Phenquestions
Autopsi
Saya menganggap Autopsi, yang datang secara lalai di CAINE dan Kali Linux, alat pertama yang diperkenalkan kepada forensik kerana antara muka grafik dan intuitif untuk menguruskan alat forensik komputer. Autopsi mengoptimumkan proses dengan menggunakan beberapa teras pemproses semasa berjalan di latar belakang dan dapat memberitahu anda terlebih dahulu jika proses itu akan menghasilkan hasil yang positif. Autopsi juga dapat digunakan sebagai antara muka grafik untuk alat baris perintah yang berbeza, menyokong peluasan untuk integrasi dengan alat pihak ketiga seperti PhotoRec yang sudah dipaparkan di LinuxHint untuk memperbaiki dan menambahkan fungsi.
Seperti yang dikatakan, secara default, pengguna Kali, Debian dan Ubuntu boleh mendapatkan Autopsi dengan menjalankan:
pasang autopsi -y
Laman web rasmi: https: // www.sleuthkit.org / autopsi /
CAINE (Persekitaran Penyiasatan Berbantu Komputer)
CAINE adalah distribusi berasaskan Ubuntu Linux yang direka khusus untuk forensik komputer, ia dilengkapi dengan Autopsi secara lalai mewujudkan persekitaran yang sangat mesra bagi pengguna. CAINE adalah pembantu yang hebat, sebagai OS, kerana ia digunakan secara praktik sebagai praktik forensik umum seperti melindungi peranti penyimpanan daripada rosak atau ditimpa semasa proses forensik.
CAINE adalah pengedaran Linux terkini yang sangat disyorkan untuk memulakan dengan forensik komputer.
Laman web rasmi: https: // www.caine-live.bersih /
P0f
P0f adalah penganalisis untuk interaksi antara peranti yang berbeza melalui rangkaian. P0f mampu mengenal pasti OS dan perisian yang digunakan oleh peranti yang berlainan yang disambungkan dalam mod pasif, daripada mengirim paket untuk menganalisis balasan. P0f hanya menangkap paket untuk analisis kemudian, sebab itulah ia dapat menghasilkan hasil yang lebih baik daripada Nmap ketika cap jari. Penggunaan praktis P0f mungkin termasuk mengesan penyerang semasa sesi pentesting yang sedang berlangsung, pengawasan rangkaian dan maklumat tambahan mengenai sambungan untuk mengatur langkah-langkah keselamatan yang tepat. P0f tidak dikemas kini untuk masa yang lama dan telah kembali sebagai P03 dengan sokongan untuk OS dan perisian moden. Dalam artikel yang akan datang kami akan mengesan penyerang menggunakan alat yang berbeza termasuk P0f.
Pengguna Debian dan Ubuntu boleh memasang P0f dengan menjalankan:
pasang p0f -y
Laman web rasmi: http: // lcamtuf.coredump.cx / p0f3 /
Dumpzilla
Semasa siasatan jenayah analisis aktiviti melayari adalah antara langkah protokol pertama. Seperti yang dinyatakan di atas, Autopsi membolehkan kami mengaktifkan peluasan untuk meneliti aktiviti penyemakan imbas pengguna. Dumpzilla adalah alat yang difokuskan khusus untuk memulihkan data penyemakan imbas dari penyemak imbas atau turunan Mozilla Firefox seperti Iceweasel atau Seamonkey. Dumpzilla dapat memberi kami banyak maklumat berharga seperti nama pengguna, kata laluan, sejarah penyemakan imbas dan sebarang maklumat yang disimpan dalam kuki atau pilihan pengguna. Walaupun fakta bahawa Dumpzilla sangat spesifik menjalankan Dumpzilla dengan sasaran dengan Firefox adalah disyorkan, walaupun ia tidak dikemas kini selama dua tahun terakhir.
Dumpzilla tidak termasuk dalam repositori lalai, anda boleh mendapatkannya dari: https: // github.com / Busindre / dumpzilla
Laman web rasmi: https: // www.dumpzilla.org
Turun naik
Volatiliti membolehkan kita menyiasat RAM langsung peranti, yang bermaksud maklumat yang tidak disimpan pada cakera keras, tetapi meninggalkan artifak atau jejak pada RAM langsung. Alat ini, yang datang secara lalai di CAINE dan Kali Linux, dapat membawa kita ke maklumat yang berguna setelah kejadian pada peranti, seperti proses apa yang sedang berjalan, atau sedang berjalan, semasa acara. Untuk memasang turun naik pada Debian anda boleh menjalankan
pasang turun naik -y
Laman web rasmi: https: // www.turun naikfoundation.org /
Chkrootkit
RootKit adalah perisian berniat jahat yang dipasang secara tempatan atau jarak jauh pada peranti untuk memberikan akses tidak sah kepada penyerang, kita dapat melakukan perbandingan yang mengerikan antara rootkit dan server trojan walaupun terdapat sedikit perbezaan (RootKIts termasuk fungsi tambahan). RootKits dapat mengubahsuai fail sistem dan menghilangkan jejak pencerobohan yang tidak sah. Di sinilah ChkRooKit menganalisis binari untuk pengubahsuaian, log dan jejak lain yang boleh dikeluarkan oleh penceroboh. Di Debian, anda boleh mendapatkan chkrootkit dengan menjalankan:
pasang chkrootkit -y
Laman web rasmi: http: // www.chkrootkit.org /
Saya harap artikel ini berguna untuk menyedari forensik komputer tidak terhad kepada guru IT, sesiapa sahaja boleh melakukan forensik komputer dengan mudah dengan alat yang disebutkan di atas. Terus ikuti LinuxHint untuk mendapatkan lebih banyak petua dan kemas kini mengenai Linux.
