Forenzní analýza se v oblasti kybernetické bezpečnosti stává velmi důležitou pro detekci a ústupek zločinců Black Hat. Je nezbytné odstranit škodlivé zadní vrátka / malwares hackerů a vysledovat je zpět, aby se předešlo možným budoucím incidentům. V režimu Kali Forensics operační systém nepřipojuje žádný oddíl z pevného disku systému a nezanechává žádné změny ani otisky prstů na hostitelském systému.
Kali Linux přichází s předinstalovanými populárními forenzními aplikacemi a sadami nástrojů. Zde přezkoumáme některé slavné nástroje s otevřeným zdrojovým kódem přítomné v systému Kali Linux.
Hromadný extraktor
Bulk Extractor je bohatý nástroj, který umožňuje extrahovat užitečné informace, jako jsou čísla kreditních karet, názvy domén, adresy IP, e-maily, telefonní čísla a adresy URL, z důkazů pevných disků / souborů nalezených během vyšetřování forenzní analýzy. Je užitečný při analýze obrazu nebo malwaru, pomáhá také při kybernetickém vyšetřování a prolomení hesla. Vytváří seznamy slov na základě informací získaných z důkazů, které mohou pomoci při prolomení hesla.
Bulk Extractor je populární mezi ostatními nástroji kvůli své neuvěřitelné rychlosti, kompatibilitě s více platformami a důkladnosti. Je rychlý díky vícevláknovým funkcím a má schopnost skenovat jakýkoli typ digitálních médií, včetně HDD, SSD, mobilních telefonů, fotoaparátů, SD karet a mnoha dalších typů.
Bulk Extractor má následující skvělé funkce, díky nimž je výhodnější,
- Má grafické uživatelské rozhraní s názvem „Bulk Extractor Viewer“, které slouží k interakci s Bulk Extractor
- Má několik možností výstupu, jako je zobrazení a analýza výstupních dat v histogramu.
- Lze jej snadno automatizovat pomocí Pythonu nebo jiných skriptovacích jazyků.
- Dodává se s některými předem napsanými skripty, které lze použít k provedení dalšího skenování
- Je vícevláknový a může být rychlejší v systémech s více jádry CPU.
Použití: bulk_extractor [možnosti] imagefile
spouští hromadný extraktor a výstupy, aby vyprodukoval souhrn toho, co bylo kde nalezeno
Požadované parametry:
imagefile - soubor k rozbalení
nebo -R filedir - opakuje se prostřednictvím adresáře souborů
MÁ PODPORU PRO SOUBORY E01
MÁ PODPORU SOUBORŮ AFF
-o outdir - určuje výstupní adresář. Nesmí existovat.
bulk_extractor vytvoří tento adresář.
Možnosti:
-i - režim INFO. Udělejte rychlý náhodný vzorek a vytiskněte zprávu.
-b banner.txt- Přidat banner.obsah txt na začátek každého výstupního souboru.
-r alert_list.txt - soubor obsahující seznam výstrah funkcí, které je třeba upozornit
(může to být soubor funkcí nebo seznam globů)
(lze opakovat.)
-w stop_list.txt - soubor obsahující seznam stop funkcí (bílý seznam
(může to být soubor funkcí nebo seznam globů) s
(lze opakovat.)
-F
-F
výsledky jdou do nálezu.txt
... snip ..
Příklad použití
[chráněno e-mailem]: ~ # bulk_extractor -o výstupní tajemství.obr
Pitva
Autopsy je platforma, kterou používají kybernetičtí vyšetřovatelé a donucovací orgány k provádění a hlášení forenzních operací. Kombinuje mnoho jednotlivých nástrojů, které se používají pro forenzní a zotavovací účely, a poskytuje jim grafické uživatelské rozhraní.
Autopsy je open source, bezplatný produkt napříč platformami, který je k dispozici pro Windows, Linux a další operační systémy založené na UNIXu. Pitva může vyhledávat a vyšetřovat data z pevných disků různých formátů včetně EXT2, EXT3, FAT, NTFS a dalších.
Jeho použití je snadné a není třeba jej instalovat v systému Kali Linux, protože je dodáván s předinstalovaným a předkonfigurovaným.
Dumpzilla
Dumpzilla je multiplatformní nástroj příkazového řádku napsaný v jazyce Python 3, který se používá k výpisu informací souvisejících s forenzní činností z webových prohlížečů. Neextrahuje data ani informace, pouze je zobrazuje v terminálu, který lze pipovat, třídit a ukládat do souborů pomocí příkazů operačního systému. V současné době podporuje pouze prohlížeče založené na Firefoxu, jako je Firefox, Seamonkey, Iceweasel atd.
