Kali Linux 'Live' Bietet einen forensischen Modus, in dem Sie einfach einen USB mit a einstecken können Kali ISO. Wann immer ein forensischer Bedarf entsteht, können Sie das tun, was Sie benötigen, ohne etwas mehr mit dem zu installieren Kali Linux Live (Forensischer Modus). Das Booten in Kali (forensischer Modus) montiert keine Festplatten des Systems, daher hinterlassen die Vorgänge, die Sie auf dem System ausführen.
So verwenden Sie Kalis Live (forensischer Modus)
Um „Kalis Live (forensischer Modus)“ zu verwenden, benötigen Sie ein USB -Laufwerk mit Kali Linux ISO. Um einen zu machen, können Sie offizielle Richtlinien aus der offensiven Sicherheit befolgen
Schließen Sie ihn nach der Vorbereitung des Live -Kali -Linux -USB an und starten Sie Ihren PC neu, um den Startloader einzugeben. Dort finden Sie ein Menü wie dieses:
Klicken Sie auf die Live (forensischer Modus) Nehmen Sie direkt in den forensischen Modus, der die Tools und Pakete enthält, die für Ihre forensischen Anforderungen erforderlich sind. In diesem Artikel werden wir untersuchen, wie Sie Ihren digitalen Forensikprozess mithilfe der organisieren Live (forensischer Modus).
Daten kopieren
Forensik erfordert die Bildgebung von Systemantrieben, die Daten enthalten. Das erste, was wir tun müssen, ist eine Bit-für-Bit-Kopie der Datei, der Festplatte oder einer anderen Art von Daten, für die wir Forensik ausführen müssen. Dies ist ein sehr entscheidender Schritt, denn wenn es falsch gemacht wird, kann die gesamte Arbeit verschwendet werden.
Die regulären Sicherungen eines Laufwerks oder einer Datei funktionieren nicht für uns (die forensischen Ermittler). Was wir brauchen, ist eine Bit-by-Bit-Kopie von Daten auf dem Laufwerk. Dazu werden wir Folgendes verwenden dd Befehl:
root@kali: ~ $ dd if =
Wir müssen eine Kopie des Laufwerks erstellen SDA1, Wir werden also den folgenden Befehl verwenden. Es wird eine Kopie von SDA1 zu machen SDA2 512 Byes gleichzeitig.
root@kali: ~ $ dd if =/dev/sda1 von =/dev/sda2 bs = 512
Hashing
Mit unserer Kopie des Laufwerks kann jeder seine Integrität in Frage stellen und denken, dass wir das Laufwerk absichtlich platziert haben. Um den Beweis dafür zu generieren, dass wir das ursprüngliche Laufwerk haben, werden wir Hashing verwenden. Hashing wird verwendet, um die Bildintegrität zu gewährleisten. Hashing wird einen Hash für ein Laufwerk liefern, aber wenn sich ein einziges Stück Daten geändert. Um die Integrität der Daten zu gewährleisten und dass niemand seine Originalität in Frage stellen kann, werden wir die Festplatte kopieren und einen MD5 -Hash davon generieren.
Erstens offen dcfldd vom Forensik -Toolkit.
Der DCFLD Die Schnittstelle sieht so aus:
Jetzt werden wir den folgenden Befehl verwenden:
root@kali: ~ $ dcfldd if =/dev/sda von =/media/bild.DD Hash = MD5 BS = 512
/dev/sda: Das Laufwerk, das Sie kopieren möchten
/Medien/Bild.DD: Der Ort und der Name des Bildes, an das es kopieren soll
Hash = MD5: Der Hash, den Sie generieren möchten, e.G MD5, SHA1, SHA2 usw. In diesem Fall ist es MD5.
BS = 512: Anzahl der Bytes, die jeweils kopiert werden müssen
Eine Sache, die wir wissen sollten, ist, dass Linux Antriebsnamen mit einem einzelnen Buchstaben wie in Windows anbietet. In Linux werden Festplatten durch getrennt HD Bezeichnung, wie z hatte, HDB, usw. Für SCSI (kleine Computersystemschnittstelle) ist es SD, SBA, SDB, usw.
Jetzt haben wir die Stück für Stück eines Laufwerks, auf dem wir Forensik ausführen möchten. Hier werden forensische Tools ins Spiel kommen, und jeder, der Kenntnisse über die Verwendung dieser Tools verwendet hat und mit ihnen arbeiten kann.
