Sans Investigative Forensics Toolkit

PRZESIAĆ to komputerowy dystrybucja kryminalistyczna stworzona przez Bez kryminalistyki Zespół do wykonywania cyfrowej kryminalistyki. Ta dystrybucja zawiera większość narzędzi wymaganych do analizy cyfrowej i badań reakcji incydentów. PRZESIAĆ jest open source i publicznie dostępny za darmo w Internecie. W dzisiejszym cyfrowym świecie, w którym codziennie popełniają przestępstwa za pomocą technologii cyfrowej, napastnicy stają się coraz bardziej ukryte i wyrafinowani. Może to spowodować, że firmy stracą ważne dane, z milionami użytkowników narażonych. Ochrona organizacji przed tymi atakami wymaga silnych technik kryminalistycznych i wiedzy w strategii obrony. PRZESIAĆ Zapewnia narzędzia kryminalistyczne dla systemów plików, pamięci i badań sieciowych w celu przeprowadzenia dogłębnych badań kryminalistycznych.

W 2007, PRZESIAĆ Był dostępny do pobrania i był twardy, więc ilekroć nadeszła aktualizacja, użytkownicy musieli pobrać nowszą wersję. Z dalszymi innowacjami w 2014 roku, PRZESIAĆ stał się dostępny jako solidny pakiet na Ubuntu i można go teraz pobrać jako stacja robocza. Później, w 2017 roku, wersja PRZESIAĆ przyszedł na rynek, umożliwiając większą funkcjonalność i zapewnianie użytkownikom możliwości wykorzystania danych z innych źródeł. Ta nowsza wersja zawiera ponad 200 narzędzi stron trzeci. Ta wersja jest bardziej stabilna, bardziej wydajna i zapewnia lepszą funkcjonalność pod względem analizy pamięci. PRZESIAĆ można scenariusz, co oznacza, że ​​użytkownicy mogą łączyć niektóre polecenia, aby działało to zgodnie z ich potrzebami.

PRZESIAĆ może działać na dowolnym systemie działającym w systemie Ubuntu lub Windows. SIFT popiera różne formaty dowodów, w tym Aff, E01, i surowy format (Dd). Obrazy kryminalistyczne pamięci są również kompatybilne z SIFT. W przypadku systemów plików SIFT obsługuje ext2, ext3 dla Linux, HFS dla Mac i FAT, V-FAT, MS-DOS i NTFS dla systemu Windows.

Instalacja

Aby stacja robocza działała płynnie, musisz mieć dobry pamięć RAM, dobry procesor i rozległe miejsce na dysku twardym (zalecane jest 15 GB). Istnieją dwa sposoby instalacji PRZESIAĆ:

• VMware/VirtualBox

Aby zainstalować SIFT Workstation jako maszynę wirtualną na VMware lub VirtualBox, pobierz .Ova Plik formatowy z następnej strony:

https: // cyfrowofirentyka.Sans.org/społeczność/pobieranie
Następnie zaimportuj plik do VirtualBox, klikając Opcja importu. Po zakończeniu instalacji użyj następujących poświadczeń, aby zalogować się:

Zaloguj się = SansFORENSICS

Hasło = Kryminalni

• Ubuntu

Aby zainstalować SIFT Workstation w systemie Ubuntu, najpierw przejdź do następnej strony:

https: // github.com/teamdfir/sift-cli/remises/tag/v1.8.5

Na tej stronie zainstaluj następujące dwa pliki:

Sift-cli-linux
Sift-cli-linux.SHA256.Asc

Następnie zaimportuj klawisz PGP za pomocą następującego polecenia:

Ubuntu@ubuntu: ~ $ gpg --keyserver hkp: // puli.SKS-Keyserver.Net: 80
--Recv-Keys 22598A94

Sprawdzaj podpis za pomocą następującego polecenia:

Ubuntu@ubuntu: ~ $ gpg --verify sift-cli-linux.SHA256.Asc

Sprawdzaj podpis SHA256 za pomocą następującego polecenia:

Ubuntu@ubuntu: ~ $ sha256sum -c sift-cli-linux.SHA256.Asc

(Komunikat o błędzie o sformatowanych liniach w powyższym przypadku można zignorować)

Przesuń plik do lokalizacji /USR/Local/Bin/Sift i daj mu odpowiednie uprawnienia za pomocą następującego polecenia:

Ubuntu@ubuntu: ~ $ chmod 755/usr/local/bin/sift

Na koniec uruchom następujące polecenie, aby zakończyć instalację:

Ubuntu@ubuntu: ~ $ sudo sift instaluj

Po zakończeniu instalacji wprowadź następujące poświadczenia:

Zaloguj się = SansFORENSICS

Hasło = Kryminalni

Innym sposobem uruchamiania SIFT jest po prostu uruchomienie ISO w napędzie rozruchowym i uruchomienie go jako kompletny system operacyjny.

