🎩 Инструменты для форензики Kali Linux |

🎩 Инструменты для форензики Kali Linux

Обзоры

Kali Linux – это мощная операционная система, специально разработанная для специалистов по тестированию на проникновение и безопасности.

Большинство ее функций и инструментов предназначено для исследователей безопасности и пентестеров, но у нее есть отдельная вкладка «Forensics» и отдельный режим «Forensics» для криминалистов, т.е. форензика.

Форензика становится очень важной в кибербезопасности для обнаружения и отслеживания преступников в Black Hat. Важно удалить вредоносные бэкдоры / вредоносные программы Hackers и отследить их, чтобы избежать возможных инцидентов в будущем.

В режиме Kali Forensics операционная система не монтирует ни один раздел с жесткого диска системы и не оставляет никаких изменений или отпечатков пальцев в системе хоста.

10 лучших известных средств судебной экспертизы, работающих на Linux

Kali Linux поставляется с предустановленными популярными приложениями и инструментами для форензики.

Здесь мы рассмотрим некоторые известные инструменты с открытым исходным кодом, присутствующие в Kali Linux.

Bulk Extractor

Bulk Extractor – это многофункциональный инструмент, который может извлекать полезную информацию, такую как номера кредитных карт, доменные имена, IP-адреса, электронные адреса, номера телефонов и URL-адреса, из доказательств Жесткие диски / файлы, найденные в ходе судебно-медицинской экспертизы.

Он полезен при анализе изображений или вредоносных программ, а также помогает в кибер-расследовании и взломе паролей.

Метод состоит их составления списка слов на основе информации, найденной из доказательств, которые могут помочь в взломе пароля.

Bulk Extractor популярен среди других инструментов благодаря своей невероятной скорости, совместимости с множеством платформ и тщательности.

Он быстрый благодаря многопоточным функциям и способен сканировать любой тип цифрового мультимедиа, включая жесткие диски, твердотельные накопители, мобильные телефоны, камеры, SD-карты и многие другие типы.

Bulk Extractor имеет следующие интересные функции, которые делают его более предпочтительным,

  • Он имеет графический интерфейс под названием «Bulk Extractor Viewer», который используется для взаимодействия с Bulk Extractor.
  • Он имеет несколько параметров вывода, таких как отображение и анализ выходных данных в гистограмме.
  • Он может быть легко автоматизирован с помощью Python или других скриптовых языков.
  • Он поставляется с некоторыми заранее написанными скриптами, которые можно использовать для дополнительного сканирования.
  • Его многопоточность может быть более быстрой в системах с несколькими ядрами процессора.

 

root@itsecforu:~# bulk_extractor --help
Usage: bulk_extractor [options] imagefile

runs bulk extractor and outputs to stdout a summary of what was found where

Required parameters:
imagefile - the file to extract
or -R filedir - recurse through a directory of files
HAS SUPPORT FOR E01 FILES
HAS SUPPORT FOR AFF FILES
-o outdir - specifies output directory. Must not exist.

bulk_extractor creates this directory.

Options:
-i - INFO mode. Do a quick random sample and print a report.
-b banner.txt- Add banner.txt contents to the top of every output file.
-r alert_list.txt - a file containing the alert list of features to alert
(can be a feature file or a list of globs)
(can be repeated.)
-w stop_list.txt - a file containing the stop list of features (white list
(can be a feature file or a list of globs)s
(can be repeated.)
-F <rfile> - Read a list of regular expressions from <rfile> to find
-f <regex> - find occurrences of <regex>; may be repeated.
results go into find.txt
...snip...

Usage Example

root@itsecforu:~# bulk_extractor -o output secret.img 

Autopsy

Autospy – это платформа, которая используется при кибер-расследованиях правоохранительными органами для проведения и составления отчетов о криминалистических операциях.

Он объединяет множество отдельных утилит, которые используются для криминалистики и восстановления, и предоставляет графический интерфейс пользователя.

Autopsy – это бесплатный кроссплатформенный продукт с открытым исходным кодом, доступный для Windows, Linux и других операционных систем на основе UNIX.

