Phenquestions
Úvod
Naposledy sme sa venovali 14 forenzným nástrojom, ktoré sú prítomné v systéme Kali Linux, a vysvetlili sme ich účel a špeciálne schopnosti. Dnes predstavíme 14 forenzných nástrojov, ktoré pochádzajú zo slávnej knižnice „The Sleuth Kit“ (TSK), ktorá je súčasťou aktualizácie Kali Linuxu v roku 2020. Tieto nástroje nájdete v rozbaľovacom zozname Súdneho dvora pod názvom Nástroje sady Sleuth Kit Suite v ponuke Kali Whisker.
blkcalc
Nástroj blkcalc je forenzný nástroj, ktorý prevádza nepridelené diskové body na bežné diskové body. Tento program vytvorí číslo bodu, ktoré mapuje dva obrázky. Jeden z týchto obrázkov je normálny a druhý obsahuje nepridelené čísla bodov prvého obrázka. Tento nástroj podporuje mnoho typov súborových systémov. Ak súborový systém nie je na začiatku definovaný, má blkcalc jedinečnú vlastnosť metód autodetekcie na vyhľadanie typu súborového systému.
tsk_comparedir
Pomocou nástroja tsk_comparedir sa porovnáva obsah obrázka s obsahom porovnávacieho adresára. Toto je najlepší nástroj vo fáze testovania na identifikáciu rootkitov (škodlivý kód alebo súbory). Test rootkitov sa vykonáva porovnaním obsahu lokálneho adresára s lokálnym nespracovaným zariadením. Tieto rootkity nie sú skryté pri prístupe a načítaní zo surového zariadenia.
tsk_gettimes
Súdny nástroj tsk_gettimes je založený na knižnici detských súprav. Tento nástroj zhromažďuje časy MAC (kúsky metadát súborového systému) zo zadaného obrazu disku a prevádza časy do súboru tela. Nástroj tsk_gettimes skúma každý súborový systém v diskovej oblasti alebo obraze a spracováva údaje vo vnútri. Výstupom tohto nástroja sú obrazové dáta disku vo formáte času MAC, ktoré sa potom môžu použiť ako vstup do systému na vygenerovanie chronológie aktivity súboru. Údaje sa potom tlačia ako súbor pomocou príkazu STDOUT.
blkcat
Nástroj blkcat je rýchly a efektívny forenzný nástroj zabalený vo vnútri Kali. Účelom tohto nástroja je zobraziť obsah údajov uložených v obraze disku súborového systému. Výstup zobrazuje počet dátových jednotiek, počnúc hlavnou adresou a výtlačkami jednotky, do rôznych formátov, ktoré je možné určiť a triediť. V predvolenom nastavení je výstupný formát nespracovaný a nazýva sa tiež dcat.
tsk_loaddb
Nástroj tsk_loaddb načíta metaúdaje z obrazu disku do databázy SQLite, čo je použiteľná databáza na analýzu inými softvérovými nástrojmi. Databáza je pre ľahký prístup uložená v adresári obrázkov. Tento nástroj podporuje mnoho súborových systémov a dokáže vypočítať hodnotu hash MD5 pre každý súbor.
blkstat
Nástroj sleuth kit blkstat zobrazuje všetky informácie týkajúce sa údajových jednotiek súborového systému. Tento nástroj vracia údaje o stave alokácie bloku alebo sektoru súborového systému. Tento nástroj môže používať príkaz addr, ktorý zobrazuje štatistické údaje, a nazýva sa tiež dstat.
nájsť
Nástroj ffind používa inode na vyhľadanie názvu adresára alebo súboru v obraze disku. Súbory priradené k identifikátoru inode súboru na diskovej oblasti majú názvy; v predvolenom nastavení tento nástroj vráti iba prvé nájdené meno. Nástroj ffind môže dokonca nájsť názvy odstránených súborov, čo je špeciálna funkcia tohto nástroja. Okrem toho môže nástroj ffind nájsť aj viac mien súborov.
hfind
Nástroj hfind vyhľadáva hašovacie hodnoty v hašovacích databázach. Hodnoty hash sa prehľadávajú pomocou binárneho vyhľadávacieho algoritmu. Účelom použitia tohto algoritmu je umožniť používateľom ľahko vytvárať hašovacie databázy a rýchlo identifikovať súbor, či už je známy alebo neznámy. Tento nástroj používa knižnicu NSRL a vracia md5sum. Tento nástroj je veľmi efektívny, pretože vytvára indexový súbor, ktorý je už zoradený a má položky pevnej dĺžky, čo umožňuje veľmi rýchle vyhľadávanie.
fls
Názov fls zahŕňa výraz „ls“, čo je skratka pre výpis obsahu priečinka. Nástroj fls zobrazuje všetky názvy súborov a adresárov v obrazovom súbore a môže dokonca zobraziť názvy súborov, ktoré boli nedávno odstránené. Ak sa nepoužíva identifikátor súboru alebo inode, použije sa koreňový adresár.
mmcat
Nástroj mmcat je forenzný nástroj, ktorý vracia obsah oddielu prostredníctvom funkcie tlače. Tento nástroj extrahuje všetky údaje v oddiele do samostatného súboru.
sigfind
Tento nástroj nájde binárny podpis v súbore. Tento binárny podpis sa nazýva hex_signature, ktorý je prítomný v každom súbore. Tento nástroj možno použiť na vyhľadanie stratených superblokov, oddielov alebo tabuliek obrázkov a bootovacích sektorov. Na nájdenie binárneho podpisu by sa mal použiť hexadecimálny formát.
nájdem
Tento nástroj vyhľadáva štruktúru nespracovaných údajov súboru, ktorý je alokovaný v konkrétnej diskovej jednotke alebo v názve súboru. Niekedy môže byť ktorákoľvek z týchto štruktúr metaúdajov nepridelená, ale tento nástroj bude stále získavať výsledky.
triedič
Nástroj na triedenie je skriptový nástroj „perl“, ktorý vykonáva triedenie v súborovom systéme, aby ho usporiadal do pridelených a nepridelených súborov na základe typu súboru. Tento nástroj spustí príkaz pre každý súbor a zoradí súbory podľa konfiguračných súborov. Medzi typy súborov patria skryté súbory, hašovacie súbory pre hašovacie databázy, súbory známe ako dobré a tie, ktoré by sa mali zmeniť. Použité konfiguračné súbory sa predvolene preberajú z miesta, kde je nástroj nainštalovaný, čo sa však dá zmeniť rozhodnutiami za behu.
tsk_recover
Tento nástroj prenáša súbory z diskovej oblasti do lokálneho koreňového adresára. Obnovené súbory sú predvolene iba nepridelené súbory. Pomocou určitých príkazov je možné exportovať všetky súbory.
Záver
Týchto 14 nástrojov sa dodáva so živým Kali Linuxom, ako aj s obrázkami inštalačných programov. Sú otvorené a voľne dostupné. Tieto nástroje nájdete v ponuke Kali whisker v priečinku s názvom Sleuth Kit Suite. Tieto nástroje dostávajú od TSK časté aktualizácie týkajúce sa drobných opráv chýb.
