Phenquestions
Figur 1: Kali Linux
I allmänhet måste alla aktiviteter som kan ändra eller modifiera dataanalysen för systemet undvikas när man utför kriminalteknik på ett datorsystem. Andra moderna skrivbord stör vanligtvis detta mål, men med Kali Linux via startmenyn kan du aktivera ett speciellt kriminaltekniskt läge.
Binwalk-verktyg:
Binwalk är ett kriminaltekniskt verktyg i Kali som söker efter en angiven binär bild efter körbar kod och filer. Den identifierar alla filer som är inbäddade i en firmware-bild. Den använder ett mycket effektivt bibliotek som kallas "libmagic", som sorterar ut magiska signaturer i Unix-filverktyget.
Figur 2: Binwalk CLI-verktyg
Verktyg för bulkutsug:
Massutdragningsverktyget extraherar kreditkortsnummer, URL-länkar, e-postadresser, som används digitala bevis. Med det här verktyget kan du identifiera skadlig programvara och intrångsangrepp, identitetsutredningar, cybersårbarheter och lösenordsskakning. Det här specialets specialitet är att det inte bara fungerar med normal data utan också fungerar på komprimerad data och ofullständig eller skadad data.
Figur 3: Kommandoradsverktyg för bulkutsug
HashDeep-verktyg:
Hashdeep-verktyget är en modifierad version av dc3dd-hashverktyget som är speciellt utformat för digital kriminalteknik. Detta verktyg inkluderar automatisk hashing av filer, dvs.e., sha-1, sha-256 och 512, tiger, bubbelpool och md5. En felloggfil skrivs automatiskt. Framstegsrapporter genereras med varje utdata.
Figur 4: HashDeep CLI-gränssnittsverktyg.
Magiskt räddningsverktyg:
Magic Rescue är ett kriminaltekniskt verktyg som utför skanningsoperationer på en blockerad enhet. Detta verktyg använder magiska byte för att extrahera alla kända filtyper från enheten. Detta öppnar enheter för skanning och läsning av filtyper och visar möjligheten att återställa filer som raderats eller skadats. Det kan fungera med alla filsystem.
Figur 5: Magic Rescue kommandoradsgränssnittsverktyg
Skalpellverktyg:
Detta kriminaltekniska verktyg snider alla filer och indexerar de applikationer som körs på Linux och Windows. Skalpellverktyget stöder multithreading-körning på flera kärnsystem, vilket hjälper till med snabba körningar. Filhuggning utförs i fragment som reguljära uttryck eller binära strängar.
Figur 6: Scalpel kriminaltekniska carving verktyg
Scrounge-NTFS-verktyg:
Detta kriminaltekniska verktyg hjälper till att hämta data från skadade NTFS-skivor eller partitioner. Det räddar data från ett skadat filsystem till ett nytt fungerande filsystem.
Figur 7: Verktyg för återställning av kriminaltekniska data
Guymager-verktyg:
Detta kriminaltekniska verktyg används för att skaffa media för kriminaltekniska bilder och har ett grafiskt användargränssnitt. På grund av dess databearbetning och komprimering med flera trådar är det ett mycket snabbt verktyg. Detta verktyg stöder också kloning. Det genererar platta, AFF- och EWF-bilder. Användargränssnittet är mycket enkelt att använda.
Figur 8: Guymager GUI kriminalteknisk verktyg
Pdfid-verktyg:
Detta kriminaltekniska verktyg används i pdf-filer. Verktyget skannar pdf-filer för specifika nyckelord, vilket gör att du kan identifiera körbara koder när de öppnas. Detta verktyg löser de grundläggande problemen i samband med pdf-filer. De misstänkta filerna analyseras sedan med verktyget pdf-parser.
Figur 9: Pdfid kommandoradsgränssnittsverktyg
Pdf-parser-verktyg:
Detta verktyg är ett av de viktigaste kriminaltekniska verktygen för pdf-filer. pdf-parser analyserar ett pdf-dokument och skiljer de viktiga element som används under analysen, och detta verktyg gör inte det pdf-dokumentet.
Figur 10: Pdf-parser CLI kriminaltekniskt verktyg
Peepdf-verktyg:
Ett pythonverktyg som utforskar pdf-dokument för att hitta om det är ofarligt eller destruktivt. Den innehåller alla element som behövs för att utföra pdf-analys i ett enda paket. Det visar misstänkta enheter och stöder olika kodningar och filter. Det kan också analysera krypterade dokument.
Figur 11: Peepdf-pythonverktyg för pdf-undersökning.
Obduktionsverktyg:
En obduktion är allt i ett kriminaltekniskt verktyg för snabb dataåterställning och hashfiltrering. Detta verktyg snider raderade filer och media från odelat utrymme med PhotoRec. Det kan också extrahera EXIF-tilläggsmultimedia. Obduktion söker efter kompromissindikator med hjälp av STIX-biblioteket. Den är tillgänglig både i kommandoraden och GUI-gränssnittet.
Figur 12: Obduktion, allt i ett kriminaltekniskt paket
img_cat-verktyg:
img_cat-verktyget ger utdatainnehåll i en bildfil. De återställda bildfilerna kommer att ha metadata och inbäddad data, vilket gör att du kan konvertera den till rådata. Dessa rådata hjälper till att leda utgången för att beräkna MD5-hash.
Figur 13: img_cat inbäddade data till rådata återställning och omvandlare.
ICAT-verktyg:
ICAT är ett Sleuth Kit-verktyg (TSK) som skapar en utdata från en fil baserat på dess identifierare eller inodnummer. Detta kriminaltekniska verktyg är extremt snabbt och det öppnar de namngivna filbilderna och kopierar det till standardutdata med ett specifikt inodnummer. En inod är en av datastrukturerna i Linux-systemet som lagrar data och information om en Linux-fil som äganderätt, filstorlek och typ-, skriv- och läsbehörigheter.
Figur 14: ICAT-konsolbaserat gränssnittsverktyg
Srch_strings verktyg:
Det här verktyget letar efter livskraftiga ASCII- och Unicode-strängar i binär data och skriver sedan ut den offsetsträng som finns i den informationen. srch_strings-verktyget extraherar och hämtar strängarna i en fil och ger offset-byte om det behövs.
Figur 15: Rättsmedicinskt verktyg för strängåtervinning
Slutsats:
Dessa 14 verktyg levereras med Kali Linux live och installationsbilder och de är öppen källkod och fritt tillgängliga. När det gäller en äldre version av Kali föreslår jag en uppdatering av den senaste versionen för att få dessa verktyg direkt. Det finns många andra kriminaltekniska verktyg som vi kommer att behandla nästa. Se del 2 i denna artikel här.