Autospy может искать и исследовать данные с жестких дисков различных форматов, включая EXT2, EXT3, FAT, NTFS и других.

Он прост в использовании и не требует установки в Kali Linux, так как он поставляется с предустановленной и предварительно настроенной конфигурацией.

Dumpzilla

Dumpzilla – это кроссплатформенный инструмент командной строки, написанный на языке Python 3, который используется для выгрузки связанной с форензикой информации из веб-браузеров.

Он не извлекает данные или информацию, он просто отображает их в терминале, который можно передать, отсортировать и сохранить в файлах с помощью команд операционной системы.

В настоящее время он поддерживает только браузеры на основе Firefox, такие как Firefox, Seamonkey, Iceweasel и т. д.

Dumpzilla может получить следующую информацию из браузеров:

  • Может показывать онлайн-серфинг пользователя во вкладках / окне.
  • Пользовательские загрузки, закладки и история.
  • Веб-формы (поиски, электронные письма, комментарии ..).
  • Кэш / миниатюры ранее посещенных сайтов.
  • Аддоны / Расширения и используемые пути или URL.
  • Если браузер сохранил пароли.
  • Файлы cookie и данные сессий.
root@itsecforu:~# dumpzilla --help
Usage: python dumpzilla.py browser_profile_directory [Options]

Options:

--All (Shows everything but the DOM data. Doesn't extract thumbnails or HTML 5 offline)

--Cookies [-showdom -domain <string> -name <string> -hostcookie <string> -access <date>
-create <date> -secure <0/1> -httponly <0/1> -range_last -range_create <start>
<end>]

--Permissions [-host <string>]

--Downloads [-range <start> <end>]

--Forms [-value <string> -range_forms <start> <end>]

--History [-url <string> -title <string> -date <date> -range_history <start> <end>
-frequency]

--Bookmarks [-range_bookmarks <start> <end>]

Digital Forensics Framework – DFF

DFF – это инструмент для восстановления файлов и платформа для разработки форензики, написанный на Python и C ++.

Он имеет набор инструментов и скриптов с командной строкой и графическим интерфейсом пользователя.

Он используется для проведения судебных расследований, а также для сбора и представления цифровых доказательств.

Он прост в использовании и может быть использован профессионалами, а также новичками для сбора и сохранения цифровой криминалистической информации.

Здесь мы обсудим некоторые из его полезных функций:

  • Может выполнять функции форензики и восстановление на локальных, а также удаленных устройствах.
  • И Командная строка и Графический интерфейс с графическими представлениями и фильтрами.
  • Может восстановить разделы и диски виртуальных машин.
  • Совместим со многими файловыми системами и форматами, включая Linux и Windows.
  • Может восстановить скрытые и удаленные файлы.
  • Может восстановить данные из временной памяти, такой как сеть, процесс и т. д.
root@itsecforu:~# dff -h
DFF
Digital Forensic Framework

Usage: /usr/bin/dff [options]
Options:
-v --version display current version
-g --graphical launch graphical interface
-b --batch=FILENAME executes batch contained in FILENAME
-l --language=LANG use LANG as interface language
-h --help display this help message
-d --debug redirect IO to system console
--verbosity=LEVEL set verbosity level when debugging [0-3]
-c --config=FILEPATH use config file from FILEPATH

Foremost

Foremost – это более быстрый и надежный инструмент восстановления на основе командной строки для возврата потерянных файлов в операциях форензики.

Прежде всего, имеет возможность работать с изображениями, созданными dd, Safeback, Encase и т. д., или непосредственно на диске. Прежде всего можно восстановить exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar и много других типов файлов.

Более подробно:

Заключение

Kali, наряду со своими известными инструментами тестирования на проникновение, также имеет целую вкладку, посвященную «Криминалистике» или если хотите Форензике.

Он имеет отдельный режим «Forensics», который доступен только для Live USB, в которых он не монтирует разделы хоста.

Kali немного предпочтительнее других дистрибутивов, таких как CAINE, из-за его поддержки и лучшей совместимости.

 

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий