Pengenalan
Kali terakhir, kami merangkumi 14 alat forensik yang terdapat di Kali Linux dan menjelaskan tujuan dan kemampuan khas mereka. Hari ini, kami akan mempersembahkan 14 alat forensik, yang berasal dari perpustakaan terkenal, "The Sleuth Kit" (TSK), yang dikemas dalam kemas kini Kali Linux 2020. Anda boleh mendapatkan alat ini dalam senarai drop-down Forensik di bawah nama alat Sleuth Kit Suite di Kali Whisker Menu.
blkcalc
Alat blkcalc adalah alat forensik yang menukar titik cakera yang tidak diperuntukkan menjadi titik cakera biasa. Program ini membuat nombor titik yang memetakan dua gambar. Salah satu gambar ini adalah normal, dan yang lain mengandungi nombor titik yang tidak diperuntukkan pada gambar pertama. Alat ini dapat menyokong banyak jenis sistem fail. Sekiranya sistem fail tidak ditentukan pada awalnya, blkcalc mempunyai ciri unik kaedah autodetection untuk mencari jenis sistem fail.
tsk_comparedir
Dengan bantuan alat tsk_comparedir, kandungan gambar dibandingkan dengan kandungan direktori perbandingan. Ini adalah alat terbaik dalam fasa pengujian untuk mengenal pasti rootkit (kod atau fail berbahaya). Uji rootkit dilakukan dengan membandingkan kandungan direktori tempatan dengan peranti mentah tempatan. Kit root ini tidak tersembunyi ketika diakses dan dibaca dari peranti mentah.
tsk_gettimes
Alat forensik tsk_gettimes didasarkan pada perpustakaan kit sleuth. Alat ini mengumpulkan masa MAC (kepingan metadata sistem fail) dari gambar cakera yang ditentukan dan menukar masa menjadi fail badan. Alat tsk_gettimes memeriksa setiap sistem fail dalam partisi cakera atau gambar dan memproses data di dalamnya. Output alat ini adalah data gambar cakera dalam format badan waktu MAC, yang kemudian dapat digunakan sebagai input ke sistem untuk menghasilkan kronologi aktiviti file. Data kemudian dicetak sebagai fail melalui arahan STDOUT.
blkcat
Alat blkcat adalah alat forensik cepat dan cekap yang dikemas di dalam Kali. Tujuan alat ini adalah untuk memaparkan kandungan data yang disimpan dalam gambar cakera sistem fail. Keluaran memaparkan jumlah unit data, dimulai dengan alamat utama dan cetakan unit, ke dalam format yang berbeza yang dapat ditentukan dan disusun. Secara lalai, format output adalah mentah, dan juga disebut dcat.
tsk_loaddb
Alat tsk_loaddb memuat metadata dari gambar cakera ke pangkalan data SQLite, yang merupakan pangkalan data yang dapat digunakan untuk analisis oleh alat perisian lain. Pangkalan data disimpan di direktori gambar untuk akses mudah. Alat ini menyokong banyak sistem fail dan dapat mengira nilai hash MD5 untuk setiap fail.
blkstat
Alat sluth kit blkstat memaparkan semua maklumat mengenai unit data sistem fail. Alat ini mengembalikan data mengenai status peruntukan blok atau sektor sistem fail. Alat ini dapat menggunakan perintah addr, yang menunjukkan statistik sekeping data, dan juga disebut dstat.
cari
Alat ffind menggunakan inode untuk mencari nama direktori atau fail dalam gambar cakera. Fail yang diberikan kepada pengecam fail inode pada partisi cakera mempunyai nama; secara lalai, alat ini hanya akan mengembalikan nama pertama yang dijumpainya. Alat ffind bahkan dapat mencari nama fail yang dihapus, yang merupakan kemampuan khas alat ini. Di samping itu, alat ffind juga dapat mencari banyak nama fail.
mencari
Alat hfind mencari nilai hash dalam pangkalan data hash. Nilai hash dicari menggunakan algoritma carian binari. Tujuan penggunaan algoritma ini adalah untuk membolehkan pengguna membuat pangkalan data hash dengan mudah dan mengenal pasti fail dengan cepat, sama ada dikenali atau tidak diketahui. Alat ini menggunakan perpustakaan NSRL dan mengembalikan md5sum. Alat ini sangat efisien, kerana membuat fail indeks yang sudah disusun dan mempunyai entri panjang tetap, yang menjadikan pencarian sangat cepat.
fls
Nama fls melibatkan istilah "ls," yang bermaksud untuk menyenaraikan kandungan folder. Alat fls menyenaraikan semua nama fail dan direktori dalam fail gambar, dan bahkan dapat menunjukkan nama fail yang baru dikeluarkan. Sekiranya pengecam fail atau inode tidak digunakan, maka direktori root digunakan.
mmcat
Alat mmcat adalah alat forensik yang mengembalikan kandungan partition melalui fungsi cetak. Alat ini mengekstrak semua data dalam partisi ke dalam fail yang berasingan.
mencari
Alat ini menemui tandatangan binari yang terdapat di dalam fail. Tandatangan binari ini dipanggil hex_signature, yang terdapat dalam setiap fail. Alat ini dapat digunakan untuk mencari blok superblok, partisi atau jadual gambar, dan sektor boot. Format heksadesimal harus digunakan untuk mencari tanda tangan binari.
saya jumpa
Alat ini mencari struktur data mentah fail, yang diperuntukkan dalam unit cakera atau nama fail tertentu. Kadang-kadang struktur meta-data ini tidak dapat dialokasikan, tetapi alat ini masih akan memperoleh hasilnya.
penyusun
Alat penyortir adalah alat skrip "perl" yang melakukan penyortiran pada sistem file untuk mengaturnya menjadi file yang diperuntukkan dan tidak dialokasikan, berdasarkan jenis file. Alat ini menjalankan perintah pada setiap fail dan menyusun fail mengikut fail konfigurasi. Jenis fail termasuk fail tersembunyi, fail hash untuk pangkalan data hash, fail yang diketahui bagus, dan fail yang harus diubah. Fail konfigurasi yang digunakan, secara lalai, diambil dari tempat alat ini dipasang, tetapi ini dapat diubah dengan keputusan waktu berjalan.
tsk_kemas kini
Alat ini memindahkan fail dari partisi cakera ke direktori root tempatan. Fail yang dipulihkan adalah, secara lalai, fail yang tidak diperuntukkan sahaja. Melalui arahan tertentu, semua fail dapat dieksport.
Kesimpulannya
14 alat ini disertakan dengan Kali Linux secara langsung, serta gambar pemasang, dan ia adalah sumber terbuka dan tersedia secara percuma. Alat ini boleh didapati di menu Kali whisker dalam folder bernama Sleuth Kit Suite. Alat ini menerima kemas kini yang kerap dari TSK untuk pembetulan pepijat kecil.