przed skanowaniem -f, - -log = log wyniki do pliku -C, -CSV Wyniki dziennika do pliku w formacie CSV -t, –Meat Format Wyjście, aby pasowało do okna terminala -q, -Quiet Suppress Dutplay to Stdout -v, --verbose Włącz moc wyjściową -H, -Pokaż pomocy wyjściowej -a, - -finclude = tylko skanowanie plików, których nazwy pasują do tej regex -p, - -fexclude = nie skanuj plików, których nazwy pasują do tej regex -S, --status = Włącz serwer stanu w określonym porcie
Zmienność (narzędzie do analizy pamięci)
Zmienność jest popularnym narzędziem analizy pamięci używanym do kontroli zrzutów lotnych pamięci i pomocy użytkownikom w pobieraniu ważnych danych przechowywanych w pamięci RAM w momencie incydentu. Może to obejmować pliki, które są modyfikowane lub uruchomione procesy. W niektórych przypadkach historię przeglądarki można również znaleźć za pomocą zmienności.
Jeśli masz zrzut pamięci i chcesz poznać jego system operacyjny, użyj następującego polecenia:
Ubuntu@ubuntu: ~ $ .tom.Py Imageino -f
Wyjście tego polecenia da profil. Korzystając z innych poleceń, musisz podać ten profil jako obwód.
Aby uzyskać prawidłowy adres KDBG, użyj KDBGSCAN Dowództwo, które skanują nagłówki KDBG, znaki podłączone do profili zmienności i stosuje się raz-wycofanie, aby sprawdzić, czy wszystko jest w porządku, aby zmniejszyć fałszywe pozytywy. Gardoczność wydajności i liczba raz, które można wykonać, zależy od tego, czy zmienność może odkryć DTB. Tak więc, na podstawie szans, że znasz odpowiedni profil lub jeśli masz zalecenie profilu od ImageInfo, pamiętaj, aby użyć poprawnego profilu. Możemy użyć profilu z następującym poleceniem:
Ubuntu@ubuntu: ~ $ .tom.Profil PY = KDBGSCAN -F
Zeskanować region kontroli procesora jądra (KPCR) Struktury, używaj KPCRSCAN. Jeśli jest to system wieloprocesowy, każdy procesor ma swój własny region skanowania procesora jądra.
Wprowadź następujące polecenie, aby użyć KPCRSCAN:
Ubuntu@ubuntu: ~ $ .tom.Profil PY = KPCRSCAN -F
Skanować w poszukiwaniu Malwaresa i Rootkitów, Psscan Jest używane. To narzędzie skanują ukryte procesy połączone z rootkits.
Możemy użyć tego narzędzia, wprowadzając następujące polecenie:
Ubuntu@ubuntu: ~ $ .tom.Profil PY = Psscan -F
Spójrz na stronę Man dla tego narzędzia za pomocą polecenia pomocy:
Ubuntu@ubuntu: ~ $ zmienność -h Opcje: -H, -HELP Wymień wszystkie dostępne opcje i ich wartości domyślne. Wartości domyślne można ustawić w pliku konfiguracyjnym (/etc/volatilityrc) --conf-file =/home/usman/.VolatilityRc Plik konfiguracyjny oparty na użytkowniku -D, -DEBUG DEBUG WIELANIE --wtyczki = wtyczki Dodatkowe katalogi wtyczek do użycia (oddzielone okrężnicy) --Informacje Drukuj informacje o wszystkich zarejestrowanych obiektach --Direktory pamięci podręcznej =/home/usman/.pamięć podręczna/zmienność Katalog, w którym przechowywane są pliki pamięci podręcznej --pamięć podręczna Użyj buforowania --Tz = Tz ustawia stref czasowy (OLSON) do wyświetlania znaczników czasu Za pomocą Pytz (jeśli zainstalowano) lub TZSET -F nazwa pliku, - -filename = nazwa pliku Nazwa pliku do użycia podczas otwierania obrazu --Profil = WinxPSP2x86 Nazwa profilu do załadowania (użyj - -info, aby zobaczyć listę obsługiwanych profili) -L Lokalizacja, -Lokalizacja = lokalizacja Lokalizacja URN, z której można załadować przestrzeń adresową -w, - -Write Włącz obsługę zapisu --DTB = adres DTB DTB --shift = Shift Mac Kaslr Adres Shift --wyjście = wyjście tekstowe w tym formacie (obsługa jest specyficzna dla modułu, patrz Opcje wyjściowe modułu poniżej) --plik wyjściowy = pUNTUET_FILE Zapisz wyjście w tym pliku -v, --verbose Raośne informacje --Physical_Shift = Physical_Shift Adres przesunięcia fizycznego jądra Linux --Virtual_Shift = Virtual_Shift Wirtualny adres zmiany biegów Linux -G KDBG, --KDBG = KDBG Określ adres wirtualny KDBG (Uwaga: dla 64-bit Windows 8 i nowszy to adres KdcopyDataBlock) --Używanie siły siły podejrzanego profilu --cookie = cookie Określ adres NT!Obheadercookie (ważny dla Tylko Windows 10) -k kpcr, --kpcr = kpcr określa określony adres KPCR Obsługiwane polecenia wtyczki: Informacje o wydruku Amcache Drukuj APiHooks wykrywają haczyki API w procesie i pamięci jądra Tabele sesji drukowania i stacji okiennej Skaner basenu atomscan dla tabel atomowych Auditpol drukuje zasady audytu z HKLM \ Security \ Policy \ Poladtev Bigpools Zrzuć duże pule stron za pomocą BigPagePoolsCanner Bioskbd odczytuje bufor klawiatury z pamięci trybu rzeczywistego Zrzucanie buforów buforowanych skrótów domeny z pamięci Procedury powiadomień o całym systemie zwrotnym schowki wyodrębnia zawartość schowka Windows CMDLINE PROCES Process Proces CMDScan Extract Historia poleceń przez skanowanie dla _command_history Połączenia Drukuj listę otwartych połączeń [tylko Windows XP i 2003] Skaner basenu zęby dla połączeń TCP Konsole wyodrębnia historię poleceń przez skanowanie dla _Console_information CrashInfo zrzuca informacje o wypadku awarii Kulscan Poolscaner dla tagdesktop (komputery stacjonarne) DeviceTree Show Tree urządzenia DLLDUMP DLLLS z miejsca adresu procesu DLLLIL Lista drukowania załadowanych bibliotek dla każdego procesu Dyrektor haka IRP DriverIRP Drivermodule kojarzy obiekty sterowników z modułami jądra skaner puli napędowej dla obiektów sterownika Dumpcerts zrzuć RSA Private i publiczne klucze SSL Zrzucone pliki wyodrębniają pliki mapowane i buforowane Zrzucili akty rejestru na dysku na dysku GDITIMERS DRUKOWANIE ZADUWOWANYCH TEMERY I CONTALBACJI GDT Wyświetl globalną tabelę deskryptora getServicesIds otrzymują nazwy usług w rejestrze i zwracając obliczoną SID GETIDS Drukuj SIDS posiadający każdy proces obsługuje listę drukowania otwartego uchwytów dla każdego procesu Hashdump zrzuca hasła Hashes (LM/NTLM) z pamięci Informacje o pliku hibernacji hibinfo zrzutu hibinfo LSADUMP ZMISK (odszyfrowany) Sekrety LSA z rejestru Informacje o formacie pliku machoinfo zrzutu mach-o MEMMAP Wydrukuj mapę pamięci Lista List MessageHooks Desktop i okno wątku Haczyki komunikatów MFTPARSER skanuje i analizuje potencjalne wpisy MFT Moddump zrzuć sterownik jądra do próbki pliku wykonywalnego Skaner basenu Modscan dla modułów jądra Moduły Drukuj listę załadowanych modułów Skanowanie multiscan w poszukiwaniu różnych obiektów jednocześnie skaner basenu Mutantscan dla obiektów Mutex Lista notatników wyświetlana obecnie tekst notatnika skanowanie objtypescan dla obiektów typu Windows Patcher Patches Pamięć na podstawie skanów stron konfigurowalna wtyczka skanera basenu
Hashdeep lub MD5Deep (narzędzia Hashing)
Rzadko możliwe jest, aby dwa pliki miały ten sam skrót MD5, ale nie można zmodyfikować pliku z jego skrótem MD5. Obejmuje to integralność plików lub dowody. Dzięki duplikatowi napędu każdy może sprawdzić jego wiarygodność i pomyślałby przez chwilę, że dysk został tam umyślnie umieszczony. Aby uzyskać dowód, że rozważany dysk jest oryginałem, możesz użyć mieszania, który da skrót na dysk. Jeśli nawet jedna informacja zostanie zmieniona, skrót się zmieni, a będziesz mógł wiedzieć, czy dysk jest wyjątkowy, czy duplikat. Aby zapewnić integralność napędu i że nikt nie może go zakwestionować, możesz skopiować dysk, aby wygenerować skrót MD5. Możesz użyć MD5Sum W przypadku jednego lub dwóch plików, ale jeśli chodzi o wiele plików w wielu katalogach, MD5Deep jest najlepszą dostępną opcją generowania skrótów. To narzędzie ma również opcję porównania wielu skrótów jednocześnie.
