Gambar 1: Kali Linux
Umumnya, ketika melakukan forensik pada sistem komputer, setiap aktiviti yang dapat mengubah atau mengubah analisis data sistem harus dielakkan. Desktop moden yang lain biasanya mengganggu tujuan ini, tetapi dengan Kali Linux melalui menu but, anda boleh mengaktifkan mod forensik khas.
Alat Binwalk:
Binwalk adalah alat forensik di Kali yang mencari gambar binari yang ditentukan untuk kod dan fail yang boleh dilaksanakan. Ini mengenal pasti semua fail yang tersemat di dalam gambar firmware apa pun. Ia menggunakan perpustakaan yang sangat berkesan yang dikenali sebagai "libmagic," yang memilah tanda tangan ajaib dalam utiliti fail Unix.
Gambar 2: Alat Binwalk CLI
Alat pengekstrak pukal:
Alat pengekstrak pukal mengeluarkan nombor kad kredit, pautan URL, alamat e-mel, yang digunakan sebagai bukti digital. Alat ini membolehkan anda mengenal pasti serangan malware dan pencerobohan, penyiasatan identiti, kerentanan siber, dan keretakan kata laluan. Keistimewaan alat ini ialah ia tidak hanya berfungsi dengan data biasa, tetapi juga berfungsi pada data yang dimampatkan dan data yang tidak lengkap atau rosak.
Gambar 3: Alat baris arahan pengekstrak pukal
Alat HashDeep:
Alat hashdeep adalah versi yang diubah suai dari alat hash dc3dd yang direka khas untuk forensik digital. Alat ini merangkumi hashing automatik fail, i.e., sha-1, sha-256 dan 512, harimau, pusaran air, dan md5. Fail log ralat ditulis secara automatik. Laporan kemajuan dihasilkan dengan setiap output.
Gambar 4: Alat antara muka HashDeep CLI.
Alat penyelamat sihir:
Magic menyelamatkan adalah alat forensik yang melakukan operasi mengimbas pada peranti yang disekat. Alat ini menggunakan byte ajaib untuk mengekstrak semua jenis fail yang diketahui dari peranti. Ini membuka peranti untuk mengimbas dan membaca jenis fail dan menunjukkan kemungkinan memulihkan fail yang dipadam atau yang rosak. Ia boleh berfungsi dengan setiap sistem fail.
Gambar 5: Alat antara muka baris perintah penyelamat sihir
Alat pisau bedah:
Alat forensik ini menyimpan semua fail dan mengindeks aplikasi yang dijalankan di Linux dan windows. Alat pisau bedah menyokong pelaksanaan multithreading pada pelbagai sistem teras, yang membantu dalam pelaksanaan cepat. Pengukiran fail dilakukan dalam serpihan seperti ungkapan biasa atau rentetan binari.
Gambar 6: Alat ukiran forensik pisau bedah
Alat Scrounge-NTFS:
Utiliti forensik ini membantu dalam mengambil data dari cakera atau partition NTFS yang rosak. Ia menyelamatkan data dari sistem fail yang rosak ke sistem fail yang berfungsi baru.
Gambar 7: Alat pemulihan data forensik
Alat Guymager:
Utiliti forensik ini digunakan untuk memperoleh media untuk citra forensik dan mempunyai antara muka pengguna grafik. Kerana pemprosesan dan pemampatan datanya yang pelbagai, ini adalah alat yang sangat pantas. Alat ini juga menyokong pengklonan. Ia menghasilkan gambar rata, AFF, dan EWF. UI sangat mudah digunakan.
Gambar 8: Utiliti forensik GUI Guymager
Alat Pdfid:
Alat forensik ini digunakan dalam fail pdf. Alat ini mengimbas fail pdf untuk kata kunci tertentu, yang membolehkan anda mengenal pasti kod yang dapat dilaksanakan ketika dibuka. Alat ini menyelesaikan masalah asas yang berkaitan dengan fail pdf. Fail yang mencurigakan kemudian dianalisis dengan alat penghurai pdf.
Gambar 9: Utiliti antara muka baris perintah Pdfid
Alat Pdf-parser:
Alat ini adalah salah satu alat forensik terpenting untuk fail pdf. pdf-parser menguraikan dokumen pdf dan membezakan elemen penting yang digunakan semasa analisisnya, dan alat ini tidak menjadikan dokumen pdf itu.
Rajah 10: Alat forensik CLI Pdf-parser
Alat peepdf:
Alat python yang meneroka dokumen pdf untuk mengetahui sama ada ia tidak berbahaya atau merosakkan. Ia menyediakan semua elemen yang diperlukan untuk melakukan analisis pdf dalam satu pakej tunggal. Ia menunjukkan entiti yang mencurigakan dan menyokong pelbagai pengekodan dan penapis. Ia juga dapat menguraikan dokumen yang disulitkan.
Gambar 11: Alat Peepdf python untuk penyiasatan pdf.
Alat autopsi:
Autopsi adalah semua dalam satu utiliti forensik untuk pemulihan data yang cepat dan penapisan hash. Alat ini memahat fail dan media yang dihapus dari ruang yang tidak diperuntukkan menggunakan PhotoRec. Ia juga dapat mengekstrak multimedia sambungan EXIF. Autopsi mengimbas penunjuk kompromi menggunakan perpustakaan STIX. Ini tersedia di baris perintah dan juga antara muka GUI.
Gambar 12: Autopsi, semua dalam satu pakej utiliti forensik
alat img_cat:
alat img_cat memberikan kandungan output dari fail gambar. Fail gambar yang dipulihkan akan mempunyai data meta dan data terbenam, yang membolehkan anda mengubahnya menjadi data mentah. Data mentah ini membantu dalam menyalurkan output untuk mengira MD5 hash.
Gambar 13: img_cat data tertanam ke pemulihan dan penukaran data mentah.
Alat ICAT:
ICAT adalah alat Sleuth Kit (TSK) yang membuat output fail berdasarkan pengecam atau nombor inodenya. Alat forensik ini sangat cepat, dan ia membuka gambar fail bernama dan menyalinnya ke output standard dengan nombor inode tertentu. Inode adalah salah satu struktur data sistem Linux yang menyimpan data dan maklumat mengenai fail Linux seperti hak milik, ukuran fail, dan jenis, izin menulis dan membaca.
Gambar 14: Alat antara muka berasaskan konsol ICAT
Alat srch_strings:
Alat ini mencari rentetan ASCII dan Unicode yang layak di dalam data binari dan kemudian mencetak rentetan ofset yang terdapat dalam data tersebut. alat srch_strings akan mengekstrak dan mengambil rentetan yang terdapat dalam fail dan memberikan byte mengimbangi jika dipanggil.
Gambar 15: Alat forensik pengambilan tali
Kesimpulan:
14 alat ini disertakan dengan Kali Linux secara langsung, dan gambar pemasang dan ia adalah sumber terbuka dan tersedia secara percuma. Sekiranya terdapat versi Kali yang lebih lama, maka saya akan mencadangkan kemas kini ke versi terbaru untuk mendapatkan alat ini secara langsung. Terdapat banyak alat forensik lain yang akan kita bahas seterusnya. Lihat bahagian 2 artikel ini di sini.