Forenzná analýza sa stáva v kybernetickej bezpečnosti veľmi dôležitou pri odhaľovaní a spätnom sledovaní zločincov Black Hat. Je nevyhnutné odstrániť hackerské škodlivé zadné vrátka / malware a vysledovať ich späť, aby sa zabránilo možným budúcim incidentom. V režime Forensics spoločnosti Kali operačný systém nepripojuje žiadny oddiel z pevného disku systému a nezanecháva na hostiteľskom systéme žiadne zmeny ani odtlačky prstov.
Kali Linux je dodávaný s predinštalovanými populárnymi forenznými aplikáciami a sadami nástrojov. Tu si pozrieme niekoľko slávnych nástrojov s otvoreným zdrojom, ktoré sú súčasťou systému Kali Linux.
Hromadný extraktor
Bulk Extractor je všestranný nástroj, ktorý dokáže extrahovať užitočné informácie, ako sú čísla kreditných kariet, názvy domén, adresy IP, e-mailové adresy, telefónne čísla a adresy URL, z dôkazov pevných diskov / súborov nájdených počas forenzného vyšetrovania. Je užitočný pri analýze obrazu alebo škodlivého softvéru, pomáha tiež pri kybernetickom vyšetrovaní a prelomení hesla. Vytvára zoznamy slov na základe informácií získaných z dôkazov, ktoré môžu pomôcť pri prelomení hesla.
Bulk Extractor je obľúbený medzi ostatnými nástrojmi kvôli svojej neuveriteľnej rýchlosti, kompatibilite s viacerými platformami a dôkladnosti. Je rýchly vďaka svojim vlastnostiam s viacerými vláknami a má schopnosť skenovať akýkoľvek typ digitálnych médií, ktoré zahŕňajú pevné disky, disky SSD, mobilné telefóny, fotoaparáty, karty SD a mnoho ďalších typov.
Program Bulk Extractor má nasledujúce skvelé funkcie, vďaka ktorým je ešte výhodnejší,
- Má grafické používateľské rozhranie s názvom „Bulk Extractor Viewer“, ktoré sa používa na interakciu s programom Bulk Extractor
- Má niekoľko možností výstupu, ako je zobrazenie a analýza výstupných údajov v histograme.
- Môže sa ľahko automatizovať pomocou Pythonu alebo iných skriptovacích jazykov.
- Dodáva sa s niekoľkými vopred napísanými skriptmi, ktoré je možné použiť na ďalšie skenovanie
- Je viacvláknový a môže byť rýchlejší v systémoch s viacerými jadrami CPU.
Použitie: bulk_extractor [options] imagefile
beží hromadný extraktor a výstupy na štandardné zhrnutie toho, čo sa kde našlo
Požadované parametre:
imagefile - súbor, ktorý sa má extrahovať
alebo -R filedir - rekurz cez adresár súborov
PODPORUJE SÚBORY E01
PODPORUJE SÚBORY AFF
-o outdir - určuje výstupný adresár. Nesmie existovať.
bulk_extractor vytvorí tento adresár.
Možnosti:
-i - režim INFO. Urobte rýchlu náhodnú vzorku a vytlačte správu.
-b banner.txt- Pridať banner.obsah txt na začiatok každého výstupného súboru.
-r alert_list.txt - súbor obsahujúci zoznam upozornení na funkcie, ktoré treba upozorniť
(môže to byť súbor funkcií alebo zoznam glóbusov)
(možno opakovať.)
-w stop_list.txt - súbor obsahujúci zoznam zastavených funkcií (biely zoznam
(môže to byť súbor funkcií alebo zoznam glóbusov) s
(možno opakovať.)
-F
-f
výsledky sa nájdu.TXT
... snip ..
Príklad použitia
[chránené e-mailom]: ~ # bulk_extractor -o výstupné tajomstvo.obr
Pitva
Autopsy je platforma, ktorú používajú kybernetickí vyšetrovatelia a orgány činné v trestnom konaní na vykonávanie a hlásenie forenzných operácií. Je kombináciou mnohých individuálnych nástrojov, ktoré sa používajú na forenzné účely a obnovu, a poskytuje im grafické užívateľské rozhranie.
Autopsy je open source, bezplatný produkt naprieč platformami, ktorý je k dispozícii pre systémy Windows, Linux a ďalšie operačné systémy založené na systéme UNIX. Pitva môže vyhľadávať a vyšetrovať údaje z pevných diskov viacerých formátov vrátane EXT2, EXT3, FAT, NTFS a ďalších.
Ľahko sa používa a nie je potrebné inštalovať do systému Kali Linux, pretože sa dodáva s predinštalovanými a predkonfigurovanými.
Dumpzilla
Dumpzilla je nástroj pre príkazový riadok naprieč platformami napísaný v jazyku Python 3, ktorý sa používa na výpis informácií súvisiacich s forenznou formou z webových prehľadávačov. Neextrahuje údaje ani informácie, iba ich zobrazí v termináli, ktorý je možné pipetovať, triediť a ukladať do súborov pomocou príkazov operačného systému. V súčasnosti podporuje iba prehliadače založené na prehliadači Firefox, ako sú Firefox, Seamonkey, Iceweasel atď.
