Phenquestions
Обдукција
Аутопсију, која се подразумевано испоручује на ЦАИНЕ и Кали Линук, сматрам првим алатом који је уведен у форензику због свог графичког и интуитивног интерфејса за управљање рачунарским форензичким алатима. Аутопсија оптимизира процес коришћењем више процесорских језгара док ради у позадини и може вам унапред рећи да ли ће процес довести до позитивних резултата. Аутопсија се такође може користити као графички интерфејс за различите алате командне линије, подржава проширења за интеграцију са алатима независних произвођача као што је ПхотоРец који се већ налази на ЛинукХинту за побољшање и додавање функција.
Као што је речено, подразумевано долази на Кали, корисници Дебиана и Убунту-а могу добити Аутопсију покретањем:
апт инсталирати обдукцију -и
Званична веб страница: хттпс: // ввв.слеутхкит.орг / обдукција /
ЦАИНЕ (рачунарски потпомогнуто истражно окружење)
ЦАИНЕ је дистрибуција заснована на Убунту Линук-у посебно дизајнирана за рачунарску форензику, а подразумевано долази са Аутопсијом стварајући врло пријатељско окружење за корисника. ЦАИНЕ је одличан асистент, као ОС, јер подразумевано примењује уобичајене форензичке праксе попут заштите уређаја за складиштење од оштећења или замене током форензичког процеса.
ЦАИНЕ је савремена Линук дистрибуција која се препоручује за почетак рада са рачунарском форензиком.
Званична веб страница: хттпс: // ввв.цаине-ливе.нет /
П0ф
П0ф је анализатор за интеракцију између различитих уређаја путем умрежавања. П0ф је способан да идентификује ОС и софтвер који користе различити уређаји повезани у пасивном режиму, уместо да шаље пакете за анализу одговора. П0ф хвата само пакете за каснију анализу, зато може да доведе до бољих резултата од Нмап-а када се узимају отисци прстију. Практична употреба П0ф може обухватати откривање нападача током текуће сесије пентестинга, мрежни надзор и додатне информације о везама за постављање одговарајућих мера безбедности. П0ф се дуго није ажурирао и вратио се као П03 са подршком за савремени ОС и софтвер. У будућем чланку ћемо пратити нападаче користећи различите алате, укључујући П0ф.
Корисници Дебиана и Убунту-а могу инсталирати П0ф покретањем:
апт инсталл п0ф -и
Званична веб страница: хттп: // лцамтуф.цоредумп.цк / п0ф3 /
Думпзилла
Током криминалистичке истраге анализа прегледавања је један од првих протоколарних корака. Као што је горе речено, Аутопсија нам омогућава да омогућимо проширења за истраживање активности прегледања корисника. Думпзилла је алатка која се посебно фокусира на опоравак података прегледања из Мозилла Фирефок прегледача или деривата попут Ицевеасел или Сеамонкеи. Думпзилла може да нам пружи пуно драгоцених информација попут корисничких имена, лозинки, историје прегледања и било којих података сачуваних у колачићима или корисничким подешавањима. Упркос чињеници да је врло специфично покретање Думпзилле против циља са Фирефок-ом, упркос чињеници да није ажуриран у последње две године.
Думпзилла није укључена у подразумевана спремишта, можете га добити са: хттпс: // гитхуб.цом / Бусиндре / думпзилла
Званична веб страница: хттпс: // ввв.думпзилла.орг
Волатилност
Хлапљивост нам омогућава да истражимо активну РАМ меморију уређаја, што значи да информације које нису биле сачуване на чврстом диску, већ су оставиле артефакте или трагове на активној РАМ меморији. Овај алат, који се подразумевано испоручује и на ЦАИНЕ и на Кали Линук, може нас довести до корисних информација након инцидента на уређају, на пример, који су процеси покренути или се извршавају током догађаја. Можете инсталирати волатилност на Дебиан
апт инсталл волатилити -и
Званична веб страница: хттпс: // ввв.волатилитифоундатион.орг /
Цхкрооткит
РоотКит је злонамерни софтвер инсталиран локално или даљински на уређају да би се неовлашћено приступио нападачу, можемо извршити гротескно поређење између роотКитс-а и тројанских сервера упркос малим разликама (РоотКИтс укључују додатне функције). РоотКитс може модификовати системске датотеке и уклонити трагове нелегитимних упада. Ево где ЦхкРооКит долази анализирајући бинарне датотеке ради модификација, евиденција и других трагова које уљез може уклонити. На Дебиану можете добити цхкрооткит покретањем:
апт инсталл цхкрооткит -и
Званична веб страница: хттп: // ввв.цхкрооткит.орг /
Надам се да вам је овај чланак био користан за схватање да рачунарска форензика није ограничена на ИТ гуруе, свако може лако да изврши рачунарску форензику помоћу горе поменутих алата. Наставите да пратите ЛинукХинт за више савета и исправки на Линуку.
