Forenzní

Nejlepší seznam počítačového forenzního softwaru

Nejlepší seznam počítačového forenzního softwaru
Poslední článek byl úvodem do počítačové forenzní analýzy vysvětlující jeho nejběžnější postupy. Tento článek je pokračováním úvodu k nejpopulárnějším a nejúčinnějším nástrojům k provádění běžných postupů počítačové forenzní analýzy.

Pitva

Autopsy, která je standardně dodávána na CAINE a Kali Linux, považuji za první nástroj, který byl zaveden do forenzní analýzy, protože je to grafické a intuitivní rozhraní pro správu počítačových forenzních nástrojů. Autopsy optimalizuje proces pomocí více jader procesoru při běhu na pozadí a může vám předem říci, zda proces povede k pozitivnímu výsledku. Autopsy lze také použít jako grafické rozhraní pro různé nástroje příkazového řádku, podporuje rozšíření pro integraci s nástroji třetích stran, jako je PhotoRec, který je již v systému LinuxHint vylepšen a přidán funkce.

Jak již bylo řečeno, ve výchozím nastavení je k dispozici pro uživatele Kali, Debian a Ubuntu mohou Autopsy získat spuštěním:

apt install pitva -y

Oficiální web: https: // www.sleuthkit.org / pitva /

CAINE (Computer Aided Investigative Environment)

CAINE je distribuce založená na Ubuntu Linux, speciálně navržená pro počítačovou forenzní analýzu, ve výchozím nastavení je dodávána s Autopsy, která pro uživatele vytváří velmi přátelské prostředí. CAINE je skvělý asistent jako OS, protože ve výchozím nastavení platí běžné forenzní postupy, jako je ochrana paměťových zařízení před poškozením nebo přepsáním během forenzního procesu.

CAINE je aktuální distribuce Linuxu, která je velmi doporučena pro začátek počítačové forenzní analýzy.

Oficiální web: https: // www.caine-live.síť/

P0f

P0f je analyzátor interakce mezi různými zařízeními prostřednictvím sítě. P0f je schopen identifikovat OS a software používaný různými zařízeními připojenými v pasivním režimu, místo aby odesílal pakety k analýze odpovědi P0f zachycuje pouze pakety pro pozdější analýzu, proto může při otisku prstu vést k lepším výsledkům než Nmap. Praktické použití P0f může zahrnovat detekci útočníka během probíhající relace testování, sledování sítě a další informace o připojení k nastavení správných bezpečnostních opatření. P0f nebyl dlouho aktualizován a vrátil se jako P03 s podporou moderního OS a softwaru. V budoucím článku budeme sledovat útočníky pomocí různých nástrojů včetně P0f.

Uživatelé systémů Debian a Ubuntu si mohou nainstalovat P0f spuštěním:

apt install p0f -y

Oficiální web: http: // lcamtuf.coredump.cx / p0f3 /

Dumpzilla

Během vyšetřování trestného činu je analýza aktivity procházení mezi prvními kroky protokolu. Jak bylo řečeno výše, Autopsy nám umožňuje povolit rozšíření k průzkumu aktivity procházení uživatele. Dumpzilla je nástroj zaměřený konkrétně na obnovu dat procházení z prohlížečů Mozilla Firefox nebo jejich derivátů jako Iceweasel nebo Seamonkey.  Dumpzilla nám může poskytnout mnoho cenných informací, jako jsou uživatelská jména, hesla, historie procházení a jakékoli informace uložené v souborech cookie nebo uživatelských preferencích. Navzdory skutečnosti, že se jedná o velmi specifický běh Dumpzilla proti cíli s Firefoxem, je doporučeno, přestože nebyl aktualizován za poslední dva roky.

Dumpzilla není zahrnuta ve výchozích úložištích, můžete ji získat z: https: // github.com / Busindre / dumpzilla

Oficiální web: https: // www.dumpzilla.org

Volatilita

Volatilita nám umožňuje zkoumat živou RAM zařízení, což znamená informace, které nebyly uloženy na pevném disku, ale zanechaly na živé RAM artefakty nebo stopy. Tento nástroj, který je ve výchozím nastavení dodáván jak v CAINE, tak v systému Kali Linux, nás může vést k užitečným informacím po incidentu na zařízení, například o tom, jaké procesy byly spuštěny nebo běží během události. Chcete-li nainstalovat volatilitu na Debian, můžete spustit

apt install volatility -y

Oficiální web: https: // www.založení volatility.org /

Chkrootkit

RootKit je škodlivý software nainstalovaný lokálně nebo vzdáleně na zařízení, který poskytuje neoprávněný přístup útočníkovi, můžeme provést groteskní srovnání mezi rootKity a trojskými servery i přes malé rozdíly (RootKIts obsahují další funkce). RootKits může upravit systémové soubory a odstranit stopy nelegitimních vniknutí. Tady přichází ChkRooKit s analýzou binárních souborů pro úpravy, protokoly a další stopy, které by mohl narušitel odstranit. Na Debianu můžete získat chkrootkit spuštěním:

apt install chkrootkit -y

Oficiální web: http: // www.chkrootkit.org /

Doufám, že vám tento článek připadá užitečný, abyste si uvědomili, že počítačová forenzní analýza není omezena na IT guru, kdokoli může počítačovou forenzní analýzu snadno provádět pomocí výše zmíněných nástrojů.  Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux.

Myš Kurzor při psaní v systému Windows 10 skáče nebo se pohybuje náhodně
Kurzor při psaní v systému Windows 10 skáče nebo se pohybuje náhodně
Pokud zjistíte, že kurzor myši skáče nebo se pohybuje sám, automaticky, náhodně při psaní v notebooku nebo počítači se systémem Windows, pak vám někte...
Myš Jak obrátit směr posouvání myši a touchpadu ve Windows 10
Jak obrátit směr posouvání myši a touchpadu ve Windows 10
Myš a Touchpadnejenže usnadňují výpočet, ale jsou efektivnější a méně časově náročné. Nemůžeme si představit život bez těchto zařízení, ale přesto je ...
Myš Jak změnit velikost, barvu a schéma kurzoru myši a kurzoru v systému Windows 10
Jak změnit velikost, barvu a schéma kurzoru myši a kurzoru v systému Windows 10
Ukazatel myši a kurzor ve Windows 10 jsou velmi důležité aspekty operačního systému. To lze říci i pro jiné operační systémy, takže ve skutečnosti nej...