Werkzeug
Der Forensik-Modus enthält bereits berühmte Open-Source-Toolkits und -Pakete für forensische Zwecke. Es ist gut, Forensik zu verstehen, um das Verbrechen zu inspizieren und denjenigen zurückzuziehen, der es getan hat. Jegliche Kenntnis, wie man diese Tools nutzt. Hier geben wir einen kurzen Überblick über einige Tools und wie man sich mit ihnen vertraut macht
Autopsie
Autopsie ist ein Instrument, das von Militär, Strafverfolgungsbehörden und verschiedenen Agenturen verwendet wird, wenn ein forensischer Bedarf besteht. Dieses Bündel ist vermutlich eine der mächtigsten, die durch Open-Source zugänglich sind. Es konsolidiert die Funktionen zahlreicher anderer Littler-Bündel, die schrittweise mit einer makellosen Anwendung mit einem Internet-Browser-basierten UI in ihre Methodik verwickelt sind.
Öffnen Sie für die Verwendung von Autopsie einen beliebigen Browser und Typ: http: // localhost: 9999/Autopsie
Wie wäre es nun, wenn wir ein Programm öffnen und den obigen Standort erkunden. Dies führt uns im Wesentlichen zum nahe gelegenen Webserver auf unserem Framework (Localhost) und erreicht Port 9999, wo die Autopsie ausgeführt wird. Ich verwende das Standardprogramm in Kali, Iceweasel. Wenn ich diese Adresse erforsche, bekomme ich eine Seite wie die unten gesehene:
Seine Funktionen umfassen - Timeline -Untersuchung, Keywordsuche, Hash -Trennung, Datenschnitzerei, Medien und Markierungen eines Schnäppchens. Autopsie akzeptiert Festplattenbilder in rohen OE -EO1 -Formaten und liefern Ergebnisse in jedem Format, das normalerweise in XML, HTML -Formaten erforderlich ist.
Binwalk
Dieses Tool wird bei der Verwaltung von Binärbildern verwendet. Es hat die Fähigkeit, das eingefügte Dokument und den ausführbaren Code zu finden, indem die Bilddatei untersucht wird. Es ist ein erstaunliches Gut für diejenigen, die wissen, was sie tun. Wenn Sie richtig verwendet werden, können Sie sehr gut in Firmware -Bildern, die einen Hack zeigen oder verwendet werden, um eine Fluchtklausel zu ermitteln, um eine Fluchtklausel zum Missbrauch zu ermitteln.
Dieses Tool ist in Python geschrieben und verwendet die libmagische Bibliothek, so. Um die Dinge für die Prüfer einfacher zu machen, enthält es einen Verzauberungsprotokoll, der die regelmäßig entdeckten Markierungen in der Firmware enthält, was es einfacher macht, Inkonsistenzen zu erkennen.
Ddrescue
Es dupliziert Informationen aus einem Dokument oder einem quadratischen Gerät (Festplatte, CD-ROM usw.) zu einem anderen Versuch, zuerst die großen Teile zu schützen, wenn es ein Auftreten von Lesefehlern auftreten sollte.
Die wesentliche Aktivität von Ddrescue ist vollständig programmiert. Das heißt, Sie müssen nicht fest für einen Fehler sitzen, das Programm stoppen und es von einer anderen Position neu starten. Wenn Sie das Mapfile -Highlight von DDRescue verwenden, werden die Informationen kompetent gespeichert (nur die erforderlichen Quadrate werden durchgesehen). Ebenso können Sie die Bergung wann immer eindringen und später an einem ähnlichen Punkt fortsetzen. Die Kartons ist ein grundlegendes Stück der Lebensfähigkeit von Ddrescues. Verwenden Sie es, außer wenn Sie wissen, was Sie tun.
Um es zu verwenden, verwenden wir den folgenden Befehl:
root@kali: ~ $ dd_rescue
Dumpzilla
Die Dumpzilla -Anwendung wird in Python 3 erstellt.x und wird zum Extrahieren der messbaren, faszinierenden Daten von Firefox-, Ice-Weasel- und Seamonkey-Programmen verwendet, die untersucht werden sollen. Wegen seiner Python 3.X Drehung der Ereignisse, es wird wahrscheinlich nicht angemessen in alten Pythonformen mit bestimmten Zeichen funktionieren. Die Anwendung arbeitet in einer Bestellleitungsschnittstelle, sodass Data Dumps durch Rohre mit Geräten umgeleitet werden können. Zum Beispiel Grep, awk, geschnitten, sed. Mit Dolpzilla können Benutzer die folgenden Bereiche vorstellen, die Anpassung suchen und sich auf bestimmte Bereiche konzentrieren:
In erster Linie
Löschen Sie Dokumente, die dazu beitragen können, eine computergestützte Episode zu enträtseln? Vergiss es! In erster Linie ist ein einfach zu bedienendes Open-Source-Bundle, das Informationen aus arrangierten Kreisen herausschneiden kann. Der Dateiname selbst wird wahrscheinlich nicht wiederholt, aber die von ihm gehaltenen Informationen können ausgeschnitten werden. Nachstehend kann JPG, PNG, BMP, JPEG, EXE, MPG, OLE, RAR, PDF und viele andere Arten von Dateien wiederhergestellt werden.
