Phenquestions
Obrázok 1: Kali Linux
Spravidla sa pri vykonávaní forenznej analýzy v počítačovom systéme musí zabrániť akejkoľvek činnosti, ktorá môže zmeniť alebo upraviť analýzu údajov systému. Ostatné moderné desktopy zvyčajne zasahujú do tohto cieľa, ale v prostredí Kali Linux prostredníctvom ponuky zavádzania môžete povoliť špeciálny forenzný režim.
Nástroj Binwalk:
Binwalk je forenzný nástroj v Kali, ktorý vyhľadáva v zadanom binárnom obraze spustiteľný kód a súbory. Identifikuje všetky súbory, ktoré sú vložené do každého obrazu firmvéru. Používa veľmi efektívnu knižnicu známu ako „libmagic“, ktorá triedi magické podpisy v súborovom nástroji Unix.
Obrázok 2: Nástroj Binwalk CLI
Nástroj na hromadnú extrakciu:
Nástroj na hromadnú extrakciu extrahuje čísla kreditných kariet, odkazy URL, e-mailové adresy, ktoré sa používajú ako digitálne dôkazy. Tento nástroj umožňuje identifikovať malware a útoky narušenia, vyšetrovanie identity, počítačové zraniteľnosti a prelomenie hesla. Špecialitou tohto nástroja je, že pracuje nielen s normálnymi údajmi, ale pracuje aj s komprimovanými údajmi a neúplnými alebo poškodenými údajmi.
Obrázok 3: Nástroj príkazového riadku Hromadný extraktor
Nástroj HashDeep:
Nástroj hashdeep je upravená verzia hashovacieho nástroja dc3dd navrhnutá špeciálne pre digitálnu forenznú analýzu. Tento nástroj obsahuje automatické hašovanie súborov, t.j.e., sha-1, sha-256 a 512, tiger, whirlpool a md5. Automaticky sa zapíše súbor protokolu chýb. Správy o pokroku sa generujú pri každom výstupe.
Obrázok 4: Nástroj rozhrania HashDeep CLI.
Záchranný nástroj Magic:
Magiccue je forenzný nástroj, ktorý vykonáva skenovacie operácie na zablokovanom zariadení. Tento nástroj používa magické bajty na extrahovanie všetkých známych typov súborov zo zariadenia. Týmto sa otvoria zariadenia na skenovanie a čítanie typov súborov a zobrazí sa možnosť obnovenia súborov, ktoré ste odstránili alebo poškodili. Môže pracovať s každým súborovým systémom.
Obrázok 5: Nástroj rozhrania príkazového riadku Magic Rescue
Nástroj skalpel:
Tento forenzný nástroj vyrezáva všetky súbory a indexuje tie aplikácie, ktoré sú spustené v systémoch Linux a Windows. Nástroj skalpel podporuje vykonávanie viacerých vlákien na viacerých základných systémoch, čo pomáha pri rýchlych vykonaniach. Rezba súborov sa vykonáva vo fragmentoch, ako sú regulárne výrazy alebo binárne reťazce.
Obrázok 6: Nástroj pre súdne rezbárstvo skalpelom
Nástroj Scrounge-NTFS:
Táto forenzná pomôcka pomáha pri načítaní údajov z poškodených diskov alebo oddielov NTFS. Zachraňuje údaje z poškodeného súborového systému do nového funkčného súborového systému.
Obrázok 7: Nástroj forenznej obnovy údajov
Nástroj Guymager:
Tento forenzný nástroj sa používa na získavanie médií pre forenzné snímky a má grafické užívateľské rozhranie. Vďaka svojmu viacvláknovému spracovaniu údajov a kompresii je to veľmi rýchly nástroj. Tento nástroj podporuje aj klonovanie. Generuje ploché, AFF a EWF obrázky. Používanie používateľského rozhrania je veľmi jednoduché.
