Uvod
Prošli smo put pokrili 14 forenzičkih alata koji su prisutni u Kali Linuxu i objasnili njihovu svrhu i posebne mogućnosti. Danas ćemo predstaviti 14 forenzičkih alata iz poznate biblioteke "The Sleuth Kit" (TSK), upakovanih u ažuriranje Kali Linuxa za 2020. godinu. Ove alate možete pronaći na padajućem popisu Forensics pod nazivom Sleuth Kit Suite tools u izborniku Kali Whisker.
blkcalc
Alat blkcalc forenzički je alat koji pretvara neraspoređene točke diska u redovite točke diska. Ovaj program stvara broj točaka koji preslikava dvije slike. Jedna od tih slika je normalna, a druga sadrži neraspoređene brojeve točaka prve slike. Ovaj alat može podržati mnoge vrste datotečnih sustava. Ako datotečni sustav nije definiran na početku, blkcalc ima jedinstvenu značajku metoda automatskog otkrivanja za pronalaženje vrste datotečnog sustava.
tsk_comparedir
Uz pomoć alata tsk_comparedir, sadržaj slike uspoređuje se sa sadržajem direktorija za usporedbu. Ovo je najbolji alat u fazi testiranja za prepoznavanje rootkitova (zlonamjerni kod ili datoteke). Test rootkita izvodi se usporedbom sadržaja lokalnog direktorija s lokalnim sirovim uređajem. Ovi rootkitovi nisu skriveni kada im se pristupi i pročitaju ih sa sirovog uređaja.
tsk_gettimes
Forenzički alat tsk_gettimes zasnovan je na knjižnici pribora za slijeuth. Ovaj alat prikuplja MAC vremena (dijelove metapodataka datotečnog sustava) s određene slike diska i pretvara vremena u datoteku tijela. Alat tsk_gettimes ispituje svaki datotečni sustav na particiji diska ili slici i obrađuje podatke u njemu. Rezultat ovog alata su podaci slike diska u MAC formatu vremenskog tijela, koji se zatim mogu koristiti kao ulaz u sustav za generiranje kronologije aktivnosti datoteke. Podaci se zatim ispisuju u obliku datoteke putem naredbe STDOUT.
blkcat
Alat blkcat brz je i učinkovit forenzički alat upakiran u Kali. Svrha ovog alata je prikazivanje sadržaja podataka pohranjenih u slici diska datotečnog sustava. Izlaz prikazuje broj podatkovnih jedinica, počevši od glavne adrese i ispisa jedinice, u različite formate koji se mogu navesti i razvrstati. Prema zadanim postavkama, izlazni format je neobrađen i naziva se i dcat.
tsk_loaddb
Alat tsk_loaddb učitava metapodatke sa slike diska u bazu podataka SQLite, koja je korisna baza podataka za analizu pomoću drugih softverskih alata. Baza podataka pohranjena je u direktorij slika za lakši pristup. Ovaj alat podržava mnoge datotečne sustave i može izračunati MD5 vrijednost raspršivanja za svaku datoteku.
blkstat
Alat za slijeuth blkstat prikazuje sve informacije u vezi s podatkovnim jedinicama datotečnog sustava. Ovaj alat vraća podatke o statusu dodjele bloka ili sektora datotečnog sustava. Ovaj alat može koristiti naredbu addr, koja prikazuje statistiku dijela podataka, a naziva se i dstat.
naći
Alat ffind koristi inode za traženje imena direktorija ili datoteke na slici diska. Datoteke dodijeljene identifikatoru datoteke inode na particiji diska imaju imena; prema zadanim postavkama ovaj će alat vratiti samo prvo ime koje pronađe. Alat za pronalaženje može čak pronaći i izbrisana imena datoteka, što je posebna sposobnost ovog alata. Uz to, alat ffind također može pronaći više naziva datoteka.
hfind
Alat hfind traži hash vrijednosti u hash bazama podataka. Hash vrijednosti se pretražuju pomoću binarnog algoritma pretraživanja. Svrha korištenja ovog algoritma je omogućiti korisnicima da lako kreiraju hash baze podataka i brzo identificiraju datoteku, bila ona poznata ili nepoznata. Ovaj alat koristi NSRL knjižnicu i vraća md5sum. Ovaj je alat vrlo učinkovit jer stvara indeksnu datoteku koja je već sortirana i ima unose fiksne duljine, što pretraživanje čini vrlo brzim.
fls
Naziv fls uključuje pojam "ls", što znači da se navodi sadržaj mape. Alat fls navodi sva imena datoteka i direktorije u slikovnoj datoteci, a može čak prikazati i imena datoteka koje su nedavno uklonjene. Ako se ne koristi identifikator datoteke ili inode, koristi se korijenski direktorij.
mmcat
Alat mmcat forenzički je alat koji vraća sadržaj particije putem funkcije ispisa. Ovaj alat izdvaja sve podatke na particiji u zasebnu datoteku.
sigfind
Ovaj alat pronalazi binarni potpis prisutan unutar datoteke. Taj se binarni potpis naziva hex_signature, koji je prisutan u svakoj datoteci. Ovaj se alat može koristiti za pronalaženje izgubljenih superblokova, particija ili tablica slika i sektora za pokretanje. Za pronalaženje binarnog potpisa treba koristiti heksadecimalni format.
ako bude
Ovaj alat traži sirovu strukturu podataka datoteke koja je dodijeljena određenoj jedinici diska ili imenu datoteke. Ponekad se bilo koja od ovih struktura metapodataka može dodijeliti, ali ovaj će alat i dalje dobiti rezultate.
sortirnica
Alat za razvrstavanje je "perl" skriptni alat koji vrši sortiranje na datotečnom sustavu kako bi ga rasporedio u dodijeljene i neraspoređene datoteke na temelju vrste datoteke. Ovaj alat pokreće naredbu na svakoj datoteci i sortira datoteke prema konfiguracijskim datotekama. Vrste datoteka uključuju skrivene datoteke, hash datoteke za hash baze podataka, datoteke za koje se zna da su dobre i one koje treba promijeniti. Konfiguracijske datoteke koje se koriste, prema zadanim postavkama, preuzimaju se s mjesta na kojem je alat instaliran, ali to se može promijeniti odlukama o izvršavanju.
tsk_recover
Ovaj alat prenosi datoteke s particije diska u lokalni korijenski direktorij. Oporavljene datoteke su prema zadanim postavkama samo neraspoređene datoteke. Putem određenih naredbi sve datoteke se mogu izvesti.
Zaključak
Ovih 14 alata dolazi s Kali Linux live, kao i instalacijskim slikama, a otvoreni su i slobodno dostupni. Ovi se alati mogu naći u izborniku brkova Kali u mapi pod nazivom Sleuth Kit Suite. Alati od TSK-a dobivaju česta ažuriranja za manje ispravke programskih pogrešaka.