Kali Linux Forensics Tools

Stephan Harms
Kali Linux Forensics Tools
Kali Linux ist ein leistungsstarkes Betriebssystem. Die meisten seiner Funktionen und Tools sind für Sicherheitsforscher und Pentesters hergestellt, verfügt jedoch über eine separate Registerkarte „Forensik“ und einen separaten „Forensik -Modus für Forensik -Ermittler“.

Forensik wird in der Cybersicherheit immer wichtig, um schwarze Hutkriminelle zu erkennen und zurückzukehren. Es ist wichtig, die böswilligen Hintertoors/Malwares der Hacker zu entfernen und sie zurückzuverfolgen, um mögliche zukünftige Vorfälle zu vermeiden. Im Forensik -Modus von Kalis montiert das Betriebssystem keine Partition von der Festplatte des Systems und hinterlässt keine Änderungen oder Fingerabdrücke auf dem System des Hosts.

Kali Linux verfügt über vorinstallierte beliebte Forensikanwendungen und Toolkits. Hier werden wir einige berühmte Open -Source -Tools überprüfen, die in Kali Linux vorhanden sind.

Bulk -Extraktor

Bulk Extractor ist ein Tool mit reichem Gesichtsfleisch, mit dem nützliche Informationen wie Kreditkartennummern, Domainnamen, IP-Adressen, E-Mails, Telefonnummern und URLs aus Beweisen festgehalten werden können. Es ist hilfreich bei der Analyse von Image oder Malware und hilft auch bei der Cyber ​​-Untersuchung und beim Cracking von Kennworts. Es erstellt Wortlisten basierend auf Informationen, die aus Beweisen gefunden wurden, die beim Kennwortriss helfen können.

Bulk -Extraktor ist unter anderen Werkzeugen aufgrund seiner unglaublichen Geschwindigkeit, der Kompatibilität mehrerer Plattform und der Gründlichkeit beliebt. Es ist aufgrund seiner Multi-Thread-Funktionen schnell und verfügt in der Lage, alle digitalen Medien zu scannen, die HDDs, SSDs, Mobiltelefone, Kameras, SD-Karten und viele andere Typen umfassen.

Bulk -Extraktor hat folgende coole Funktionen, die es vorzuziehen sind,

  • Es verfügt über eine grafische Benutzeroberfläche, die als „Bulk -Extraktor -Betrachter“ bezeichnet wird und zur Interaktion mit Bulk -Extraktor verwendet wird
  • Es verfügt über mehrere Ausgaboptionen wie das Anzeigen und Analysieren der Ausgangsdaten in Histogramm.
  • Es kann leicht durch die Verwendung von Python oder anderen Skriptsprachen automatisiert werden.
  • Es wird mit einigen vorgeschriebenen Skripten geliefert, mit denen zusätzliches Scannen durchgeführt werden können
  • Es kann auf Systemen mit mehreren CPU-Kernen schneller sein, Multi-Threaded.
root@azad: ~# bulk_extractor -Help
Verwendung: bulk_extractor [Optionen] Imagefile
Läuft Bulk -Extraktor aus und gibt eine Zusammenfassung der gefundenen Stelle aus, die dort gefunden wurde
Erforderliche Parameter:
ImageFile - Die zu extrahierende Datei
oder -r fanedir - durch ein Verzeichnis von Dateien durchlaufen
Hat Unterstützung für E01 -Dateien
Hat Unterstützung für AFF -Dateien
-o Outdir - Gibt das Ausgabeverzeichnis an. Muss nicht existieren.
Bulk_extractor erstellt dieses Verzeichnis.
Optionen:
-I - Info -Modus. Machen Sie eine schnelle Zufallsstichprobe und drucken Sie einen Bericht aus.
-B Banner.txt- Banner hinzufügen.TXT -Inhalt an die Spitze jeder Ausgabedatei.
-r Alerert_List.TXT - Eine Datei, die die Warnliste der zu alarmierten Funktionen enthält
(Kann eine Feature -Datei oder eine Liste von Globs sein)
(Kann wiederholt werden.)
-W STOP_LIST.TXT - Eine Datei mit der Stoppliste der Funktionen (weiße Liste
(Kann eine Feature -Datei oder eine Liste von Globs sein) s
(Kann wiederholt werden.)
-F - Lesen Sie eine Liste regelmäßiger Ausdrücke von finden
-F - Ereignisse finden ; kann wiederholt werden.
Die Ergebnisse gehen in Fund.txt
… Schnipsel…
Nutzungsbeispiel
root@azad: ~# bulk_extractor -o Ausgabegeheimnis.img

Autopsie

Autopsie ist eine Plattform, die von Cyber ​​-Ermittlern und Strafverfolgungsbehörden verwendet wird, um Forensikoperationen durchzuführen und zu melden. Es kombiniert viele individuelle Dienstprogramme, die für Forensik und Wiederherstellung verwendet werden, und bietet ihnen eine grafische Benutzeroberfläche.

Autopsy ist ein Open Source-, Free- und Plattformprodukt, das für Windows, Linux und andere UNIX-basierte Betriebssysteme verfügbar ist. Autopsie kann Daten aus Festplatten mehrerer Formate durchsuchen und untersuchen.