Dumpzilla může získat následující informace z prohlížečů
- Může zobrazit živé surfování uživatele na kartách / v okně.
- Stahování uživatelů, záložky a historie.
- Webové formuláře (vyhledávání, e-maily, komentáře…).
- Cache / miniatury dříve navštívených webů.
- Doplňky / rozšíření a použité cesty nebo adresy URL.
- Hesla uložená v prohlížeči.
- Soubory cookie a údaje o relaci.
Použití: python dumpzilla.py browser_profile_directory [Možnosti]
Možnosti:
--Vše (Ukazuje vše kromě dat DOM. Neextrahuje miniatury ani HTML 5 offline)
--Cookies [-showdom -domain
-vytvořit
--Oprávnění [-host
--Stahování [-rozsah
--Formuláře [-hodnota
--Historie [-url
-frekvence]
--Záložky [-range_bookmarks
... snip ..
Rámec digitální forenzní analýzy - DFF
DFF je nástroj pro obnovu souborů a vývojová platforma Forensics napsaná v Pythonu a C++. Má sadu nástrojů a skriptů s příkazovým řádkem i grafickým uživatelským rozhraním. Používá se k provádění forenzního vyšetřování a ke shromažďování a hlášení digitálních důkazů.
Je snadno použitelný a mohou jej použít jak Cyber Professionals, tak nováčci ke shromažďování a uchování digitálních forenzních informací. Zde probereme některé z jeho dobrých vlastností
- Může provádět forenzní a zotavení na místních i vzdálených zařízeních.
- Příkazový řádek i grafické uživatelské rozhraní s grafickými pohledy a filtry.
- Může obnovit oddíly a disky virtuálních strojů.
- Kompatibilní s mnoha souborovými systémy a formáty včetně Linux a Windows.
- Může obnovit skryté a smazané soubory.
- Dokáže obnovit data z dočasné paměti, jako je Network, Process atd
DFF
Digitální forenzní rámec
Použití: / usr / bin / dff [možnosti]
Možnosti:
-v --version zobrazí aktuální verzi
-g - grafické spuštění grafického rozhraní
-b --batch = FILENAME provede dávku obsaženou v FILENAME
-l --language = LANG použít LANG jako jazyk rozhraní
-h --help zobrazí tuto nápovědu
-d --debug přesměruje IO na systémovou konzolu
--výřečnost = LEVEL nastavuje úroveň výřečnosti při ladění [0-3]
-c --config = FILEPATH použít konfigurační soubor z FILEPATH
Především
Foremost je rychlejší a spolehlivější nástroj pro obnovení založený na příkazovém řádku, který umožňuje získat ztracené soubory ve Forensics Operations. Foremost má schopnost pracovat na obrázcích generovaných dd, Safeback, Encase atd., Nebo přímo na disku. Přední uživatelé mohou obnovit soubory exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar a mnoho dalších.
[chráněno e-mailem]: ~ # foremost -hnejpřednější verze x.X.x Jesse Kornblum, Kris Kendall a Nick Mikus.
$ foremost [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - zobrazení informací o autorských právech a ukončení
-t - zadejte typ souboru. (-t jpeg, pdf…)
-d - zapnout nepřímou detekci bloků (pro souborové systémy UNIX)
-i - zadejte vstupní soubor (výchozí je standardní)
-a - Napište všechny záhlaví, neprovádějte žádnou detekci chyb (poškozené soubory)
-w - Zapisujte pouze auditovací soubor, na disk nezapisujte žádné detekované soubory
-o - nastavit výstupní adresář (výchozí je výstup)
-c - nastavit konfigurační soubor, který se má použít (výchozí je především.conf)
... snip ..
Příklad použití
[chráněno e-mailem]: ~ # foremost -t exe, jpeg, pdf, png -i file-image.dd
Zpracování: file-image.dd
... snip ..
Závěr
Kali má spolu se svými slavnými nástroji pro testování penetrace také celou záložku věnovanou „Forensics“. Má samostatný režim „Forensics“, který je k dispozici pouze pro Live USB, ve kterém nepřipojuje oddíly hostitele. Kali je díky své podpoře a lepší kompatibilitě trochu výhodnější než jiné forenzní distribuce, jako je CAINE.