Forenzika postaje vrlo važna u cyber sigurnosti za otkrivanje i vraćanje zločinaca iz crnog šešira. Nužno je ukloniti zlonamjerne backdoor / malware-ove hakera i pratiti ih natrag kako biste izbjegli moguće buduće incidente. U načinu Kali Forensics, operativni sustav ne montira nijednu particiju sa tvrdog diska sustava i ne ostavlja nikakve promjene ili otiske prstiju na host sustavu.
Kali Linux dolazi s unaprijed instaliranim popularnim forenzičkim programima i alatima. Ovdje ćemo pregledati neke poznate alate otvorenog koda prisutne u Kali Linuxu.
Ekstraktor rasutih tereta
Bulk Extractor bogat je alat koji može izvući korisne informacije kao što su brojevi kreditnih kartica, imena domena, IP adrese, e-adrese, telefonski brojevi i URL-ovi iz tvrdih diskova / datoteka pronađenih tijekom Forenzičke istrage. Korisno je u analizi slike ili zlonamjernog softvera, također pomaže u cyber istrazi i probijanju lozinki. Izrađuje popise riječi na temelju podataka pronađenih iz dokaza koji mogu pomoći u probijanju lozinki.
Bulk Extractor popularan je među ostalim alatima zbog svoje nevjerojatne brzine, kompatibilnosti s više platformi i temeljitosti. Brz je zahvaljujući svojim višenitnim značajkama i ima mogućnost skeniranja bilo koje vrste digitalnih medija koji uključuju HDD-ove, SSD-ove, mobilne telefone, fotoaparate, SD kartice i puno drugih vrsta.
Bulk Extractor ima sljedeće sjajne značajke koje ga čine još povoljnijim,
- Ima grafičko korisničko sučelje nazvano “Bulk Extractor Viewer” koje se koristi za interakciju s Bulk Extractorom
- Ima više izlaznih opcija poput prikaza i analize izlaznih podataka u histogramu.
- To se lako može automatizirati korištenjem Pythona ili drugih skriptnih jezika.
- Dolazi s nekim unaprijed napisanim skriptama koje se mogu koristiti za dodatno skeniranje
- Njegov višenitni, može biti brži na sustavima s više procesorskih jezgri.
Upotreba: bulk_extractor [opcije] imagefile
pokreće skupni ekstraktor i izlazi na stdout sažetak onoga što je gdje pronađeno
Potrebni parametri:
imagefile - datoteka za izdvajanje
ili -R fileir - ponavljanje kroz direktorij datoteka
IMA POTPORU ZA E01 DATOTEKE
IMA POTPORU ZA AFF DATOTEKE
-o outdir - navodi izlazni direktorij. Ne smije postojati.
bulk_extractor stvara ovaj direktorij.
Opcije:
-i - INFO način rada. Napravite brzi slučajni uzorak i ispišite izvješće.
-b transparent.txt- Dodaj natpis.txt sadržaja na vrh svake izlazne datoteke.
-r popis upozorenja.txt - datoteka koja sadrži popis upozorenja značajki koje treba upozoriti
(može biti datoteka značajke ili popis globusa)
(može se ponoviti.)
-w stop_list.txt - datoteka koja sadrži zaustavni popis značajki (bijeli popis
(može biti datoteka značajke ili popis globusa) s
(može se ponoviti.)
-F
-f
rezultati idu u pronalaženje.txt
... odreži ..
Primjer upotrebe
[zaštićena e-poštom]: ~ # bulk_extractor -o tajna izlaza.img
Obdukcija
Obdukcija je platforma koju cyber istražitelji i policijske službe koriste za provođenje i izvještavanje o forenzičkim operacijama. Kombinira brojne pojedinačne uslužne programe koji se koriste za forenziku i oporavak te im pruža grafičko korisničko sučelje.
Autopsija je besplatni proizvod s više platformi otvorenog koda dostupan za Windows, Linux i druge operativne sustave temeljene na UNIX-u. Obdukcijom se mogu pretraživati i istraživati podaci s tvrdih diskova više formata, uključujući EXT2, EXT3, FAT, NTFS i druge.
Jednostavan je za upotrebu i nema potrebe za instaliranjem u Kali Linux jer se isporučuje s unaprijed instaliranim i unaprijed konfiguriranim.
Dumpzilla
Dumpzilla je alat za naredbene retke na više platformi napisan na jeziku Python 3 koji se koristi za izbacivanje informacija povezanih s forenzikom iz web preglednika. Ne izvlači podatke ili informacije, već ih samo prikazuje u terminalu koji se može cijevi, razvrstati i pohraniti u datoteke pomoću naredbi operativnog sustava. Trenutno podržava samo preglednike temeljene na Firefoxu, kao što su Firefox, Seamonkey, Iceweasel itd.