: ~ $ wesentlich -h
In erster Linie Version 1.5.7 von Jesse Kornblum, Kris Kendall und Nick Mikus.
$ Foremost [-v | -v | -h | -t | -q | -q | -a | -w-d] [-t]
[-S] [-K ]
[-B] [-C ] [-Ö ] [-ich -V - Copyright -Informationen anzeigen und beenden
-t - Dateityp angeben. (-t jpeg, pdf…)
-D - Einschalten der indirekten Blockerkennung (für UNIX -Dateisysteme)
-I - Eingabedatei angeben (Standard ist stdin)
-A - Schreiben Sie alle Header, führen Sie keine Fehlererkennung durch (beschädigte Dateien)
-W - Schreiben Sie nur die Prüfungsdatei, schreiben Sie keine erkannten Dateien auf die Festplatte
-o - Setzen Sie das Ausgabeverzeichnis (Standardeinstellungen zur Ausgabe)
-C - Konfigurationsdatei festlegen (Standardeinstellungen zu in erster Linie.conf)
-Q - Aktiviert den schnellen Modus. Suchanfragen werden an 512 Byte -Grenzen durchgeführt.
-Q - Ermöglicht den ruhigen Modus. Ausgabenachrichten unterdrücken.
-V - ausführlicher Modus. Protokolliert alle Nachrichten auf dem BildschirmBulk -Extraktor
Dies ist ein außergewöhnlich nützliches Tool, wenn ein Prüfer hofft, bestimmte Art von Informationen von dem computergestützten Proof -Datensatz zu trennen. Dieses Gerät kann E -Mail -Adressen, URLs, Ratenkartennummern usw. herausschneiden. Dieses Tool macht eine Aufnahme auf Kataloge, Dateien und Festplattenbilder. Die Informationen können auf halber Strecke ruiniert werden, oder sie werden in der Regel verdichtet werden. Dieses Gerät wird seinen Weg in es entdecken.
Diese Funktion enthält Highlights, die dazu beitragen, ein Beispiel in den Informationen zu nutzen, die beispielsweise in einer Histogrammgruppe vorhanden sind, beispielsweise URLs, E -Mail -IDs und mehr, vorgestellt. Es hat eine Komponente, mit der es eine Wortliste aus den entdeckten Informationen erstellt. Dies kann bei der Aufteilung der Passwörter von durcheinandergebrachten Dokumenten helfen.
RAM -Analyse
Wir haben Speicheranalyse auf Festplattenbildern gesehen, aber manchmal müssen wir Daten aus dem Live -Speicher (RAM) erfassen. Denken Sie daran, dass RAM eine volatile Speicherquelle ist, was bedeutet.
Eines der vielen guten Dinge bei der Erinnerungsanalyse ist die Fähigkeit, das zu ermitteln, was der Verdächtige zum Zeitpunkt eines Missgeschicks tat. Eines der berühmtesten Tools für die Speicheranalyse ist Volatilität.
In Live (Forensikmodus), Erstens werden wir navigieren zu Volatilität Verwenden des folgenden Befehls:
root@kali: ~ $ cd/usr/share/volatilityDa die Volatilität ein Python -Skript ist, geben Sie den folgenden Befehl ein, um das Hilfemenü zu sehen:
root@kali: ~ $ python vol.py -hBevor wir an diesem Speicherbild arbeiten, müssen wir zunächst mit dem folgenden Befehl zu seinem Profil gelangen. Das Profilbild hilft Volatilität Um zu wissen, wo im Speicher die wichtigen Informationen befinden. Dieser Befehl untersucht die Speicherdatei nach Beweisen für Betriebssystem und wichtige Informationen:
root@kali: ~ $ python vol.py imageInfo -f =Volatilität ist ein leistungsstarkes Tool zur Speicheranalyse mit unzähligen Plugins, die uns helfen, zu untersuchen, was der Verdächtige zum Zeitpunkt des Computerbeschlags tat.
Abschluss
Die Forensik wird in der heutigen digitalen Welt, in der jeden Tag viele Verbrechen mit digitalen Technologien verpflichtet werden. Forensische Techniken und Kenntnisse in Ihrem Arsenal sind immer ein äußerst nützliches Instrument, um gegen Cyber-Kriminalität auf Ihrem eigenen Rasen zu kämpfen.
Kali ist mit den Tools ausgestattet Live (forensischer Modus), Wir müssen es nicht die ganze Zeit in unserem System behalten. Stattdessen können wir einfach einen Live -USB machen oder Kali ISO in einem peripheren Gerät bereit machen. Wenn forensische Bedürfnisse angezeigt werden, können wir einfach in den USB anschließen, wechseln Sie zu einem Wechsel zu Live (forensischer Modus) und lass die Arbeit reibungslos erledigen.