Phenquestions
Úvod
Naposledy jsme se zabývali 14 forenzními nástroji, které jsou v Kali Linuxu, a vysvětlili jejich účel a speciální funkce. Dnes představíme 14 forenzních nástrojů pocházejících ze slavné knihovny „The Sleuth Kit“ (TSK), která je součástí aktualizace Kali Linuxu v roce 2020. Tyto nástroje najdete v rozevíracím seznamu Forensics pod názvem Sleuth Kit Suite tools v nabídce Kali Whisker.
blkcalc
Nástroj blkcalc je forenzní nástroj, který převádí nepřidělené diskové body na běžné diskové body. Tento program vytváří číslo bodu, které mapuje dva obrázky. Jeden z těchto obrázků je normální a druhý obsahuje nepřidělená čísla bodů prvního obrázku. Tento nástroj podporuje mnoho typů souborových systémů. Pokud není souborový systém definován na začátku, má blkcalc jedinečnou vlastnost metod autodetekce k nalezení typu souborového systému.
tsk_comparedir
Pomocí nástroje tsk_comparedir je obsah obrázku porovnán s obsahem srovnávacího adresáře. Toto je nejlepší nástroj ve fázi testování pro identifikaci rootkitů (škodlivý kód nebo soubory). Test rootkit se provádí porovnáním obsahu místního adresáře s lokálním surovým zařízením. Tyto rootkity nejsou při přístupu a čtení ze surového zařízení skryté.
tsk_gettimes
Forskický nástroj tsk_gettimes je založen na knihovně sleuth kit. Tento nástroj shromažďuje časy MAC (části metadat systému souborů) ze zadaného obrazu disku a převádí časy do souboru těla. Nástroj tsk_gettimes zkoumá každý systém souborů v diskové oblasti nebo obrazu a zpracovává data uvnitř. Výstupem tohoto nástroje jsou obrazová data disku ve formátu MAC časového těla, která lze poté použít jako vstup do systému pro generování chronologie aktivity souboru. Data se poté vytisknou jako soubor pomocí příkazu STDOUT.
blkcat
Nástroj blkcat je rychlý a efektivní forenzní nástroj zabalený uvnitř Kali. Účelem tohoto nástroje je zobrazit obsah dat uložených v obrazu disku systému souborů. Výstup zobrazuje počet datových jednotek, počínaje hlavní adresou a výtisky jednotky, do různých formátů, které lze specifikovat a třídit. Ve výchozím nastavení je výstupní formát surový a nazývá se také dcat.
tsk_loaddb
Nástroj tsk_loaddb načte metadata z obrazu disku do databáze SQLite, což je použitelná databáze pro analýzu jinými softwarovými nástroji. Pro snadný přístup je databáze uložena v adresáři obrázků. Tento nástroj podporuje mnoho souborových systémů a může vypočítat hodnotu hash MD5 pro každý soubor.
blkstat
Nástroj sleuth kit blkstat zobrazuje všechny informace týkající se datových jednotek souborového systému. Tento nástroj vrací data o stavu alokace bloku nebo sektoru souborového systému. Tento nástroj může používat příkaz addr, který zobrazuje statistiky části dat, a také se nazývá dstat.
najít
Nástroj ffind používá inode k vyhledání názvu adresáře nebo souboru v obrazu disku. Soubory přiřazené identifikátoru souboru inode na diskové oblasti mají názvy; ve výchozím nastavení tento nástroj vrátí pouze jméno, které najde. Nástroj ffind může dokonce najít odstraněné názvy souborů, což je speciální funkce tohoto nástroje. Kromě toho může nástroj ffind také najít více názvů souborů.
hfind
Nástroj hfind vyhledává hodnoty hash v hašovacích databázích. Hodnoty hash se prohledávají pomocí binárního vyhledávacího algoritmu. Účelem použití tohoto algoritmu je umožnit uživatelům snadno vytvářet hashovací databáze a rychle identifikovat soubor, ať už je známý nebo neznámý. Tento nástroj používá knihovnu NSRL a vrací md5sum. Tento nástroj je velmi efektivní, protože vytváří indexový soubor, který je již seřazený a má položky s pevnou délkou, což usnadňuje rychlé vyhledávání.
fls
Název fls zahrnuje výraz „ls“, což je zkratka pro vypsání obsahu složky. Nástroj fls uvádí všechny názvy souborů a adresářů v obrazovém souboru a může dokonce zobrazit názvy souborů, které byly nedávno odstraněny. Pokud identifikátor souboru nebo inode není použit, použije se kořenový adresář.
mmcat
Nástroj mmcat je forenzní nástroj, který vrací obsah oddílu pomocí funkce tisku. Tento nástroj extrahuje všechna data v oddílu do samostatného souboru.
najít
Tento nástroj vyhledá binární podpis v souboru. Tento binární podpis se nazývá hex_signature, který je přítomen v každém souboru. Tento nástroj lze použít k vyhledání ztracených superbloků, oddílů nebo obrazových tabulek a zaváděcích sektorů. K nalezení binárního podpisu by měl být použit hexadecimální formát.
pokud ano
Tento nástroj vyhledává strukturu surových dat souboru, který je přidělen v konkrétní diskové jednotce nebo v názvu souboru. Někdy může být kterákoli z těchto struktur metadat nepřidělena, ale tento nástroj bude i nadále získávat výsledky.
třídič
Nástroj pro třídění je skriptovací nástroj „perl“, který provádí třídění v systému souborů a uspořádává jej do přidělených a nepřidělených souborů na základě typu souboru. Tento nástroj spustí příkaz pro každý soubor a seřadí soubory podle konfiguračních souborů. Mezi typy souborů patří skryté soubory, soubory hash pro hašovací databáze, soubory známé jako dobré a ty, které je třeba změnit. Použité konfigurační soubory jsou ve výchozím nastavení převzaty z místa, kde je nástroj nainstalován, ale toto lze změnit rozhodnutími za běhu.
tsk_recover
Tento nástroj přenáší soubory z diskové oblasti do místního kořenového adresáře. Obnovené soubory jsou ve výchozím nastavení pouze nepřidělené soubory. Pomocí určitých příkazů lze exportovat všechny soubory.
Závěr
Těchto 14 nástrojů je dodáváno s živým Kali Linuxem i instalačními obrazy a jsou open-source a volně dostupné. Tyto nástroje najdete v nabídce Kali whisker ve složce s názvem Sleuth Kit Suite. Tyto nástroje dostávají časté aktualizace od TSK pro opravy drobných chyb.