Dumpzilla može dobiti sljedeće podatke iz preglednika
- Može prikazati surfanje korisnika uživo u karticama / prozoru.
- Korisnička preuzimanja, oznake i povijest.
- Web obrasci (pretraživanja, e-adrese, komentari ...).
- Predmemorija / sličice prethodno posjećenih web lokacija.
- Dodaci / proširenja i korištene staze ili URL-ovi.
- Lozinke spremljene u pregledniku.
- Kolačići i podaci o sesiji.
Upotreba: python dumpzilla.py browser_profile_directory [Opcije]
Opcije:
--Sve (Prikazuje sve osim DOM podataka. Ne izvlači minijature ili HTML 5 izvan mreže)
--Kolačići [-showdom -domena
-stvoriti
--Dopuštenja [-host
--Preuzimanja [-druga
--Obrasci [-vrijednost
--Povijest [-url
-frekvencija]
--Oznake [-range_bookmarks
... odreži ..
Okvir digitalne forenzike - DFF
DFF je alat za oporavak datoteka i Forensics razvojna platforma napisana na Pythonu i C-u++. Sadrži niz alata i skripte s naredbenim retkom i grafičkim korisničkim sučeljem. Koristi se za provođenje forenzičke istrage te za prikupljanje i izvještavanje digitalnih dokaza.
Jednostavan je za upotrebu, a mogu ga koristiti Cyber profesionalci kao i početnici za prikupljanje i očuvanje digitalnih forenzičkih informacija. Ovdje ćemo razgovarati o nekim njegovim dobrim značajkama
- Može izvoditi forenziku i oporavak na lokalnim, kao i na udaljenim uređajima.
- I naredbeni redak i grafičko korisničko sučelje s grafičkim prikazima i filtrima.
- Može oporaviti particije i pogone virtualnih strojeva.
- Kompatibilan s mnogim datotečnim sustavima i formatima, uključujući Linux i Windows.
- Može oporaviti skrivene i izbrisane datoteke.
- Može oporaviti podatke iz privremene memorije kao što su Mreža, Proces itd
DFF
Digitalni forenzički okvir
Upotreba: / usr / bin / dff [opcije]
Opcije:
-v --verzija prikaz trenutne verzije
-g - grafičko pokretanje grafičko sučelje
-b --batch = FILENAME izvršava batch sadržan u FILENAME
-l --language = LANG koristi LANG kao jezik sučelja
-h - pomoć prikaže ovu poruku pomoći
-d --debug preusmjerava IO na sistemsku konzolu
--opširnost = LEVEL postavite razinu opsežnosti prilikom otklanjanja pogrešaka [0-3]
-c --config = FILEPATH koristi konfiguracijsku datoteku iz FILEPATH
Najvažnije
Foremost je brži i pouzdani alat za oporavak zasnovan na naredbenom retku za vraćanje izgubljenih datoteka u Forensics Operations. Foremost ima mogućnost rada na slikama generiranim dd, Safeback, Encase itd. Ili izravno na pogonu. Foremost može oporaviti exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar i puno drugih vrsta datoteka.
[e-pošta zaštićena]: ~ # najznačajnije -hnajistaknutija verzija x.x.x Jesse Kornblum, Kris Kendall i Nick Mikus.
$ foremost [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - prikaz podataka o autorskim pravima i izlaz
-t - odredite vrstu datoteke. (-t jpeg, pdf ...)
-d - uključivanje neizravnog otkrivanja blokova (za UNIX datotečne sustave)
-i - navedite ulaznu datoteku (zadana vrijednost je stdin)
-a - Napišite sva zaglavlja, ne otkrivajte pogreške (oštećene datoteke)
-w - Zapisujte samo datoteku revizije, a ne zapisujte otkrivene datoteke na disk
-o - postaviti izlazni direktorij (zadani izlaz)
-c - postavi konfiguracijsku datoteku za uporabu (zadane vrijednosti u prvom redu).conf)
... odreži ..
Primjer upotrebe
[zaštićena e-poštom]: ~ # najistaknutiji -t exe, jpeg, pdf, png -i datoteka-slika.dd
Obrada: datoteka-slika.dd
... odreži ..
Zaključak
Kali, zajedno sa svojim poznatim alatima za ispitivanje penetracije, također ima čitavu karticu posvećenu "Forensici". Ima zaseban način "Forensics" koji je dostupan samo za USB USB u kojima se ne montiraju particije hosta. Kali je malo poželjniji od ostalih Forensics distribucija kao što je CAINE zbog svoje podrške i bolje kompatibilnosti.