Phenquestions
Pitva
Autopsy, ktorá je štandardne dodávaná v systémoch CAINE a Kali Linux, považujem za prvý nástroj predstavený v oblasti forenznej diagnostiky, pretože má grafické a intuitívne rozhranie na správu počítačových forenzných nástrojov. Autopsia optimalizuje proces pomocou viacerých jadier procesora, zatiaľ čo beží na pozadí, a vopred vás informuje, či proces povedie k pozitívnemu výsledku. Autopsy možno tiež použiť ako grafické rozhranie pre rôzne nástroje príkazového riadku, podporuje rozšírenia pre integráciu s nástrojmi tretích strán, napríklad PhotoRec, ktorý je už v systéme LinuxHint k dispozícii na vylepšenie a pridanie funkcií.
Ako už bolo povedané, štandardne je dodávaný s používateľmi systémov Kali, Debian a Ubuntu, ktorí môžu získať Autopsy spustením:
apt nainštalovať pitvu -y
Oficiálna webová stránka: https: // www.sleuthkit.org / pitva /
CAINE (počítačom podporované vyšetrovacie prostredie)
CAINE je distribúcia založená na systéme Ubuntu Linux špeciálne navrhnutá pre počítačovú forenznú analýzu. Štandardne je dodávaná s programom Autopsy, ktorý pre používateľa vytvára veľmi priateľské prostredie. CAINE je skvelým pomocníkom ako OS, pretože štandardne uplatňuje bežné forenzné postupy, ako je ochrana pamäťových zariadení pred poškodením alebo prepísaním počas procesu forenznej kontroly.
CAINE je najnovšia distribúcia systému Linux, ktorá sa odporúča začať s počítačovou forenznou analýzou.
Oficiálna webová stránka: https: // www.caine-live.sieť /
P0f
P0f je analyzátor interakcie medzi rôznymi zariadeniami prostredníctvom sietí. P0f je schopný identifikovať OS a softvér používaný rôznymi zariadeniami pripojenými v pasívnom režime, namiesto odosielania paketov na analýzu odpovede P0f zachytáva iba pakety na neskoršiu analýzu, preto môže viesť pri snímaní odtlačkov prstov k lepším výsledkom ako Nmap. Praktické použitie protokolu P0f môže zahŕňať detekciu útočníka počas prebiehajúcej relácie testovania, sledovanie siete a ďalšie informácie o pripojeniach, aby bolo možné nastaviť správne bezpečnostné opatrenia. P0f nebol dlho aktualizovaný a vrátil sa ako P03 s podporou moderného OS a softvéru. V budúcom článku budeme sledovať útočníkov pomocou rôznych nástrojov vrátane P0f.
Používatelia Debianu a Ubuntu si môžu nainštalovať P0f spustením:
apt nainštalovať p0f -y
Oficiálna webová stránka: http: // lcamtuf.coredump.cx / p0f3 /
Dumpzilla
Počas vyšetrovania trestného činu je analýza aktivít prehliadania jedným z prvých protokolových krokov. Ako už bolo povedané, program Autopsy nám umožňuje povoliť rozšírenia na preskúmanie aktivity používateľa v prehliadaní. Dumpzilla je nástroj zameraný špeciálne na obnovu údajov o prehliadaní z prehľadávačov Mozilla Firefox alebo derivátov, ako sú Iceweasel alebo Seamonkey. Dumpzilla nám môže poskytnúť veľa cenných informácií, ako sú používateľské mená, heslá, história prehliadania a akékoľvek ďalšie informácie uložené v súboroch cookie alebo v predvoľbách používateľa. Napriek tomu, že je veľmi špecifický, odporúča sa Dumpzilla proti cieľu s Firefoxom, napriek tomu, že nebol aktualizovaný posledné dva roky.
Dumpzilla nie je zahrnutá v predvolených úložiskách, môžete ju získať z: https: // github.sk / Busindre / dumpzilla
Oficiálna webová stránka: https: // www.dumpzilla.org
Volatilita
Volatilita nám umožňuje preskúmať živú pamäť RAM zariadenia, čo znamená informácie, ktoré neboli uložené na pevnom disku, ale zanechali na živej pamäti RAM artefakty alebo stopy. Tento nástroj, ktorý je štandardne dodávaný v systémoch CAINE aj Kali Linux, nás môže viesť k užitočným informáciám po incidente na zariadení, napríklad o tom, aké procesy bežali alebo prebiehajú počas udalosti. Ak chcete nainštalovať volatilitu na Debian, môžete spustiť
apt nainštalovať volatilitu -y
Oficiálna webová stránka: https: // www.nadácia volatility.org /
Chkrootkit
RootKit je škodlivý softvér nainštalovaný lokálne alebo vzdialene na zariadení, ktorý má útočníkovi umožniť nelegitímny prístup. Môžeme urobiť groteskné porovnanie medzi rootKitmi a trójskymi servermi aj napriek malým rozdielom (RootKIts obsahujú ďalšie funkcie). RootKits môže upravovať systémové súbory a odstraňovať stopy nelegitímnych prienikov. Tu prichádza ChkRooKit s analýzou binárnych súborov na modifikácie, protokoly a ďalšie stopy, ktoré by mohol narušiteľ odstrániť. V Debiane môžete získať chkrootkit spustením:
apt nainštalujte chkrootkit -y
Oficiálna webová stránka: http: // www.chkrootkit.org /
Dúfam, že vám tento článok bol užitočný na to, aby ste si uvedomili, že počítačová forenzná analýza sa neobmedzuje iba na IT guru. Ktokoľvek môže počítačovú forenznú analýzu ľahko vykonať pomocou nástrojov uvedených vyššie. Ak chcete získať ďalšie tipy a aktualizácie pre systém Linux, sledujte stránku LinuxHint.