Narzędzia

Sift Workstation jest wyposażona w liczne narzędzia używane do dogłębnej kryminalistyki i egzaminu reakcji incydentów. Narzędzia te obejmują następujące:

• Autopsja (narzędzie do analizy systemu plików)

Sekcja zwłok to narzędzie wykorzystywane przez wojsko, organy ścigania i inne agencje, gdy istnieje potrzeba kryminalistyczna. Sekcja zwłok jest w zasadzie GUI dla bardzo znanych Sleuthkit. Sleuthkit przyjmuje tylko instrukcje wiersza poleceń. Z drugiej strony autopsja sprawia, że ​​ten sam proces jest łatwy i przyjazny dla użytkownika. Po wpisaniu następujących czynności:

Ubuntu@ubuntu: ~ $ autopsyjna
Pojawi się ekran w następujący sposób:
==============================================
Przeglądarka kryminalistyczna sekcji zwłok
http: // www.Sleuthkit.org/autopsy/
Ver 2.24
==============================================
Dowody Locker:/var/lib/autopsja
Czas rozpoczęcia: śr. 17 czerwca 00:42:46 2020
Zdalny host: LocalHost
Port lokalny: 9999
Otwórz przeglądarkę HTML na zdalnym hoście i wklej ten adres URL:
http: // localhost: 9999/autopsja

Po nawigacji do http: // localhost: 9999/autopsja W dowolnej przeglądarce internetowej zobaczysz poniższą stronę:

Pierwszą rzeczą, którą musisz zrobić, to utworzyć sprawę, podać jej numer sprawy i napisać nazwy śledczych, aby zorganizować informacje i dowody. Po wprowadzeniu informacji i trafieniu Następny przycisk, będziesz pokazany poniżej:

Ten ekran pokazuje, co napisałeś jako numer sprawy i informacje o przypadku. Ta informacja jest przechowywana w bibliotece /var/lib/autopsy/.

Po kliknięciu Dodaj hosta, Zobaczysz poniższy ekran, na którym możesz dodać informacje o hoście, takie jak nazwa, strefa czasowa i opis hosta…

Kliknięcie Następny zabierze Cię na stronę wymagającą dostarczenia obrazu. E01 (Format świadków ekspertów), Aff (Zaawansowany format kryminalistyki), Dd (Format surowy), a obrazy kryminalistyczne pamięci są kompatybilne. Zapewniesz obraz i pozwolisz autopsji wykonać swoją pracę.

• przede wszystkim (narzędzie do rzeźbienia plików)

Jeśli chcesz odzyskać pliki utracone ze względu na ich wewnętrzne struktury danych, nagłówki i stopki, główny może być użyte. To narzędzie przyjmuje dane wejściowe w różnych formatach obrazów, takich jak te generowane za pomocą DD, Encase itp. Przeglądaj opcje tego narzędzia za pomocą następującego polecenia:

Ubuntu@ubuntu: ~ $ najważniejsze -h
-D - Włącz pośrednie wykrywanie bloków (dla systemów plików UNIX)
-i - Określ plik wejściowy (domyślnie to stdin)
-a - Napisz wszystkie nagłówki, nie wykonaj wykrywania błędów (uszkodzone pliki) popiół
-W - Zapisz tylko plik audytu, nie pisz żadnych wykrytych plików na dysku
-O - Ustaw katalog wyjściowy (domyślnie na wyjściu)
-C - Ustaw plik konfiguracyjny do użycia (domyślnie na najważniejsze.conf)
-Q - Włącza tryb szybki.

