Phenquestions
Слика 1: Кали Линук
Генерално, приликом обављања форензике на рачунарском систему, мора се избегавати било каква активност која може изменити или изменити анализу података система. Остале модерне радне површине обично ометају овај циљ, али са Кали Линук-ом кроз мени за покретање можете омогућити посебан режим форензике.
Бинвалк алат:
Бинвалк је форензичка алатка у Кали која претражује одређену бинарну слику у потрази за извршним кодом и датотекама. Идентификује све датотеке које су уграђене у било коју слику фирмвера. Користи врло ефикасну библиотеку познату као "либмагиц", која сортира магичне потписе у услужном програму Уник датотека.
Слика 2: Бинвалк ЦЛИ алат
Алат за екстракцију расутих терета:
Алат за масовно извлачење издваја бројеве кредитних картица, УРЛ везе, адресе е-поште које се користе као дигитални докази. Овај алат вам омогућава да идентификујете малвер и нападе, истраге идентитета, цибер рањивости и пуцање лозинке. Посебност овог алата је у томе што не само да ради са нормалним подацима, већ ради и на компримованим подацима и непотпуним или оштећеним подацима.
Слика 3: Алат за командну линију масовног извлачења
Алат ХасхДееп:
Алат хасхдееп је измењена верзија алата за хеширање дц3дд дизајниран посебно за дигиталну форензику. Овај алат укључује аутоматско хеширање датотека, тј.е., сха-1, сха-256 и 512, тигар, вхирлпоол и мд5. Датотека евиденције грешака се аутоматски записује. Извештаји о напретку се генеришу са сваким излазом.
Слика 4: Алат за интерфејс ХАСДееп ЦЛИ.
Магични алат за спасавање:
Магично спасавање је форензички алат који врши скенирање блокираног уређаја. Овај алат користи магичне бајтове за издвајање свих познатих типова датотека са уређаја. Ово отвара уређаје за скенирање и читање типова датотека и показује могућност опоравка датотека избрисаних или оштећених партиција. Може да ради са свим системима датотека.
Слика 5: Чаробни алат за спашавање командне линије
Алат за скалпел:
Овај форензички алат урезује све датотеке и индексира оне програме који се изводе на Линук-у и Виндовс-у. Алат за скалпел подржава извршавање више нити на више језгрених система, што помаже у брзом извршавању. Резбарење датотека врши се у фрагментима као што су регуларни изрази или бинарни низови.
Слика 6: Форензички алат за резбарење скалпелом
Сцроунге-НТФС алат:
Овај форензички услужни програм помаже у проналажењу података са оштећених НТФС дискова или партиција. Спашава податке из оштећеног система датотека у нови систем датотека који ради.
Слика 7: Форензички алат за опоравак података
Гуимагер алат:
Овај форензички услужни програм користи се за прикупљање медија за форензичке слике и има графички кориснички интерфејс. Због обраде и компресије података са више навоја, врло је брз алат. Овај алат такође подржава клонирање. Ствара равне, АФФ и ЕВФ слике. Кориснички интерфејс је врло једноставан за употребу.
Слика 8: Форензичка корисност Гуимагер ГУИ
Пдфид алат:
Овај форензички алат користи се у пдф датотекама. Алат скенира пдф датотеке за одређене кључне речи, што вам омогућава да препознате извршне кодове када се отворе. Овај алат решава основне проблеме повезане са пдф датотекама. Сумњиве датотеке се затим анализирају помоћу алата пдф-парсер.
Слика 9: Пдфид услужни програм за интерфејс наредбеног ретка
Пдф-парсер алат:
Овај алат је један од најважнијих форензичких алата за пдф датотеке. пдф-парсер анализира пдф документ и разликује важне елементе кориштене током његове анализе, а овај алат не приказује тај пдф документ.
Слика 10: Форензички алат ЦЛИ Пдф-парсер
Пеепдф алат:
Питхон алат који истражује пдф документе како би утврдио да ли је безопасан или разарајући. Пружа све елементе потребне за обављање пдф анализе у једном пакету. Приказује сумњиве ентитете и подржава различита кодирања и филтере. Такође може рашчланити шифроване документе.
Слика 11: Пеепдф питхон алат за истраживање ПДФ-а.
Алат за обдукцију:
Обдукција је све у једном форензичком програму за брзи опоравак података и филтрирање хеша. Овај алат урезује избрисане датотеке и медије из нераспоређеног простора помоћу ПхотоРец-а. Такође може да извади ЕКСИФ мултимедију са екстензијом. Обдукција скенира индикатор компромиса помоћу СТИКС библиотеке. Доступан је у командној линији као и ГУИ интерфејс.
Слика 12: Обдукција, све у једном форензичком комуналном пакету
имг_цат алат:
Алат имг_цат даје излазни садржај сликовне датотеке. Опорављене сликовне датотеке имаће метаподатке и уграђене податке, што вам омогућава да их претворите у сирове податке. Ови сирови подаци помажу у цевоводу излаза за израчунавање МД5 хеша.
Слика 13: имг_цат уграђени подаци у опоравак сирових података и претварач.
ИЦАТ алат:
ИЦАТ је алатка Слеутх Кит (ТСК) која креира излаз датотеке на основу њеног идентификатора или броја иноде. Овај форензички алат је изузетно брз и отвара именоване слике датотека и копира их у стандардни излаз са одређеним бројем иноде. Иноде је једна од структура података система Линук која чува податке и информације о Линук датотеци као што су власништво, величина датотеке и дозволе за тип, писање и читање.
Слика 14: Алат за интерфејс заснован на конзоли ИЦАТ
Алат Срцх_стрингс:
Овај алат тражи одрживе АСЦИИ и Уницоде низове унутар бинарних података, а затим исписује помакнути низ који се налази у тим подацима. Алат срцх_стрингс ће издвојити и преузети низове присутне у датотеци и даје офсет бајт ако се позове.
Слика 15: Форензички алат за проналажење жица
Закључак:
Ових 14 алата долази са Кали Линук ливе и инсталацијским сликама и отворени су и слободно доступни. У случају старије верзије Кали, предложио бих ажурирање најновије верзије да бисте директно добили ове алате. Постоје многи други форензички алати које ћемо обрадити даље. Погледајте 2. део овог чланка овде.