Dumpzilla môže získať nasledujúce informácie z prehľadávačov
- Môže zobrazovať živé surfovanie používateľa na kartách / v okne.
- Súbory na stiahnutie, záložky a história používateľov.
- Webové formuláre (vyhľadávania, e-maily, komentáre ...).
- Vyrovnávacia pamäť / miniatúry predtým navštívených webov.
- Doplnky / rozšírenia a použité cesty alebo adresy URL.
- Heslá uložené v prehliadači.
- Súbory cookie a údaje o relácii.
Použitie: python dumpzilla.py browser_profile_directory [Možnosti]
Možnosti:
--Všetko (zobrazuje všetko okrem údajov modelu DOM. Neextrahuje miniatúry ani HTML 5 offline)
--Cookies [-showdom -domain
-vytvoriť
--Povolenia [-host
--Súbory na stiahnutie [-rozsah
--Formuláre [-hodnota
--História [-url
-frekvencia]
--Záložky [-rozsah_záložiek
... snip ..
Rámec digitálnej forenznej analýzy - DFF
DFF je nástroj na obnovu súborov a vývojová platforma Forensics napísaná v jazykoch Python a C++. Má sadu nástrojov a skriptov s príkazovým riadkom aj grafickým užívateľským rozhraním. Používa sa na vykonávanie forenzného vyšetrovania a na zhromažďovanie a hlásenie digitálnych dôkazov.
Ľahko sa používa a môžu ho použiť kybernetickí profesionáli i nováčikovia na zhromažďovanie a uchovávanie digitálnych forenzných informácií. Tu si povieme niečo o jeho dobrých vlastnostiach
- Dokáže vykonať forenznú analýzu a zotavenie na miestnych aj vzdialených zariadeniach.
- Príkazový riadok aj grafické používateľské rozhranie s grafickým zobrazením a filtrami.
- Môže obnovovať oddiely a disky virtuálnych strojov.
- Kompatibilné s mnohými súborovými systémami a formátmi vrátane Linux a Windows.
- Dokáže obnoviť skryté a odstránené súbory.
- Dokáže obnoviť údaje z dočasnej pamäte, napríklad Network, Process atď
DFF
Digitálny forenzný rámec
Použitie: / usr / bin / dff [možnosti]
Možnosti:
-v --verzia zobrazuje aktuálnu verziu
-g - grafické spustenie grafického rozhrania
-b --batch = FILENAME vykoná dávku obsiahnutú v FILENAME
-l --language = LANG používa LANG ako jazyk rozhrania
-h --help zobraziť túto pomocnú správu
-d --debug presmeruje IO na systémovú konzolu
--výrečnosť = LEVEL nastavuje úroveň výrečnosti pri ladení [0-3]
-c --config = FILEPATH použije konfiguračný súbor z FILEPATH
Predovšetkým
Foremost je rýchlejší a spoľahlivejší nástroj na obnovenie pomocou príkazového riadku, pomocou ktorého získate späť stratené súbory vo Forensics Operations. Foremost má schopnosť pracovať na obrázkoch generovaných programami dd, Safeback, Encase atď. Alebo priamo na disku. Najskôr je možné obnoviť súbory typu exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar a mnoho ďalších.
[chránené e-mailom]: ~ # foremost -hnajprednejšia verzia x.X.x Jesse Kornblum, Kris Kendall a Nick Mikus.
$ popredný [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - zobrazenie informácií o autorských právach a ukončenie
-t - zadajte typ súboru. (-t jpeg, pdf ...)
-d - zapnúť nepriamu detekciu blokov (pre súborové systémy UNIX)
-i - zadajte vstupný súbor (predvolené je štandardné)
-a - Napíšte všetky hlavičky, nevykonávajte detekciu chýb (poškodené súbory)
-w - Zapisujte iba kontrolný súbor, na disk nezapisujte žiadne zistené súbory
-o - nastaví výstupný adresár (predvolený je výstup)
-c - nastaví konfiguračný súbor na použitie (predvolené je predovšetkým.conf)
... snip ..
Príklad použitia
[chránené e-mailom]: ~ # foremost -t exe, jpeg, pdf, png -i obraz súboru.dd
Spracovanie: súborový obrázok.dd
... snip ..
Záver
Kali má spolu so svojimi slávnymi nástrojmi na testovanie prieniku aj celú kartu venovanú „forenznej“. Má samostatný režim „Forenzný“, ktorý je k dispozícii iba pre živé USB disky, v ktorých sa nepripojujú oddiely hostiteľa. Kali je kvôli svojej podpore a lepšej kompatibilite trochu výhodnejší oproti iným forenzným distribúciám, ako je napríklad CAINE.