Forensics blir mycket viktigt inom Cyber Security för att upptäcka och backtrack Black Hat Criminals. Det är viktigt att ta bort Hackers skadliga bakdörrar / malware och spåra dem för att undvika eventuella framtida incidenter. I Kalis Forensics-läge monterar operativsystemet ingen partition från systemets hårddisk och lämnar inga ändringar eller fingeravtryck på värdens system.
Kali Linux levereras med förinstallerade populära kriminaltekniska applikationer och verktygssatser. Här kommer vi att granska några kända open source-verktyg som finns i Kali Linux.
Bulkextraktor
Bulk Extractor är ett rikt verktyg som kan extrahera användbar information som kreditkortsnummer, domännamn, IP-adresser, e-post, telefonnummer och URL: er från bevis Hårddiskar / filer som hittades under Forensics Investigation. Det är till hjälp vid analys av bild eller skadlig kod, hjälper också till vid cyberundersökning och lösenordssprickning. Det bygger ordlistor baserat på information som finns från bevis som kan hjälpa till med lösenordssprickning.
Bulk Extractor är populärt bland andra verktyg på grund av sin otroliga hastighet, kompatibilitet med flera plattformar och noggrannhet. Det är snabbt på grund av dess flertrådade funktioner och det har möjlighet att skanna alla typer av digitala medier som inkluderar hårddiskar, SSD, mobiltelefoner, kameror, SD-kort och många andra typer.
Bulk Extractor har följande coola funktioner som gör det mer föredraget,
- Den har ett grafiskt användargränssnitt som kallas "Bulk Extractor Viewer" som används för att interagera med Bulk Extractor
- Det har flera utmatningsalternativ som att visa och analysera utdata i histogram.
- Det kan enkelt automatiseras med hjälp av Python eller andra skriptspråk.
- Den levereras med några förskrivna skript som kan användas för att utföra ytterligare skanning
- Dess flertrådade kan vara snabbare på system med flera CPU-kärnor.
Användning: bulk_extractor [alternativ] bildfil
kör bulkutsug och utdata för att stdout en sammanfattning av vad som hittades var
Nödvändiga parametrar:
imagefile - filen som ska extraheras
eller -R fileir - återkalla genom en katalog med filer
HAR STÖD FÖR E01-FILER
HAR STÖD FÖR AFF-FILER
-o outdir - specificerar utdatakatalogen. Får inte existera.
bulk_extractor skapar den här katalogen.
Alternativ:
-i - INFO-läge. Gör ett snabbt slumpmässigt prov och skriv ut en rapport.
-b-banderoll.txt- Lägg till banner.txt-innehåll till toppen av varje utdatafil.
-r alert_list.txt - en fil som innehåller varningslistan över funktioner som ska varnas
(kan vara en funktionsfil eller en lista med globs)
(kan upprepas.)
-w stopplista.txt - en fil som innehåller stopplistan med funktioner (vit lista
(kan vara en funktionsfil eller en lista med globs) s
(kan upprepas.)
-F
-f
resultat går i hitta.Text
... klipp ..
Användningsexempel
[e-postskyddad]: ~ # bulk_extractor -o utdatahemlighet.img
Obduktion
Obduktion är en plattform som används av cyberutredare och brottsbekämpning för att genomföra och rapportera kriminaltekniska åtgärder. Den kombinerar många enskilda verktyg som används för kriminalteknik och återhämtning och ger dem ett grafiskt användargränssnitt.
Autopsy är en öppen källkod, gratis och plattformsprodukt som är tillgänglig för Windows, Linux och andra UNIX-baserade operativsystem. Obduktion kan söka och undersöka data från hårddiskar i flera format inklusive EXT2, EXT3, FAT, NTFS och andra.
Det är enkelt att använda och det finns inget behov av att installera i Kali Linux eftersom det levereras med förinstallerat och förkonfigurerat.
Dumpzilla
Dumpzilla är ett plattformskommandoradsverktyg skrivet på Python 3-språk som används för att dumpa kriminalteknisk information från webbläsare. Det extraherar inte data eller information, bara visar den i terminalen som kan pipas, sorteras och lagras i filer med operativsystemkommandon. För närvarande stöder den endast Firefox-baserade webbläsare som Firefox, Seamonkey, Iceweasel etc.