• Binwalk

Zarządzać bibliotekami binarnymi, Binwalk Jest używane. To narzędzie jest głównym atutem dla tych, którzy wiedzą, jak z niego korzystać. Binwalk jest uważany za najlepsze narzędzie do inżynierii odwrotnej i wyodrębniania obrazów oprogramowania układowego. Binwalk jest łatwy w użyciu i zawiera ogromne możliwości, spójrz na Binwalk's Pomoc Strona, aby uzyskać więcej informacji za pomocą następującego polecenia:

Ubuntu@ubuntu: ~ $ binwalk - -help
Użycie: binwalk [opcje] [File1] [File2] [File3]…
Opcje skanowania podpisu:
-B, -Plik docelowy skanowania skanowania Signature dla wspólnych podpisów plików
-R, - -RAW = Skanowanie docelowe (y) do określonej sekwencji bajtów
-A, --pcodes skanowanie plików docelowych dla wspólnych podpisów opcji wykonywalnych
-m, - -Magic = określ niestandardowy plik magiczny do użycia
-B, -DUMB Wyłącz słowa kluczowe Smart Signature
-I, --invalid pokazuj wyniki oznaczone jako nieprawidłowe
-x, -exclude = wyklucz wyniki, które pasują
-y, -Include = pokazuj tylko wyniki, które pasują
Opcje ekstrakcji:
-e, -Ekstrację automatycznie wyodrębnia znane typy plików
-D, - -dd = wyodrębnij podpisy, podaj pliki
rozszerzenie i wykonanie
-M, -Matryoshka rekurencyjnie skanuje pliki wyodrębnione
-D, -Depth = Ogranicz głębokość rekurencji Matryoshka (domyślnie: 8 poziomów głębokich)
-C, - -directory = wyodrębnij pliki/foldery do niestandardowego katalogu
-j, - -size = ogranicz rozmiar każdego wyodrębnionego pliku
-n, - -Count = ogranicz liczbę wyodrębnionych plików
-R, - -RM Usuń rzeźbione pliki po ekstrakcji
-Z, -Carve rzeźbowy z plików, ale nie wykonywaj narzędzi do ekstrakcji
Opcje analizy entropii:
-E, -Entropia Oblicz entropię pliku
-F, -Faster Użyj szybciej, ale mniej szczegółowej analizy entropii
-J, - -Save Save Fout jako PNG
-Q, -NLEGEND pomiń legendę z wykresu fabuły entropii
-N, -nplot nie generuje entropii wykresu wykresu
-H, - -high = ustaw próg spustu entropii rosnącej krawędzi (domyślnie: 0.95)
-L, - -Low = ustaw próg spustowej entropii entropii upadającej (domyślnie: 0.85)
Opcje różnicowe binarne:
-W, - -hexdump wykonaj sześciokątną / różnicę pliku lub plików
-G, -zielone tylko pokazują linie zawierające bajty, które są takie same wśród wszystkich plików
-I, -RED Pokaż tylko wiersze zawierające bajty, które są różne między wszystkimi plikami
-U, --blue pokaż tylko wiersze zawierające bajty, które różnią się między niektórymi plikami
-W, --tere Diff All Files, ale wyświetl tylko zrzut sześciokątny pierwszego pliku
Opcje surowego kompresji:
-X, -deflate skanowanie surowego sprężania strumieni kompresji
-Z, -LZMA SKAN dla surowych strumieni kompresji LZMA
-P, -Partial wykonuj powierzchowne, ale szybsze, skanuj
-S, -Stop Stop po pierwszym wyniku
Opcje ogólne:
-L, -długość = liczba bajtów do skanowania
-o, --ffset = rozpoczęcie skanowania w tym przesunięciu pliku
-O, - -base = dodaj adres podstawowy do wszystkich drukowanych przesunięć
-K, --block = ustaw rozmiar bloku pliku
-g, - -swap = odwróć wszystkie n bajty przed skanowaniem
-f, - -log = log wyniki do pliku
-C, -CSV Wyniki dziennika do pliku w formacie CSV
-t, –Meat Format Wyjście, aby pasowało do okna terminala
-q, -Quiet Suppress Dutplay to Stdout
-v, --verbose Włącz moc wyjściową
-H, -Pokaż pomocy wyjściowej
-a, - -finclude = tylko skanowanie plików, których nazwy pasują do tej regex
-p, - -fexclude = nie skanuj plików, których nazwy pasują do tej regex
-S, --status = Włącz serwer stanu w określonym porcie

• Zmienność (narzędzie do analizy pamięci)

Zmienność jest popularnym narzędziem analizy pamięci używanym do kontroli zrzutów lotnych pamięci i pomocy użytkownikom w pobieraniu ważnych danych przechowywanych w pamięci RAM w momencie incydentu. Może to obejmować pliki, które są modyfikowane lub uruchomione procesy. W niektórych przypadkach historię przeglądarki można również znaleźć za pomocą zmienności.

