Obrázek 1: Kali Linux
Obecně platí, že při provádění forenzní analýzy v počítačovém systému je třeba se vyhnout jakékoli činnosti, která může změnit nebo upravit analýzu dat systému. Jiné moderní desktopy obvykle zasahují do tohoto cíle, ale v systému Kali Linux prostřednictvím spouštěcí nabídky můžete povolit speciální forenzní režim.
Nástroj Binwalk:
Binwalk je forenzní nástroj v Kali, který prohledává zadaný binární obraz pro spustitelný kód a soubory. Identifikuje všechny soubory, které jsou vloženy do jakéhokoli obrazu firmwaru. Používá velmi účinnou knihovnu známou jako „libmagic“, která třídí magické podpisy v unixovém souborovém nástroji.
Obrázek 2: Nástroj Binwalk CLI
Nástroj pro hromadnou extrakci:
Nástroj pro hromadnou extrakci extrahuje čísla kreditních karet, odkazy URL, e-mailové adresy, které se používají jako digitální důkaz. Tento nástroj umožňuje identifikovat malware a útoky proti vniknutí, vyšetřování identity, kybernetické chyby zabezpečení a prolomení hesla. Specialitou tohoto nástroje je, že funguje nejen s normálními daty, ale funguje i na komprimovaná data a neúplná nebo poškozená data.
Obrázek 3: Nástroj příkazového řádku Bulk Extractor
Nástroj HashDeep:
Nástroj hashdeep je upravená verze hashovacího nástroje dc3dd navrženého speciálně pro digitální forenzní analýzu. Tento nástroj zahrnuje automatické hašování souborů, tj.E., sha-1, sha-256 a 512, tygr, whirlpool a md5. Soubor protokolu chyb je automaticky zapsán. Zprávy o pokroku se generují s každým výstupem.
Obrázek 4: Nástroj rozhraní HashDeep CLI.
Magický záchranný nástroj:
Magiccue je forenzní nástroj, který provádí skenovací operace na zablokovaném zařízení. Tento nástroj používá magické bajty k extrakci všech známých typů souborů ze zařízení. Otevře se zařízení pro skenování a čtení typů souborů a zobrazí se možnost obnovení souborů odstraněných nebo poškozených oblastí. Může fungovat s každým souborovým systémem.
Obrázek 5: Nástroj rozhraní příkazového řádku Magic Rescue
Nástroj skalpel:
Tento forenzní nástroj vyřezává všechny soubory a indexuje ty aplikace, které běží na Linuxu a Windows. Nástroj skalpel podporuje vícevláknové provádění na více jádrových systémech, což pomáhá při rychlých provádění. Řezání souborů se provádí ve fragmentech, jako jsou regulární výrazy nebo binární řetězce.
Obrázek 6: Nástroj pro forenzní řezbářství skalpelem
Nástroj Scrounge-NTFS:
Tento forenzní nástroj pomáhá při načítání dat z poškozených disků NTFS nebo diskových oddílů. Zachraňuje data z poškozeného systému souborů do nového pracovního systému souborů.
Obrázek 7: Nástroj pro forenzní obnovu dat
Nástroj Guymager:
Tento forenzní nástroj se používá k získávání médií pro forenzní snímky a má grafické uživatelské rozhraní. Díky svému vícevláknovému zpracování dat a kompresi je to velmi rychlý nástroj. Tento nástroj také podporuje klonování. Generuje ploché, AFF a EWF obrázky. Uživatelské rozhraní je velmi snadné.
Obrázek 8: Forenzní obslužný program Guymager GUI
Nástroj Pdfid:
Tento forenzní nástroj se používá v souborech PDF. Nástroj prohledává soubory PDF s ohledem na konkrétní klíčová slova, což vám umožňuje identifikovat spustitelné kódy při otevření. Tento nástroj řeší základní problémy spojené se soubory PDF. Podezřelé soubory jsou poté analyzovány pomocí nástroje pro analýzu souborů PDF.
Obrázek 9: Obslužný program rozhraní příkazového řádku Pdfid
Nástroj pro analýzu souborů PDF:
Tento nástroj je jedním z nejdůležitějších forenzních nástrojů pro soubory PDF. analyzátor PDF analyzuje dokument PDF a rozlišuje důležité prvky použité při jeho analýze a tento nástroj tento dokument PDF nevykreslí.
Obrázek 10: Forenzní nástroj CLI Pdf-parser
Nástroj Peepdf:
Pythonový nástroj, který zkoumá dokumenty PDF a zjišťuje, zda je neškodný nebo destruktivní. Poskytuje všechny prvky potřebné k provedení analýzy ve formátu PDF v jednom balíčku. Zobrazuje podezřelé entity a podporuje různá kódování a filtry. Může analyzovat také šifrované dokumenty.
Obrázek 11: Nástroj Peepdf python pro vyšetřování pdf.
Nástroj pitvy:
Pitva je vše v jednom forenzním nástroji pro rychlé obnovení dat a filtrování hash. Tento nástroj vyřezává odstraněné soubory a média z nepřiděleného prostoru pomocí aplikace PhotoRec. Může také extrahovat multimediální rozšíření EXIF. Autopsy vyhledává indikátor kompromisu pomocí knihovny STIX. Je k dispozici v příkazovém řádku i v grafickém uživatelském rozhraní.
Obrázek 12: Autopsy, vše v jednom balíčku forenzních nástrojů
nástroj img_cat:
Nástroj img_cat poskytuje výstupní obsah obrazového souboru. Obnovené obrazové soubory budou obsahovat metadata a vložená data, což vám umožní převést je na nezpracovaná data. Tato nezpracovaná data pomáhají při směrování výstupu k výpočtu hodnoty hash MD5.
Obrázek 13: Vložená data img_cat k obnovení a převodu surových dat.
Nástroj ICAT:
ICAT je nástroj Sleuth Kit (TSK), který vytváří výstup souboru na základě jeho identifikátoru nebo čísla inodu. Tento forenzní nástroj je ultrarychlý a otevírá pojmenované obrázky souborů a kopíruje je na standardní výstup se specifickým číslem inodu. Inode je jedna z datových struktur systému Linux, která ukládá data a informace o souboru Linux, jako je vlastnictví, velikost souboru a typ, oprávnění k zápisu a čtení.
Obrázek 14: Nástroj rozhraní ICAT založený na konzole
Nástroj Srch_strings:
Tento nástroj hledá životaschopné řetězce ASCII a Unicode uvnitř binárních dat a poté vytiskne offsetový řetězec nalezený v těchto datech. Nástroj srch_strings extrahuje a načte řetězce přítomné v souboru a při vyvolání poskytne offsetový bajt.
Obrázek 15: Forenzní nástroj pro vyhledávání řetězců
Závěr:
Těchto 14 nástrojů je dodáváno s živým a instalačním obrazem systému Kali Linux a jsou open-source a volně dostupné. V případě starší verze Kali bych navrhl aktualizaci na nejnovější verzi, abych tyto nástroje získal přímo. Existuje mnoho dalších forenzních nástrojů, kterým se budeme dále věnovat. Viz část 2 tohoto článku zde.