Dumpzilla kan få följande information från webbläsare
- Kan visa direktsurfning av användare i flikar / fönster.
- Användarnedladdningar, bokmärken och historik.
- Webblanketter (sökningar, e-post, kommentarer ...).
- Cache / miniatyrbilder av tidigare besökta webbplatser.
- Tillägg / tillägg och använda sökvägar eller webbadresser.
- Webbläsarens sparade lösenord.
- Cookies och sessionsdata.
Användning: python dumpzilla.py browser_profile_directory [Alternativ]
Alternativ:
--Alla (Visar allt utom DOM-data. Extraherar inte miniatyrer eller HTML 5 offline)
--Cookies [-showdom -domain
-skapa
--Behörigheter [-värd
--Nedladdningar [-range
--Formulär [-värde
--Historia [-url
-frekvens]
--Bokmärken [-range_bookmarks
... klipp ..
Digital Forensics Framework - DFF
DFF är ett filåterställningsverktyg och Forensics utvecklingsplattform skriven i Python och C++. Den har uppsättning verktyg och skript med både kommandorad och grafiskt användargränssnitt. Den används för att utföra kriminalteknisk utredning och för att samla in och rapportera digitala bevis.
Det är enkelt att använda och kan användas av cyberproffs såväl som nybörjare för att samla in och bevara digitala kriminaltekniska information. Här diskuterar vi några av dess bra funktioner
- Kan utföra kriminalteknik och återhämtning på både lokala och fjärrenheter.
- Både kommandorad och grafiskt användargränssnitt med grafiska vyer och filter.
- Kan återställa partitioner och enheter för virtuella maskiner.
- Kompatibel med många filsystem och format inklusive Linux och Windows.
- Kan återställa dolda och raderade filer.
- Kan återställa data från tillfälligt minne som nätverk, process och etc
DFF
Digital kriminalteknisk ram
Användning: / usr / bin / dff [alternativ]
Alternativ:
-v --version visa aktuell version
-g - grafiskt start grafiskt gränssnitt
-b --batch = FILENAME kör batch som finns i FILENAME
-l - språk = LANG använder LANG som gränssnittsspråk
-h --hjälp visa detta hjälpmeddelande
-d --debug omdirigera IO till systemkonsolen
--verbosity = LEVEL ställer in nivån på storheten vid felsökning [0-3]
-c --config = FILEPATH använd konfigurationsfil från FILEPATH
Främst
Framför allt är ett snabbare och pålitligt kommandoradsbaserat återställningsverktyg för att få tillbaka förlorade filer i Forensics Operations. Framför allt har förmågan att arbeta på bilder som genereras av dd, Safeback, Encase, etc, eller direkt på en enhet. Först kan återställa exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar och många andra filtyper.
[e-postskyddad]: ~ # främst -hfrämsta version x.x.x av Jesse Kornblum, Kris Kendall och Nick Mikus.
$ främst [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - visa upphovsrättsinformation och avsluta
-t - ange filtyp. (-t jpeg, pdf ...)
-d - aktivera indirekt blockdetektering (för UNIX-filsystem)
-i - ange inmatningsfil (standard är stdin)
-a - Skriv alla rubriker, utför ingen felavkänning (skadade filer)
-w - Skriv bara granskningsfilen, skriv inga upptäckta filer till disken
-o - ställa in utmatningskatalog (standard för utdata)
-c - ställ in konfigurationsfilen som ska användas (som standard.conf)
... klipp ..
Användningsexempel
[e-postskyddad]: ~ # främst -t exe, jpeg, pdf, png -i filbild.dd
Bearbetning: filbild.dd
... klipp ..
Slutsats
Kali, tillsammans med sina berömda Penetration-testverktyg, har också en hel flik avsedd för "Forensics". Den har ett separat “Forensics” -läge som endast är tillgängligt för Live USB-enheter där det inte monterar värdpartitioner. Kali är lite att föredra framför andra kriminaltekniska distributioner som CAINE på grund av dess stöd och bättre kompatibilitet.