Spójrz na stronę MD5Deep Man:
Ubuntu@ubuntu: ~ $ md5deep -h $ md5deep [opcja]… [pliki]… Zobacz stronę Man lub Readme.plik txt lub użyj -HH dla pełnej listy opcji -P - Tryb częściowy. Pliki są podzielone na bloki do mieszania -R - tryb rekurencyjny. Wszystkie subkredyty są przemierzane -E - Pokaż szacowany czas pozostał dla każdego pliku -S - Tryb cichy. Tłumij wszystkie komunikaty o błędach -z - Wyświetl rozmiar pliku przed skrótem -M - Włącza tryb dopasowywania. Zobacz stronę Readme/Man -X - Włącza tryb dopasowywania ujemnego. Zobacz stronę Readme/Man -M i -x są takie same jak -m i -x, ale także wydrukują skróty każdego pliku -W - Wyświetla znany plik wygenerował dopasowanie -N - Wyświetla znane skróty, które nie pasowały do żadnych plików wejściowych -a i -a Dodaj pojedynczy skrót do zestawu dodatniego lub ujemnego dopasowania -B - Drukuje tylko gołą nazwę plików; Wszystkie informacje o ścieżce są pominięte -L - Wydrukuj względne ścieżki dla nazw plików -T - Drukuj znacznik czasu GMT (CTime) -I/I - tylko pliki przetwarzania mniejsze/większe niż rozmiar -v - Wyświetl numer wersji i wyjście -D - wyjście w dfxml; -U - Ucieczka Unicode; -W plik - zapisz do pliku. -J - Użyj wątków num (domyślnie 4) -Z - Tryb sekundy; -H - pomoc; -Hh - pełna pomoc
Exiftool
Istnieje wiele narzędzi do oznaczania i przeglądania obrazów jeden po drugim, ale w przypadku, gdy masz wiele zdjęć do analizy (w tysiącach zdjęć), Exiftool jest wyborem wyboru. Exiftool to narzędzie open source używane do oglądania, zmiany, manipulowania i wydobywania metadanych obrazu za pomocą zaledwie kilku poleceń. Metadata dostarcza dodatkowych informacji na temat przedmiotu; W przypadku obrazu jego metadane będą jego rozdzielczością, kiedy został wykonany lub utworzony, a aparat lub program używany do tworzenia obrazu. EXIFTOOT może być używany nie tylko do modyfikacji i manipulowania metadanami pliku obrazu, ale może również zapisać dodatkowe informacje do metadanych dowolnego pliku. Aby zbadać metadane obrazu w formacie RAW, użyj następującego polecenia:
Ubuntu@ubuntu: ~ $ exif
To polecenie pozwoli ci tworzyć dane, takie jak data modyfikowania, godzina i inne informacje nie wymienione w ogólnych właściwościach pliku.