Jeśli masz zrzut pamięci i chcesz poznać jego system operacyjny, użyj następującego polecenia:

Ubuntu@ubuntu: ~ $ .tom.Py Imageino -f

Wyjście tego polecenia da profil. Korzystając z innych poleceń, musisz podać ten profil jako obwód.

Aby uzyskać prawidłowy adres KDBG, użyj KDBGSCAN Dowództwo, które skanują nagłówki KDBG, znaki podłączone do profili zmienności i stosuje się raz-wycofanie, aby sprawdzić, czy wszystko jest w porządku, aby zmniejszyć fałszywe pozytywy. Gardoczność wydajności i liczba raz, które można wykonać, zależy od tego, czy zmienność może odkryć DTB. Tak więc, na podstawie szans, że znasz odpowiedni profil lub jeśli masz zalecenie profilu od ImageInfo, pamiętaj, aby użyć poprawnego profilu. Możemy użyć profilu z następującym poleceniem:

Ubuntu@ubuntu: ~ $ .tom.Profil PY = KDBGSCAN
-F

Zeskanować region kontroli procesora jądra (KPCR) Struktury, używaj KPCRSCAN. Jeśli jest to system wieloprocesowy, każdy procesor ma swój własny region skanowania procesora jądra.

Wprowadź następujące polecenie, aby użyć KPCRSCAN:

Ubuntu@ubuntu: ~ $ .tom.Profil PY = KPCRSCAN
-F

Skanować w poszukiwaniu Malwaresa i Rootkitów, Psscan Jest używane. To narzędzie skanują ukryte procesy połączone z rootkits.

Możemy użyć tego narzędzia, wprowadzając następujące polecenie:

Ubuntu@ubuntu: ~ $ .tom.Profil PY = Psscan
-F

Spójrz na stronę Man dla tego narzędzia za pomocą polecenia pomocy:

