Phenquestions
Forensik menjadi sangat penting dalam Keselamatan Siber untuk mengesan dan mengekang Penjenayah Black Hat. Adalah mustahak untuk membuang backware / perisian hasad peretas dan mengesannya untuk mengelakkan kemungkinan berlakunya insiden di masa hadapan. Dalam mod Forensik Kali, Sistem Operasi tidak memasang partisi dari cakera keras Sistem dan tidak meninggalkan sebarang perubahan atau cap jari pada sistem host.
Kali Linux dilengkapi dengan aplikasi dan alat alat forensik popular yang telah dipasang sebelumnya. Di sini kita akan mengkaji beberapa alat sumber terbuka terkenal yang terdapat di Kali Linux.
Pengekstrak Pukal
Bulk Extractor adalah alat yang kaya dengan ciri yang dapat mengekstrak maklumat berguna seperti Nombor Kad Kredit, nama Domain, Alamat IP, E-mel, Nombor Telefon dan URL dari bukti Hard-drive / fail yang dijumpai semasa Penyiasatan Forensik. Ini berguna dalam menganalisis gambar atau perisian hasad, juga membantu dalam penyiasatan Cyber dan retak kata laluan. Ia membina senarai perkataan berdasarkan maklumat yang dijumpai dari bukti yang dapat membantu memecahkan kata laluan.
Massal Extractor sangat popular di antara alat lain kerana kepantasannya yang luar biasa, keserasian pelbagai platform dan ketelitian. Ia cepat kerana ciri multi-utasnya dan mempunyai kemampuan untuk mengimbas semua jenis media digital yang merangkumi HDD, SSD, Telefon bimbit, Kamera, kad SD dan banyak jenis lain.
Massal Extractor mempunyai ciri-ciri keren yang menjadikannya lebih disukai,
- Ia mempunyai UI Grafik yang disebut "Bulk Extractor Viewer" yang digunakan untuk berinteraksi dengan Bulk Extractor
- Ia mempunyai banyak pilihan output seperti menampilkan dan menganalisis data output dalam histogram.
- Ia dapat dengan automatik menggunakan Python atau bahasa skrip lain.
- Ia dilengkapi dengan beberapa skrip pra-tulisan yang dapat digunakan untuk melakukan pengimbasan tambahan
- Multi-utasnya, dapat lebih cepat pada sistem dengan banyak core CPU.
Penggunaan: bulk_extractor [options] imagefile
menjalankan pengekstrak dan output pukal untuk mengetahui ringkasan dari apa yang dijumpai di mana
Parameter yang diperlukan:
imagefile - fail yang akan diekstrak
atau -R filipir - berulang melalui direktori fail
MEMPUNYAI SOKONGAN UNTUK FIL E01
MEMPUNYAI SOKONGAN UNTUK FILEM AFF
-o outdir - menentukan direktori output. Tidak mesti ada.
bulk_extractor membuat direktori ini.
Pilihan:
-mod i - INFO. Lakukan sampel rawak cepat dan cetak laporan.
-b sepanduk.txt- Tambah sepanduk.txt kandungan ke bahagian atas setiap fail output.
-r alert_list.txt - fail yang mengandungi senarai amaran untuk memberi amaran
(boleh menjadi fail ciri atau senarai bola dunia)
(boleh diulang.)
-w senarai_hentian.txt - fail yang mengandungi senarai ciri berhenti (senarai putih
(boleh menjadi fail ciri atau senarai glob) s
(boleh diulang.)
-F
-f
hasil dijumpai.txt
... hirup ..
Contoh Penggunaan
[dilindungi e-mel]: ~ # rahsia keluaran bulk_extractor -o.img
Autopsi
Autopsi adalah platform yang digunakan oleh Penyiasat Siber dan penguatkuasa undang-undang untuk menjalankan dan melaporkan operasi Forensik. Ia menggabungkan banyak utiliti individu yang digunakan untuk Forensik dan pemulihan dan menyediakannya antara muka pengguna grafik.
Autopsi adalah produk sumber terbuka, percuma dan lintas platform yang tersedia untuk Windows, Linux dan sistem operasi berasaskan UNIX yang lain. Autopsi boleh mencari dan menyiasat data dari cakera keras pelbagai format termasuk EXT2, EXT3, FAT, NTFS dan lain-lain.
Mudah digunakan dan tidak perlu dipasang di Kali Linux kerana dihantar dengan pra-pemasangan dan pra-konfigurasi.
Dumpzilla
Dumpzilla adalah alat baris perintah lintas platform yang ditulis dalam bahasa Python 3 yang digunakan untuk membuang maklumat berkaitan Forensik dari penyemak imbas web. Ia tidak mengekstrak data atau maklumat, hanya memaparkannya di terminal yang dapat disalurkan, disusun dan disimpan dalam fail menggunakan perintah Sistem Operasi. Pada masa ini, ia hanya menyokong penyemak imbas berasaskan Firefox seperti Firefox, Seamonkey, Iceweasel dll.
