Phenquestions
Форензика постаје веома важна у цибер безбедности за откривање и враћање злочинаца са црног шешира. Неопходно је уклонити злонамерне бацкдоор / малваре-ове хакера и вратити их уназад како бисте избегли могуће будуће инциденте. У Калијевом Форенсицс моду, Оперативни систем не монтира ниједну партицију са чврстог диска система и не оставља промене или отиске прстију на систему хоста.
Кали Линук долази са унапред инсталираним популарним форензичким апликацијама и комплетима алата. Овде ћемо прегледати неке познате алате отвореног кода присутне у Кали Линук.
Екстрактор за расути терет
Булк Ектрацтор је богата алатка која може извући корисне информације као што су бројеви кредитних картица, имена домена, ИП адресе, е-адресе, бројеви телефона и УРЛ-ови из тврдих дискова / датотека пронађених током форензичке истраге. Корисно је у анализи слике или малвера, такође помаже у цибер истрази и пробијању лозинки. Израђује листе речи на основу података пронађених на основу доказа који могу помоћи у проваљивању лозинке.
Булк Ектрацтор је популаран међу осталим алатима због своје невероватне брзине, компатибилности са више платформи и темељитости. Брз је захваљујући својим вишенитним функцијама и има могућност скенирања било које врсте дигиталних медија који укључују ХДД-ове, ССД-ове, мобилне телефоне, фотоапарате, СД картице и пуно других врста.
Булк Ектрацтор има следеће сјајне функције које га чине пожељнијим,
- Има графичко корисничко сучеље под називом „Булк Ектрацтор Виевер“ које се користи за интеракцију са Булк Ектрацтор-ом
- Има више излазних опција попут приказивања и анализе излазних података у хистограму.
- То се лако може аутоматизовати коришћењем Питхона или других скриптних језика.
- Долази са неким унапред написаним скриптама које се могу користити за додатно скенирање
- Његов вишенитни, може бити бржи на системима са више процесорских језгара.
Употреба: булк_ектрацтор [опције] имагефиле
покреће екстрактор расутих материјала и излази на стдоут резиме онога што је пронађено где
Потребни параметри:
имагефиле - датотека за издвајање
или -Р филеир - понављање кроз директоријум датотека
ИМА ПОДРШКУ ЗА Е01 ДАТОТЕКЕ
ИМА ПОДРШКУ ЗА АФФ ДАТОТЕКЕ
-о оутдир - наводи излазни директоријум. Не сме постојати.
булк_ектрацтор креира овај директоријум.
Опције:
-и - ИНФО режим. Направите брз случајни узорак и одштампајте извештај.
-б банер.ткт- Додај банер.ткт садржај на врх сваке излазне датотеке.
-р алерт_лист.ткт - датотека која садржи листу упозорења функција које треба упозорити
(може бити датотека са карактеристикама или листа глобуса)
(може се поновити.)
-в стоп_лист.ткт - датотека која садржи зауставну листу карактеристика (бела листа
(може бити датотека са карактеристикама или листа глобуса) с
(може се поновити.)
-Ф
-ф
резултати иду у проналажење.ткт
... снип ..
Пример употребе
[заштићена е-поштом]: ~ # булк_ектрацтор -о тајна излаза.имг
Обдукција
Обдукција је платформа коју користе цибер истражитељи и органи реда да би спровели и пријавили форензичке операције. Комбинује многе појединачне услужне програме који се користе за форензику и опоравак и пружа им графички кориснички интерфејс.
Аутопсија је производ отвореног кода, бесплатан и са више платформи, који је доступан за Виндовс, Линук и друге оперативне системе засноване на УНИКС-у. Обдукцијом се могу претраживати и истраживати подаци са чврстих дискова више формата, укључујући ЕКСТ2, ЕКСТ3, ФАТ, НТФС и друге.
Једноставан је за употребу и нема потребе за инсталирањем у Кали Линук јер се испоручује са унапред инсталираним и унапред конфигурисаним.
Думпзилла
Думпзилла је алатка за командну линију на више платформи написана на језику Питхон 3 која се користи за избацивање информација повезаних са форензиком из веб прегледача. Не извлачи податке или информације, већ их приказује у терминалу који се може преусмјерити, разврстати и похранити у датотеке помоћу наредби оперативног система. Тренутно подржава само прегледаче засноване на Фирефоку, као што су Фирефок, Сеамонкеи, Ицевеасел итд.