Załóżmy, że potrzebujesz nazywania setek plików i folderów za pomocą metadanych, aby utworzyć datę i godzinę. Aby to zrobić, musisz użyć następującego polecenia:
Ubuntu@ubuntu: ~ $ exif '-FileName Utworzone: sortuj według daty i godziny tworzenia pliku -D: Ustaw format -R: Recursive (użyj następującego polecenia na każdym pliku na danej ścieżce) -Rozszerzenie: rozszerzenie plików do modyfikacji (JPEG, PNG itp.) -Ścieżka do pliku: Lokalizacja folderu lub podfolderu Spójrz na stronę Exiftool Man: ubuntu@ubuntu: ~ $ exif - -help -v, -wersja oprogramowania wyświetlania Wyświetlania -I, --ids pokazuje identyfikatory zamiast nazw tagów -t, - -tag = tag Wybierz Tag --ifd = ifd wybierz ifd -L,--list-tags wymienia wszystkie tagi EXIF -|,-Show-Mnote Pokaż zawartość tag makernote --Usuń znacznik Usuń lub IFD -S,-Show-Description Pokaż opis tagu -E,-ekstrakt-odtwórca miniaturowy -r,--Remove-Brzbownica Usuń miniaturę -n, --insert-thumbnail = plik wkładania plików jako miniatur --No-FixUp nie naprawi istniejących znaczników w plikach -o, --output = dane zapisu danych do pliku --set-wartości = wartość ciągu znacznika -C,-Create-Exif Utwórz dane EXIF, jeśli nie istnieją -M,-wyjście do czytania w matce w formacie odczytującym maszynowo (Tab Delimited) -w, -szerokość = szerokość szerokości wyjściowej -x,-xml wyjście wyjściowe w formacie XML -D, -Debug pokaż wiadomości debugowania Opcje pomocy: -?, --Pomóż pokazać tę wiadomość pomocy --Wyświetlanie wyświetlania Krótkie komunikat użytkowania
DCFLDD (narzędzie do obrazowania dysku)
Obraz dysku można uzyskać za pomocą dcfldd pożytek. Aby uzyskać obraz z dysku, użyj następującego polecenia:
Ubuntu@ubuntu: ~ $ dcfldd if = = z BS = 512 Liczba = 1 skrót = if = miejsce docelowe napędu do utworzenia obrazu OF = miejsce docelowe, w którym zapasowy obraz będzie przechowywany BS = rozmiar bloku (liczba bajtów do kopiowania jednocześnie) hash = typ skrótu (opcjonalnie)
Spójrz na stronę pomocy DCFLDD, aby zbadać różne opcje tego narzędzia za pomocą następującego polecenia:
ubuntu@ubuntu: ~ $ dcfldd -help DCFLDD -HELP Zastosowanie: DCFLDD [opcja]… Skopiuj plik, konwersja i formatowanie zgodnie z opcjami. BS = bajty siły IBS = bajty i obs = bajty CBS = bajty konwertują bajty na raz conv = Słowa kluczowe przekonwertuj plik zgodnie z liściem słów kluczowych oddzielonych przecinek Count = bloki kopiowania tylko bloków wejściowych IBS = bajty odczytują bajty na raz if = plik odczytu z pliku zamiast stdin us = bajty piszą bajty na raz Of = plik zapisz do pliku zamiast stdout UWAGA: OF = plik może być używany kilka razy do pisania wyjść do wielu plików jednocześnie of: = Command Exec i zapis wyjściowe do polecenia procesu przetwarzania szuka = bloki pomiń bloki obserwowane bloki na początku wyjścia SKIP = BLOKS SKIP BLOCKI BLOKY IBS na początku wejścia wzór = heks użyj określonego wzorca binarnego jako wejścia TextPattern = tekst Użyj powtarzającego się tekstu jako wejścia errlog = plik wysyłaj komunikaty o błędach do pliku, a także stderr HashWindow = bajty wykonują skrót na wszystkich bajtach ilości danych Hash = Nazwa albo MD5, SHA1, SHA256, SHA384 lub SHA512 Domyślny algorytm to MD5. Aby wybrać wiele Algorytmy do uruchomienia jednocześnie Wpisz nazwy Na liście oddzielonej przecinki hashlog = plik wyślij MD5 HASH wyjście do pliku zamiast STDERR Jeśli używasz wielu algorytmów skrótu może wysłać każdy do osobnego pliku za pomocą na przykład plik konwencji algorytmmlog = MD5LOG = FILE1, SHA1LOG = FILE2 itp. hashlog: = Command Exec i zapis hashlog do przetwarzania polecenia