Ubuntu@ubuntu: ~ $ zmienność -h
Opcje:
-H, -HELP Wymień wszystkie dostępne opcje i ich wartości domyślne.
Wartości domyślne można ustawić w pliku konfiguracyjnym
(/etc/volatilityrc)
--conf-file =/home/usman/.VolatilityRc
Plik konfiguracyjny oparty na użytkowniku
-D, -DEBUG DEBUG WIELANIE
--wtyczki = wtyczki Dodatkowe katalogi wtyczek do użycia (oddzielone okrężnicy)
--Informacje Drukuj informacje o wszystkich zarejestrowanych obiektach
--Direktory pamięci podręcznej =/home/usman/.pamięć podręczna/zmienność
Katalog, w którym przechowywane są pliki pamięci podręcznej
--pamięć podręczna Użyj buforowania
--Tz = Tz ustawia stref czasowy (OLSON) do wyświetlania znaczników czasu
Za pomocą Pytz (jeśli zainstalowano) lub TZSET
-F nazwa pliku, - -filename = nazwa pliku
Nazwa pliku do użycia podczas otwierania obrazu
--Profil = WinxPSP2x86
Nazwa profilu do załadowania (użyj - -info, aby zobaczyć listę obsługiwanych profili)
-L Lokalizacja, -Lokalizacja = lokalizacja
Lokalizacja URN, z której można załadować przestrzeń adresową
-w, - -Write Włącz obsługę zapisu
--DTB = adres DTB DTB
--shift = Shift Mac Kaslr Adres Shift
--wyjście = wyjście tekstowe w tym formacie (obsługa jest specyficzna dla modułu, patrz
Opcje wyjściowe modułu poniżej)
--plik wyjściowy = pUNTUET_FILE
Zapisz wyjście w tym pliku
-v, --verbose Raośne informacje
--Physical_Shift = Physical_Shift
Adres przesunięcia fizycznego jądra Linux
--Virtual_Shift = Virtual_Shift
Wirtualny adres zmiany biegów Linux
-G KDBG, --KDBG = KDBG Określ adres wirtualny KDBG (Uwaga: dla 64-bit
Windows 8 i nowszy to adres
KdcopyDataBlock)
--Używanie siły siły podejrzanego profilu
--cookie = cookie Określ adres NT!Obheadercookie (ważny dla
Tylko Windows 10)
-k kpcr, --kpcr = kpcr określa określony adres KPCR
Obsługiwane polecenia wtyczki:
Informacje o wydruku Amcache Drukuj
APiHooks wykrywają haczyki API w procesie i pamięci jądra
Tabele sesji drukowania i stacji okiennej
Skaner basenu atomscan dla tabel atomowych
Auditpol drukuje zasady audytu z HKLM \ Security \ Policy \ Poladtev
Bigpools Zrzuć duże pule stron za pomocą BigPagePoolsCanner
Bioskbd odczytuje bufor klawiatury z pamięci trybu rzeczywistego
Zrzucanie buforów buforowanych skrótów domeny z pamięci
Procedury powiadomień o całym systemie zwrotnym
schowki wyodrębnia zawartość schowka Windows
CMDLINE PROCES Process Proces
CMDScan Extract Historia poleceń przez skanowanie dla _command_history
Połączenia Drukuj listę otwartych połączeń [tylko Windows XP i 2003]
Skaner basenu zęby dla połączeń TCP
Konsole wyodrębnia historię poleceń przez skanowanie dla _Console_information
CrashInfo zrzuca informacje o wypadku awarii
Kulscan Poolscaner dla tagdesktop (komputery stacjonarne)
DeviceTree Show Tree urządzenia
DLLDUMP DLLLS z miejsca adresu procesu
DLLLIL Lista drukowania załadowanych bibliotek dla każdego procesu
Dyrektor haka IRP DriverIRP
Drivermodule kojarzy obiekty sterowników z modułami jądra
skaner puli napędowej dla obiektów sterownika
Dumpcerts zrzuć RSA Private i publiczne klucze SSL
Zrzucone pliki wyodrębniają pliki mapowane i buforowane
Zrzucili akty rejestru na dysku na dysku
GDITIMERS DRUKOWANIE ZADUWOWANYCH TEMERY I CONTALBACJI
GDT Wyświetl globalną tabelę deskryptora
getServicesIds otrzymują nazwy usług w rejestrze i zwracając obliczoną SID
GETIDS Drukuj SIDS posiadający każdy proces
obsługuje listę drukowania otwartego uchwytów dla każdego procesu
Hashdump zrzuca hasła Hashes (LM/NTLM) z pamięci
Informacje o pliku hibernacji hibinfo zrzutu hibinfo
LSADUMP ZMISK (odszyfrowany) Sekrety LSA z rejestru
Informacje o formacie pliku machoinfo zrzutu mach-o
MEMMAP Wydrukuj mapę pamięci
Lista List MessageHooks Desktop i okno wątku Haczyki komunikatów
MFTPARSER skanuje i analizuje potencjalne wpisy MFT
Moddump zrzuć sterownik jądra do próbki pliku wykonywalnego
Skaner basenu Modscan dla modułów jądra
Moduły Drukuj listę załadowanych modułów
Skanowanie multiscan w poszukiwaniu różnych obiektów jednocześnie
skaner basenu Mutantscan dla obiektów Mutex
Lista notatników wyświetlana obecnie tekst notatnika
skanowanie objtypescan dla obiektów typu Windows
Patcher Patches Pamięć na podstawie skanów stron
konfigurowalna wtyczka skanera basenu

• Hashdeep lub MD5Deep (narzędzia Hashing)

Rzadko możliwe jest, aby dwa pliki miały ten sam skrót MD5, ale nie można zmodyfikować pliku z jego skrótem MD5. Obejmuje to integralność plików lub dowody. Dzięki duplikatowi napędu każdy może sprawdzić jego wiarygodność i pomyślałby przez chwilę, że dysk został tam umyślnie umieszczony. Aby uzyskać dowód, że rozważany dysk jest oryginałem, możesz użyć mieszania, który da skrót na dysk. Jeśli nawet jedna informacja zostanie zmieniona, skrót się zmieni, a będziesz mógł wiedzieć, czy dysk jest wyjątkowy, czy duplikat. Aby zapewnić integralność napędu i że nikt nie może go zakwestionować, możesz skopiować dysk, aby wygenerować skrót MD5. Możesz użyć MD5Sum W przypadku jednego lub dwóch plików, ale jeśli chodzi o wiele plików w wielu katalogach, MD5Deep jest najlepszą dostępną opcją generowania skrótów. To narzędzie ma również opcję porównania wielu skrótów jednocześnie.

