Phenquestions
Obdukcija
Autopsiju, koja se standardno isporučuje na CAINE i Kali Linux, smatram prvim alatom koji je uveden u forenziku zbog svog grafičkog i intuitivnog sučelja za upravljanje računalnim forenzičkim alatima. Autopsija optimizira postupak korištenjem više procesorskih jezgri dok se izvodi u pozadini i može vam unaprijed reći hoće li postupak dovesti do pozitivnih rezultata. Autopsija se također može koristiti kao grafičko sučelje za različite alate naredbenog retka, podržava proširenja za integraciju s alatima trećih strana kao što je PhotoRec koji se već nalazi na LinuxHintu za poboljšanje i dodavanje funkcija.
Kao što je rečeno, standardno dolazi na Kali, korisnici Debiana i Ubuntu-a mogu dobiti Autopsiju pokretanjem:
apt instalirati obdukciju -y
Službena web stranica: https: // www.sleuthkit.org / obdukcija /
CAINE (računalno potpomognuto istražno okruženje)
CAINE je distribucija zasnovana na Ubuntu Linuxu, posebno dizajnirana za računalnu forenziku, a po defaultu dolazi s Autopsijom stvarajući vrlo prijateljsko okruženje za korisnika. CAINE je izvrstan asistent, kao OS, jer se prema zadanim postavkama primjenjuje uobičajene forenzičke prakse poput zaštite uređaja za pohranu od oštećenja ili prepisivanja tijekom forenzičkog postupka.
CAINE je moderna Linux distribucija koja se preporučuje za početak rada s računalnom forenzikom.
Službena web stranica: https: // www.caine-live.neto/
P0f
P0f je analizator za interakciju između različitih uređaja putem umrežavanja. P0f je sposoban identificirati OS i softver koji koriste različiti uređaji povezani u pasivnom načinu rada, a ne slati pakete za analizu odgovora. P0f bilježi samo pakete za kasniju analizu, zato može dovesti do boljih rezultata od Nmapa pri otisku prsta. Praktična uporaba P0f može obuhvaćati otkrivanje napadača tijekom trajne sesije pentestinga, mrežni nadzor i dodatne informacije o vezama za postavljanje odgovarajućih sigurnosnih mjera. P0f se dugo nije ažurirao i vratio se kao P03 s podrškom za moderni OS i softver. U budućem članku pratit ćemo napadače pomoću različitih alata, uključujući P0f.
Korisnici Debiana i Ubuntua mogu instalirati P0f pokretanjem:
apt instalirati p0f -y
Službena web stranica: http: // lcamtuf.coredump.cx / p0f3 /
Dumpzilla
Tijekom kriminalističkog istraživanja analiza pregledavanja jedan je od prvih protokolarnih koraka. Kao što je gore rečeno, Autopsija nam omogućuje da omogućimo proširenja za istraživanje pregledavanja korisnika. Dumpzilla je alat usmjeren posebno na oporavak podataka pregledavanja iz preglednika Mozilla Firefox ili derivata poput Iceweasela ili Seamonkey. Dumpzilla nam može dati puno vrijednih podataka poput korisničkih imena, lozinki, povijesti pregledavanja i svih podataka pohranjenih u kolačićima ili korisničkim postavkama. Unatoč činjenici da je vrlo specifično pokretanje Dumpzille protiv cilja s Firefoxom, unatoč činjenici da nije ažuriran u posljednje dvije godine.
Dumpzilla nije uključena u zadana spremišta, možete ga dobiti s: https: // github.com / Busindre / dumpzilla
Službena web stranica: https: // www.dumpzilla.org
Volatilnost
Hlapljivost nam omogućuje istraživanje aktivne RAM-a uređaja, što znači da informacije koje nisu pohranjene na tvrdom disku, već su ostavile artefakte ili tragove na aktivnom RAM-u. Ovaj alat, koji se po defaultu isporučuje i na CAINE i na Kali Linuxu, može nas dovesti do korisnih informacija nakon incidenta na uređaju, poput procesa koji su se izvodili ili izvode tijekom događaja. Da biste instalirali volatilnost na Debian, možete pokrenuti
apt instalirati volatilnost -y
Službena web stranica: https: // www.volatilityfoundation.org /
Chkrootkit
RootKit je zlonamjerni softver instaliran lokalno ili daljinski na uređaju za omogućavanje nelegitimnog pristupa napadaču, možemo napraviti grotesknu usporedbu između rootKits-a i trojanskih poslužitelja unatoč malim razlikama (RootKIts uključuje dodatne funkcije). RootKits može mijenjati sistemske datoteke i uklanjati tragove nelegitimnih upada. Evo gdje ChkRooKit dolazi analizirajući binarne datoteke radi izmjena, dnevnika i drugih tragova koje uljez može ukloniti. Na Debianu možete dobiti chkrootkit pokretanjem:
apt instalirati chkrootkit -y
Službena web stranica: http: // www.chkrootkit.org /
Nadam se da vam je ovaj članak bio koristan kako biste shvatili da računalna forenzika nije ograničena na IT gurue, svatko može lako izvršiti računalnu forenziku pomoću gore spomenutih alata. Nastavite pratiti LinuxHint za više savjeta i ažuriranja na Linuxu.