Algorytmlog: = polecenie działa również w ten sam sposób HASHCONV = [przed | po] wykonanie mieszania przed lub po konwersjach Hashformat = Format Wyświetl każdy hashWindow zgodnie z formatem Format Hash Mini języka opisano poniżej TotalHashFormat = Format wyświetla całkowitą wartość skrótu zgodnie z formatem Status = [ON | OFF] Wyświetl ciągły komunikat o stanie na Stderr Stan domyślny jest „włączony” StatusInterval = n zaktualizuj komunikat o stanie każdy n bloków Wartość domyślna to 256 sizeProbe = [if | of] określa rozmiar pliku wejściowego lub wyjściowego Do użytku z komunikatami statusu. (ta opcja daje wskaźnik procentowy) OSTRZEŻENIE: Nie używaj tej opcji w stosunku do urządzenie taśmowe. możesz użyć dowolnej liczby „a” lub „n” w dowolnej kombinacji Format domyślny to „nnn” Uwaga: opcje podziału i podziału występują Tylko dla plików wyjściowych określonych po cyfrach każda kombinacja, którą chciałbyś. (mi.G. „Anaannnaana” byłby ważny, ale Całkiem szalony) vf = plik sprawdź, czy plik pasuje do określonego wejścia verifyLog = plik Wyślij wyniki weryfikuj do pliku zamiast STDERR VerifyLog: = Command Exec i zapisz wyniki, aby przetwarzać polecenie --Pomóż wyświetlić tę pomoc i wyjść --Wersja Wersja Informacje i wyjście ASCII od ebcdic do ASCII ebcdic z ASCII do ebcdic IBM z ASCII do naprzemiennego ebcdic Block Pad nowatorskie rekordy z przestrzeniami do wielkości CBS Unblock Zastąp przestrzenie wlewowe w rekordach wielkości CBS newline LCLE Zmień górną skrzynkę na dolną obudowę notRunc nie obcinaj pliku wyjściowego UCACE Zmień dolną obudowę na górną skrzynkę wymień wymaz każdą parę bajtów wejściowych Noerror kontynuuj po odczytaniu błędów SYNC PAD Każdy blok wejściowy z NULS do IBS-size; gdy używane
Ściągawki
Kolejna jakość PRZESIAĆ Stacja robocza to ściągniki, które są już zainstalowane z tym dystrybucją. Kochali pomagają użytkownikowi zacząć. Podczas przeprowadzania dochodzenia ściągki przypominają użytkownikowi wszystkie potężne opcje dostępne w tym obszarze roboczym. Kochali pozwalają użytkownikowi z łatwością zdobyć najnowsze narzędzia kryminalistyczne. W tej dystrybucji dostępne są ściągniki wielu ważnych narzędzi, takie jak ściągawka dostępna dla Tworzenie osi czasu cienia:
Innym przykładem jest ściągawka dla słynnych Sleuthkit:
Chwyta są również dostępne dla Analiza pamięci oraz do montażu wszelkiego rodzaju obrazów:
Wniosek
SANS Badawczyny zestaw narzędzi kryminalistycznych (PRZESIAĆ) ma podstawowe możliwości każdego innego zestawu narzędzi kryminalistycznych, a także zawiera wszystkie najnowsze potężne narzędzia potrzebne do przeprowadzenia szczegółowej analizy kryminalistycznej E01 (Format świadków ekspertów), Aff (Zaawansowany format kryminalistyki) lub obraz surowy (Dd) Formaty. Format analizy pamięci jest również kompatybilny z SIFT. SIFT nakłada ścisłe wytyczne dotyczące analizy dowodów, zapewniając, że dowody nie są manipulowane (wytyczne te mają uprawnienia tylko do odczytu). Większość narzędzi zawartych w SIFT jest dostępna w wierszu poleceń. SIFT można również wykorzystać do śledzenia aktywności sieci, odzyskania ważnych danych i tworzenia harmonogramu w sposób systematyczny. Ze względu na zdolność tego dystrybucji do dokładnego badania dysków i wielu systemów plików, SIFT jest najwyższym poziomem w dziedzinie kryminalistyki i jest uważana za bardzo skuteczną stacja robocza dla każdego, kto pracuje w kryminalistyce. Wszystkie narzędzia wymagane do dowolnego dochodzenia kryminalistycznego są zawarte w Sift Workstation stworzone przez Bez kryminalistyki zespół i Rob Lee .