Spójrz na stronę MD5Deep Man:

Ubuntu@ubuntu: ~ $ md5deep -h
$ md5deep [opcja]… [pliki]…
Zobacz stronę Man lub Readme.plik txt lub użyj -HH dla pełnej listy opcji
-P - Tryb częściowy. Pliki są podzielone na bloki do mieszania
-R - tryb rekurencyjny. Wszystkie subkredyty są przemierzane
-E - Pokaż szacowany czas pozostał dla każdego pliku
-S - Tryb cichy. Tłumij wszystkie komunikaty o błędach
-z - Wyświetl rozmiar pliku przed skrótem
-M - Włącza tryb dopasowywania. Zobacz stronę Readme/Man
-X - Włącza tryb dopasowywania ujemnego. Zobacz stronę Readme/Man
-M i -x są takie same jak -m i -x, ale także wydrukują skróty każdego pliku
-W - Wyświetla znany plik wygenerował dopasowanie
-N - Wyświetla znane skróty, które nie pasowały do ​​żadnych plików wejściowych
-a i -a Dodaj pojedynczy skrót do zestawu dodatniego lub ujemnego dopasowania
-B - Drukuje tylko gołą nazwę plików; Wszystkie informacje o ścieżce są pominięte
-L - Wydrukuj względne ścieżki dla nazw plików
-T - Drukuj znacznik czasu GMT (CTime)
-I/I - tylko pliki przetwarzania mniejsze/większe niż rozmiar
-v - Wyświetl numer wersji i wyjście
-D - wyjście w dfxml; -U - Ucieczka Unicode; -W plik - zapisz do pliku.
-J - Użyj wątków num (domyślnie 4)
-Z - Tryb sekundy; -H - pomoc; -Hh - pełna pomoc

• Exiftool

Istnieje wiele narzędzi do oznaczania i przeglądania obrazów jeden po drugim, ale w przypadku, gdy masz wiele zdjęć do analizy (w tysiącach zdjęć), Exiftool jest wyborem wyboru. Exiftool to narzędzie open source używane do oglądania, zmiany, manipulowania i wydobywania metadanych obrazu za pomocą zaledwie kilku poleceń. Metadata dostarcza dodatkowych informacji na temat przedmiotu; W przypadku obrazu jego metadane będą jego rozdzielczością, kiedy został wykonany lub utworzony, a aparat lub program używany do tworzenia obrazu. EXIFTOOT może być używany nie tylko do modyfikacji i manipulowania metadanami pliku obrazu, ale może również zapisać dodatkowe informacje do metadanych dowolnego pliku. Aby zbadać metadane obrazu w formacie RAW, użyj następującego polecenia:

Ubuntu@ubuntu: ~ $ exif

To polecenie pozwoli ci tworzyć dane, takie jak data modyfikowania, godzina i inne informacje nie wymienione w ogólnych właściwościach pliku.

Załóżmy, że potrzebujesz nazywania setek plików i folderów za pomocą metadanych, aby utworzyć datę i godzinę. Aby to zrobić, musisz użyć następującego polecenia:

