Phenquestions
Увод
Прошли пут смо покрили 14 форензичких алата који су присутни у Кали Линук-у и објаснили њихову сврху и посебне могућности. Данас ћемо представити 14 форензичких алата који потичу из познате библиотеке „Тхе Слеутх Кит“ (ТСК), упакованих у ажурирање Кали Линука за 2020. годину. Ове алате можете пронаћи на падајућој листи Форенсицс под називом Слеутх Кит Суите тоолс у менију Кали Вхискер.
блкцалц
Алат блкцалц је форензички алат који претвара нераспоређене тачке диска у редовне тачке диска. Овај програм креира број тачака који пресликава две слике. Једна од ових слика је нормална, а друга садржи нераспоређене бројеве тачака прве слике. Овај алат може подржати многе типове система датотека. Ако систем датотека није дефинисан на почетку, блкцалц има јединствену карактеристику метода аутоматског откривања за проналажење типа система датотека.
тск_цомпаредир
Уз помоћ алата тск_цомпаредир, садржај слике се упоређује са садржајем директорија за упоређивање. Ово је најбољи алат у фази тестирања за идентификовање рооткитова (злонамерни код или датотеке). Тест рооткита се врши упоређивањем садржаја локалног директоријума са локалним сировим уређајем. Ови рооткитови нису сакривени када им се приступа и читају их са необрађеног уређаја.
тск_геттимес
Форензички алат тск_геттимес заснован је на библиотеци слеутх комплета. Овај алат прикупља МАЦ времена (делове метаподатака система датотека) са одређене слике диска и претвара времена у телесну датотеку. Алат тск_геттимес испитује сваки систем датотека на партицији диска или слици и обрађује податке у њему. Резултат овог алата су подаци слике диска у МАЦ формату временског тела, који се затим могу користити као улаз у систем за генерисање хронологије активности датотеке. Подаци се затим штампају у облику датотеке путем наредбе СТДОУТ.
блкцат
Алат блкцат је брз и ефикасан форензички алат упакован у Кали. Сврха овог алата је приказивање садржаја података ускладиштених на слици диска система датотека. Излаз приказује број јединица података, почев од главне адресе и отисака јединице, у различите формате који се могу специфицирати и сортирати. Подразумевано је излазни формат сиров и назива се и дцат.
тск_лоаддб
Алат тск_лоаддб учитава метаподатке са слике диска у СКЛите базу података, која је употребљива база података за анализу помоћу других софтверских алата. База података се чува у директоријуму слика ради лакшег приступа. Овај алат подржава многе системе датотека и може израчунати МД5 хеш вредност за сваку датотеку.
блкстат
Алат за слеутх блкстат приказује све информације у вези са јединицама података система датотека. Овај алат враћа податке о статусу алокације блока или сектора система датотека. Овај алат може да користи наредбу аддр, која приказује статистику дела података, а назива се и дстат.
наћи
Алат ффинд користи иноде за тражење имена директоријума или датотеке на слици диска. Датотеке додељене идентификатору датотеке иноде на партицији диска имају имена; по дефаулту, овај алат ће вратити само прво име које пронађе. Алат за проналажење може чак пронаћи и избрисана имена датотека, што је посебна способност овог алата. Поред тога, алатка за проналажење такође може пронаћи више имена датотека.
хфинд
Алат хфинд претражује хеш вредности у хеш базама података. Вредности хеша се претражују помоћу бинарног алгоритма претраживања. Сврха коришћења овог алгоритма је омогућити корисницима да лако креирају хеш базе података и брзо идентификују датотеку, било да је позната или непозната. Овај алат користи НСРЛ библиотеку и враћа мд5сум. Овај алат је врло ефикасан, јер креира индексну датотеку која је већ сортирана и има уносе фиксне дужине, што претрагу чини врло брзом.
флс
Назив флс укључује термин „лс“, што значи навођење садржаја мапе. Алат флс наводи сва имена датотека и директоријуме у датотеци слике, а може чак и приказати имена датотека које су недавно уклоњене. Ако се не користи идентификатор датотеке или иноде, користи се основни директоријум.
ммцат
Алат ммцат је форензички алат који враћа садржај партиције путем функције исписа. Овај алат издваја све податке на партицији у засебну датотеку.
сигфинд
Овај алат проналази бинарни потпис присутан у датотеци. Овај бинарни потпис назива се хек_сигнатуре, који је присутан у свакој датотеци. Овај алат се може користити за проналажење изгубљених суперблокова, партиција или табела слика и сектора за покретање. За проналажење бинарног потписа треба користити хексадецимални формат.
налазим
Овај алат тражи сирову структуру података датотеке која је додељена одређеној јединици диска или имену датотеке. Понекад било која од ових структура метаподатака може бити нераспоређена, али овај алат ће и даље добити резултате.
сортер
Алат за сортирање је „перл“ алат за скрипте који врши сортирање на систему датотека да би га распоредио у додељене и нераспоређене датотеке на основу типа датотеке. Овај алат покреће наредбу на свакој датотеци и сортира датотеке према датотекама конфигурације. Типови датотека укључују скривене датотеке, хеш датотеке за хеш базе података, датотеке за које се зна да су добре и оне које треба променити. Датотеке за конфигурацију које се користе подразумевано се преузимају са места на којем је алат инсталиран, али то се може променити одлукама током извођења.
тск_рецовер
Овај алат преноси датотеке са партиције диска у локални основни директоријум. Опорављене датотеке су подразумевано само нераспоређене датотеке. Кроз одређене наредбе све датотеке се могу извести.
Закључак
Ових 14 алата долази са Кали Линук ливе, као и слике за инсталацију, а отворени су и слободно доступни. Ови алати се могу наћи у менију бркова Кали у фасцикли названој Слеутх Кит Суите. Алати добијају честа ажурирања од ТСК за мање исправке грешака.