Obrázok 8: Forenzná utilita Guymager GUI
Nástroj Pdfid:
Tento forenzný nástroj sa používa v súboroch pdf. Nástroj prehľadá súbory PDF a vyhľadá konkrétne kľúčové slová, čo vám umožní po spustení identifikovať spustiteľné kódy. Tento nástroj rieši základné problémy spojené so súbormi pdf. Podozrivé súbory sa potom analyzujú pomocou nástroja na analýzu súborov PDF.
Obrázok 9: Obslužný program rozhrania príkazového riadku Pdfid
Nástroj na analýzu súborov PDF:
Tento nástroj je jedným z najdôležitejších forenzných nástrojov pre súbory PDF. analyzátor pdf analyzuje dokument PDF a rozlišuje dôležité prvky použité pri jeho analýze. Tento nástroj tento dokument PDF nevytvára.
Obrázok 10: Forenzný nástroj Pdf-parser CLI
Nástroj Peepdf:
Nástroj v jazyku Python, ktorý skúma dokumenty vo formáte PDF a zisťuje, či je neškodný alebo deštruktívny. Poskytuje všetky prvky potrebné na vykonávanie analýzy vo formáte PDF v jednom balíku. Zobrazuje podozrivé entity a podporuje rôzne kódovania a filtre. Môže analyzovať aj šifrované dokumenty.
Obrázok 11: Nástroj Peepdf python na vyšetrovanie vo formáte PDF.
Nástroj pitvy:
Pitva je súčasťou jedného forenzného nástroja pre rýchlu obnovu dát a filtrovanie hashov. Tento nástroj vyrezáva odstránené súbory a médiá z neprideleného priestoru pomocou programu PhotoRec. Môže tiež extrahovať multimédiá s rozšírením EXIF. Autopsia prehľadá indikátor kompromisu pomocou knižnice STIX. Je k dispozícii v príkazovom riadku aj v grafickom rozhraní.
Obrázok 12: Pitva, všetko v jednom balíku forenzných pomôcok
nástroj img_cat:
Nástroj img_cat poskytuje výstupný obsah obrazového súboru. Obnovené obrazové súbory budú obsahovať metaúdaje a vložené údaje, čo vám umožní previesť ich na nespracované údaje. Tieto nespracované údaje pomáhajú pri pripájaní výstupu na výpočet hodnoty hash MD5.
Obrázok 13: Img_cat vložené údaje na obnovu a prevod pôvodných údajov.
Nástroj ICAT:
ICAT je nástroj Sleuth Kit (TSK), ktorý vytvára výstup súboru na základe jeho identifikátora alebo čísla inódu. Tento forenzný nástroj je ultrarýchly a otvára pomenované obrázky súborov a kopíruje ich na štandardný výstup so špecifickým číslom inódu. Inode je jedna z dátových štruktúr systému Linux, ktorá uchováva údaje a informácie o súbore Linux, ako sú napríklad vlastníctvo, veľkosť a typ súboru, práva na zápis a čítanie.
Obrázok 14: Nástroj rozhrania založený na konzole ICAT
Nástroj Srch_strings:
Tento nástroj vyhľadáva životaschopné reťazce ASCII a Unicode v binárnych údajoch a potom vytlačí ofsetový reťazec nájdený v týchto údajoch. Nástroj srch_strings extrahuje a obnoví reťazce prítomné v súbore a dá offsetový bajt, ak je vyvolaný.
Obrázok 15: Forenzný nástroj na vyhľadávanie reťazcov
Záver:
Týchto 14 nástrojov sa dodáva so živým Kali Linuxom a obrázkami inštalačných programov a je otvorený a voľne dostupný. V prípade staršej verzie programu Kali by som navrhol aktualizáciu na najnovšiu verziu, aby ste získali tieto nástroje priamo. Existuje mnoho ďalších forenzných nástrojov, ktorým sa budeme venovať ďalej. Tu si pozrite časť 2 tohto článku.