Ubuntu@ubuntu: ~ $ exif '-FileName
Utworzone: sortuj według daty i godziny tworzenia pliku
-D: Ustaw format
-R: Recursive (użyj następującego polecenia na każdym pliku na danej ścieżce)
-Rozszerzenie: rozszerzenie plików do modyfikacji (JPEG, PNG itp.)
-Ścieżka do pliku: Lokalizacja folderu lub podfolderu
Spójrz na stronę Exiftool Man:
ubuntu@ubuntu: ~ $ exif - -help
-v, -wersja oprogramowania wyświetlania Wyświetlania
-I, --ids pokazuje identyfikatory zamiast nazw tagów
-t, - -tag = tag Wybierz Tag
--ifd = ifd wybierz ifd
-L,--list-tags wymienia wszystkie tagi EXIF
-|,-Show-Mnote Pokaż zawartość tag makernote
--Usuń znacznik Usuń lub IFD
-S,-Show-Description Pokaż opis tagu
-E,-ekstrakt-odtwórca miniaturowy
-r,--Remove-Brzbownica Usuń miniaturę
-n, --insert-thumbnail = plik wkładania plików jako miniatur
--No-FixUp nie naprawi istniejących znaczników w plikach
-o, --output = dane zapisu danych do pliku
--set-wartości = wartość ciągu znacznika
-C,-Create-Exif Utwórz dane EXIF, jeśli nie istnieją
-M,-wyjście do czytania w matce w formacie odczytującym maszynowo (Tab Delimited)
-w, -szerokość = szerokość szerokości wyjściowej
-x,-xml wyjście wyjściowe w formacie XML
-D, -Debug pokaż wiadomości debugowania
Opcje pomocy:
-?, --Pomóż pokazać tę wiadomość pomocy
--Wyświetlanie wyświetlania Krótkie komunikat użytkowania

• DCFLDD (narzędzie do obrazowania dysku)

Obraz dysku można uzyskać za pomocą dcfldd pożytek. Aby uzyskać obraz z dysku, użyj następującego polecenia:

Ubuntu@ubuntu: ~ $ dcfldd if = = z
BS = 512 Liczba = 1 skrót =
if = miejsce docelowe napędu do utworzenia obrazu
OF = miejsce docelowe, w którym zapasowy obraz będzie przechowywany
BS = rozmiar bloku (liczba bajtów do kopiowania jednocześnie)
hash = typ skrótu (opcjonalnie)

Spójrz na stronę pomocy DCFLDD, aby zbadać różne opcje tego narzędzia za pomocą następującego polecenia:

ubuntu@ubuntu: ~ $ dcfldd -help
DCFLDD -HELP
Zastosowanie: DCFLDD [opcja]…
Skopiuj plik, konwersja i formatowanie zgodnie z opcjami.
BS = bajty siły IBS = bajty i obs = bajty
CBS = bajty konwertują bajty na raz
conv = Słowa kluczowe przekonwertuj plik zgodnie z liściem słów kluczowych oddzielonych przecinek
Count = bloki kopiowania tylko bloków wejściowych
IBS = bajty odczytują bajty na raz
if = plik odczytu z pliku zamiast stdin
us = bajty piszą bajty na raz
Of = plik zapisz do pliku zamiast stdout
UWAGA: OF = plik może być używany kilka razy do pisania
wyjść do wielu plików jednocześnie
of: = Command Exec i zapis wyjściowe do polecenia procesu przetwarzania
szuka = ​​bloki pomiń bloki obserwowane bloki na początku wyjścia
SKIP = BLOKS SKIP BLOCKI BLOKY IBS na początku wejścia
wzór = heks użyj określonego wzorca binarnego jako wejścia
TextPattern = tekst Użyj powtarzającego się tekstu jako wejścia
errlog = plik wysyłaj komunikaty o błędach do pliku, a także stderr
HashWindow = bajty wykonują skrót na wszystkich bajtach ilości danych
Hash = Nazwa albo MD5, SHA1, SHA256, SHA384 lub SHA512
Domyślny algorytm to MD5. Aby wybrać wiele
Algorytmy do uruchomienia jednocześnie Wpisz nazwy
Na liście oddzielonej przecinki
hashlog = plik wyślij MD5 HASH wyjście do pliku zamiast STDERR
Jeśli używasz wielu algorytmów skrótu
może wysłać każdy do osobnego pliku za pomocą
na przykład plik konwencji algorytmmlog =
MD5LOG = FILE1, SHA1LOG = FILE2 itp.
hashlog: = Command Exec i zapis hashlog do przetwarzania polecenia
Algorytmlog: = polecenie działa również w ten sam sposób
HASHCONV = [przed | po] wykonanie mieszania przed lub po konwersjach
Hashformat = Format Wyświetl każdy hashWindow zgodnie z formatem
Format Hash Mini języka opisano poniżej
TotalHashFormat = Format wyświetla całkowitą wartość skrótu zgodnie z formatem
Status = [ON | OFF] Wyświetl ciągły komunikat o stanie na Stderr
Stan domyślny jest „włączony”
StatusInterval = n zaktualizuj komunikat o stanie każdy n bloków
Wartość domyślna to 256
sizeProbe = [if | of] określa rozmiar pliku wejściowego lub wyjściowego
Do użytku z komunikatami statusu. (ta opcja
daje wskaźnik procentowy)
OSTRZEŻENIE: Nie używaj tej opcji w stosunku do
urządzenie taśmowe.
możesz użyć dowolnej liczby „a” lub „n” w dowolnej kombinacji
Format domyślny to „nnn”
Uwaga: opcje podziału i podziału występują
Tylko dla plików wyjściowych określonych po cyfrach
każda kombinacja, którą chciałbyś.
(mi.G. „Anaannnaana” byłby ważny, ale
Całkiem szalony)
vf = plik sprawdź, czy plik pasuje do określonego wejścia
verifyLog = plik Wyślij wyniki weryfikuj do pliku zamiast STDERR
VerifyLog: = Command Exec i zapisz wyniki, aby przetwarzać polecenie
--Pomóż wyświetlić tę pomoc i wyjść
--Wersja Wersja Informacje i wyjście
ASCII od ebcdic do ASCII
ebcdic z ASCII do ebcdic
IBM z ASCII do naprzemiennego ebcdic
Block Pad nowatorskie rekordy z przestrzeniami do wielkości CBS
Unblock Zastąp przestrzenie wlewowe w rekordach wielkości CBS newline
LCLE Zmień górną skrzynkę na dolną obudowę
notRunc nie obcinaj pliku wyjściowego
UCACE Zmień dolną obudowę na górną skrzynkę
wymień wymaz każdą parę bajtów wejściowych
Noerror kontynuuj po odczytaniu błędów
SYNC PAD Każdy blok wejściowy z NULS do IBS-size; gdy używane