Dumpzilla boleh mendapatkan maklumat berikut dari penyemak imbas
- Boleh menunjukkan live surfing pengguna di tab / window.
- Muat turun, Penanda Halaman & Sejarah Pengguna.
- Bentuk laman web (Carian, e-mel, komen ...).
- Cache / lakaran kecil laman web yang pernah dikunjungi sebelumnya.
- Addons / Extensions dan laluan atau url terpakai.
- Kata laluan disimpan penyemak imbas.
- Data Kuki dan Sesi.
Penggunaan: python dumpzilla.py browser_profile_directory [Pilihan]
Pilihan:
--Semua (Menunjukkan segala-galanya kecuali data DOM. Tidak mengekstrak lakaran kecil atau HTML 5 di luar talian)
--Kuki [-showdom -domain
-buat
--Kebenaran [-host
--Muat turun [-range
--Bentuk [-nilai
--Sejarah [-url
-kekerapan]
--Penanda halaman [-range_bookmark
... hirup ..
Kerangka Forensik Digital - DFF
DFF adalah alat pemulihan fail dan platform pengembangan Forensik yang ditulis dalam Python dan C++. Ini mempunyai set alat dan skrip dengan kedua-dua Command Line dan Graphical Interface. Ia digunakan untuk menjalankan Penyiasatan Forensik dan mengumpulkan dan melaporkan bukti digital.
Ia mudah digunakan dan dapat digunakan oleh Cyber Professional serta pemula untuk mengumpulkan dan menyimpan Maklumat Forensik digital. Di sini kita akan membincangkan beberapa ciri baiknya
- Boleh melakukan Forensik dan pemulihan pada alat Tempatan dan juga alat terpencil.
- Baris Perintah dan UI Grafik dengan paparan dan penapis grafik.
- Dapat memulihkan partition & pemacu mesin maya.
- Sesuai dengan banyak sistem fail & format termasuk Linux dan Windows.
- Dapat memulihkan fail tersembunyi dan dipadam.
- Dapat memulihkan data dari memori sementara seperti Rangkaian, Proses dan lain-lain
DFF
Kerangka Forensik Digital
Penggunaan: / usr / bin / dff [pilihan]
Pilihan:
-v - versi memaparkan versi semasa
-g - antara muka grafik pelancaran grafik
-b --batch = FILENAME melaksanakan kumpulan yang terdapat dalam FILENAME
-l - bahasa = LANG menggunakan LANG sebagai bahasa antara muka
-h - tolong paparkan mesej bantuan ini
-d -debug mengarahkan IO ke konsol sistem
--verbosity = LEVEL menetapkan tahap verbosity semasa melakukan debug [0-3]
-c --config = FILEPATH menggunakan file config dari FILEPATH
Terutama
Terutamanya adalah alat pemulihan berdasarkan baris perintah yang lebih pantas dan boleh dipercayai untuk mendapatkan kembali fail yang hilang dalam Operasi Forensik. Terutama mempunyai kemampuan untuk mengerjakan gambar yang dihasilkan oleh dd, Safeback, Encase, dll, atau secara langsung pada pemacu. Terutama boleh memulihkan exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar dan banyak jenis fail lain.
[dilindungi e-mel]: ~ # paling utama -hversi paling utama x.x.x oleh Jesse Kornblum, Kris Kendall, dan Nick Mikus.
$ paling utama [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - paparkan maklumat hak cipta dan keluar
-t - tentukan jenis fail. (-t jpeg, pdf ...)
-d - hidupkan pengesanan blok tidak langsung (untuk sistem fail UNIX)
-i - tentukan fail input (lalai adalah stdin)
-a - Tulis semua tajuk, jangan lakukan pengesanan ralat (fail rosak)
-w - Tulis fail audit sahaja, jangan tulis fail yang dikesan ke cakera
-o - tetapkan direktori output (lalai ke output)
-c - tetapkan fail konfigurasi untuk digunakan (lalai menjadi yang terpenting.conf)
... hirup ..
Contoh penggunaan
[dilindungi e-mel]: ~ # paling utama -t exe, jpeg, pdf, png -i file-image.dd
Memproses: gambar-fail.dd
... hirup ..
Kesimpulannya
Kali, bersama dengan alat ujian Penetrasi yang terkenal juga mempunyai keseluruhan tab yang dikhaskan untuk "Forensik". Ia mempunyai mod "Forensik" terpisah yang hanya tersedia untuk USB Live di mana ia tidak memasang partisi host. Kali lebih disukai daripada distro Forensik lain seperti CAINE kerana sokongan dan keserasian yang lebih baik.