Думпзилла може да добије следеће информације из прегледача
- Може приказати сурфовање корисника уживо у картицама / прозору.
- Преузимања корисника, обележивачи и историја.
- Веб обрасци (претраживања, имејлови, коментари ...).
- Кеш меморија / сличице претходно посећених веб локација.
- Додаци / додаци и коришћене путање или УРЛ адресе.
- Лозинке сачуване у прегледачу.
- Колачићи и подаци о сесији.
Употреба: питхон думпзилла.пи бровсер_профиле_дирецтори [Опције]
Опције:
--Сви (Приказује све осим ДОМ података. Не извлачи сличице или ХТМЛ 5 офлајн)
--Колачићи [-сховдом -домена
-Креирај
--Дозволе [-хост
--Довнлоадс [-ранге
--Обрасци [-вредност
--Историја [-урл
-фреквенција]
--Ознаке [-ранге_боокмаркс
... снип ..
Оквир дигиталне форензике - ДФФ
ДФФ је алат за опоравак датотека и Форенсицс развојна платформа написана на Питхон-у и Ц++. Има сет алата и скрипту са командном линијом и графичким корисничким интерфејсом. Користи се за спровођење форензичке истраге и за прикупљање и пријављивање дигиталних доказа.
Једноставан је за употребу, а могу га користити Цибер професионалци, као и почетници, за прикупљање и очување дигиталних форензичких информација. Овде ћемо размотрити неке од његових добрих карактеристика
- Може да врши форензику и опоравак на локалним, као и на удаљеним уређајима.
- И командна линија и графички кориснички интерфејс са графичким приказима и филтерима.
- Може да опорави партиције и погоне виртуелних машина.
- Компатибилан са многим системима датотека и форматима, укључујући Линук и Виндовс.
- Може опоравити скривене и избрисане датотеке.
- Може опоравити податке из привремене меморије као што су Мрежа, Процес итд
ДФФ
Дигитални форензички оквир
Употреба: / уср / бин / дфф [опције]
Опције:
-в --верзија приказ тренутне верзије
-г - графичко покретање графички интерфејс
-б --батцх = ФИЛЕНАМЕ извршава пакет који се налази у ФИЛЕНАМЕ
-л --лангуаге = ЛАНГ користи ЛАНГ као језик интерфејса
-х - помоћ прикаже ову поруку помоћи
-д --дебуг преусмери ИО на системску конзолу
--вербосити = ЛЕВЕЛ подесити ниво вербосити-а приликом отклањања грешака [0-3]
-ц --цонфиг = ФИЛЕПАТХ користи конфигурациону датотеку из ФИЛЕПАТХ
Најпре
Форемост је бржи и поуздани алат за опоравак заснован на командној линији за враћање изгубљених датотека у Форенсицс Оператионс. Форемост има могућност рада на сликама генерисаним од дд, Сафебацк, Енцасе итд. Или директно на диску. Форемост може опоравити еке, јпг, пнг, гиф, бмп, ави, мпг, вав, пдф, оле, рар и пуно других врста датотека.
[заштићена е-поштом]: ~ # форемост -хнајистакнутија верзија к.Икс.к Јессе Корнблум, Крис Кендалл и Ницк Микус.
$ форемост [-в | -В | -х | -Т | -К | -к | -а | -в-д] [-т
[-б
-В - прикажите информације о ауторским правима и изађите
-т - наведите тип датотеке. (-т јпег, пдф ...)
-д - укључити индиректно откривање блокова (за УНИКС системе датотека)
-и - наведите улазну датотеку (подразумевана вредност је стдин)
-а - Напишите сва заглавља, не откривајте грешке (оштећене датотеке)
-в - Записујте само датотеку ревизије, не записујте откривене датотеке на диск
-о - поставити излазни директоријум (подразумевано је излаз)
-ц - подесите конфигурациону датотеку за употребу (подразумевано је најважнија.цонф)
... снип ..
Пример употребе
[заштићена е-поштом]: ~ # форемост -т еке, јпег, пдф, пнг -и датотека-слика.дд
Обрада: датотека-слика.дд
... снип ..
Закључак
Кали, заједно са својим познатим алатима за испитивање пенетрације такође има читав језичак посвећен „Форензици“. Има засебан режим „Форенсицс“ који је доступан само за УСБ УСБ у којима се не монтирају партиције хоста. Кали је мало пожељнији од осталих Форенсицс дистрибуција као што је ЦАИНЕ због своје подршке и боље компатибилности.