Ściągawki

Kolejna jakość PRZESIAĆ Stacja robocza to ściągniki, które są już zainstalowane z tym dystrybucją. Kochali pomagają użytkownikowi zacząć. Podczas przeprowadzania dochodzenia ściągki przypominają użytkownikowi wszystkie potężne opcje dostępne w tym obszarze roboczym. Kochali pozwalają użytkownikowi z łatwością zdobyć najnowsze narzędzia kryminalistyczne. W tej dystrybucji dostępne są ściągniki wielu ważnych narzędzi, takie jak ściągawka dostępna dla Tworzenie osi czasu cienia:

Innym przykładem jest ściągawka dla słynnych Sleuthkit:

Chwyta są również dostępne dla Analiza pamięci oraz do montażu wszelkiego rodzaju obrazów:

Wniosek

SANS Badawczyny zestaw narzędzi kryminalistycznych (PRZESIAĆ) ma podstawowe możliwości każdego innego zestawu narzędzi kryminalistycznych, a także zawiera wszystkie najnowsze potężne narzędzia potrzebne do przeprowadzenia szczegółowej analizy kryminalistycznej E01 (Format świadków ekspertów), Aff (Zaawansowany format kryminalistyki) lub obraz surowy (Dd) Formaty. Format analizy pamięci jest również kompatybilny z SIFT. SIFT nakłada ścisłe wytyczne dotyczące analizy dowodów, zapewniając, że dowody nie są manipulowane (wytyczne te mają uprawnienia tylko do odczytu). Większość narzędzi zawartych w SIFT jest dostępna w wierszu poleceń. SIFT można również wykorzystać do śledzenia aktywności sieci, odzyskania ważnych danych i tworzenia harmonogramu w sposób systematyczny. Ze względu na zdolność tego dystrybucji do dokładnego badania dysków i wielu systemów plików, SIFT jest najwyższym poziomem w dziedzinie kryminalistyki i jest uważana za bardzo skuteczną stacja robocza dla każdego, kto pracuje w kryminalistyce. Wszystkie narzędzia wymagane do dowolnego dochodzenia kryminalistycznego są zawarte w Sift Workstation stworzone przez Bez kryminalistyki zespół i Rob Lee .