Es ist einfach zu bedienen und es ist nicht erforderlich, in Kali Linux zu installieren, da es mit vorinstalliertem und vorkonfiguriertem Versand geliefert wird.

Dumpzilla

Dumpzilla ist ein plattformübergänglich. Es extrahiert weder Daten noch Informationen, zeigt sie nur in Terminal an, die mit den Befehlen des Betriebssystems in Dateien gelobt, sortiert und gespeichert werden können. Derzeit unterstützt es nur Browser auf Firefox -basierten Browsern wie Firefox, Seamonkey, Iceweasel usw.

Dumpzilla kann folgende Informationen von Browsern erhalten

  • Kann das Live -Surfen des Benutzers in Registerkarten/Fenstern zeigen.
  • Benutzer -Downloads, Lesezeichen und Geschichte.
  • Webformulare (Suchanfragen, E -Mails, Kommentare…).
  • Cache/Miniaturansichten zuvor besuchter Websites.
  • Addons / Erweiterungen und verwendete Pfade oder URLs.
  • Browser gespeicherte Passwörter.
  • Cookies und Sitzungsdaten.
root@azad: ~# Dumpzilla -Help
Verwendung: Python Dumpzilla.py browser_profile_directory [Optionen]
Optionen:
--Alles (zeigt alles außer den DOM -Daten. Extrahiert keine Miniaturansichten oder HTML 5 offline)
--Cookies [-Showdom -domain -name -hostcookie -Access
-erstellen -secure -httponly -Range_last -Range_create
]
--Berechtigungen [-Host]
--Downloads [-Range]
--Formen [-Value -Range_forms]
--Geschichte [-url -title -date -Range_history
-Frequenz]
--Lesezeichen [-Range_bookmarks]
… Schnipsel…

Digital Forensics Framework - DFF

DFF ist ein Tool zur Wiederherstellung von Dateien und eine Forensikentwicklungsplattform, die in Python und C geschrieben wurde++. Es verfügt über eine Reihe von Tools und Skripten mit Befehlszeile und grafischer Benutzeroberfläche. Es wird verwendet, um Forensikuntersuchungen durchzuführen und digitale Beweise zu sammeln und zu melden.

Es ist einfach zu bedienen und kann von Cyber ​​-Fachleuten sowie Neulingen verwendet werden, um die digitalen Forensik -Informationen zu sammeln und zu erhalten. Hier werden wir einige seiner guten Funktionen besprechen

  • Kann Forensik und Genesung auf lokalen und entfernten Geräten durchführen.
  • Sowohl die Befehlszeile als auch die grafische Benutzeroberfläche mit grafischen Ansichten und Filtern.
  • Kann Partitionen und virtuelle Maschinenantriebe wiederherstellen.
  • Kompatibel mit vielen Dateisystemen und -formaten, einschließlich Linux und Windows.
  • Kann versteckte und gelöschte Dateien wiederherstellen.
  • Kann Daten aus dem temporären Speicher wie Netzwerk, Prozess usw. wiederherstellen
root@azad: ~# dff -h
Dff
Digital forensischer Framework
Verwendung:/usr/bin/dff [Optionen]
Optionen:
-v -Verssions aktuelle Version anzeigen
-G -Grafische Grafikschnittstelle
-B - -Batch = Dateiname wird im Dateinamen enthalten
-L -Sprache = Lang Verwenden Sie Lang als Schnittstellensprache
-H -HELP Zeigen Sie diese Hilfemeldung an
-d -Debug -Debug -Umleitung von IO in Systemkonsole umleiten
--Ausführlichkeit = Level-Set-Ausführungsstufe beim Debuggen [0-3]
-c --config = filepath Verwenden Sie die Konfigurationsdatei von FilePath

In erster Linie

In erster Linie ist ein schnelleres und zuverlässiges Befehlszeilenbasierter Wiederherstellungswerkzeug, um verloren. In erster Linie können Sie an Bildern arbeiten, die von DD, SafeBack, Encase usw. oder direkt auf einem Laufwerk erzeugt werden. In erster Linie kann EXE, JPG, PNG, GIF, BMP, AVI, MPG, WAV, PDF, OLE, RAR und viele andere Dateitypen erholt werden.

root@azad: ~# voranost -h
In erster Linie Version x.X.X von Jesse Kornblum, Kris Kendall und Nick Mikus.
$ Foremost [-v | -v | -h | -t | -q | -q | -a | -w-d] [-t ] [-S ] [-K ]
[-B ] [-C ] [-Ö ] [-ich -V - Copyright -Informationen anzeigen und beenden
-t - Dateityp angeben. (-t jpeg, pdf…)
-D - Einschalten der indirekten Blockerkennung (für UNIX -Dateisysteme)
-I - Eingabedatei angeben (Standard ist stdin)
-A - Schreiben Sie alle Header, führen Sie keine Fehlererkennung durch (beschädigte Dateien)
-W - Schreiben Sie nur die Prüfungsdatei, schreiben Sie keine erkannten Dateien auf die Festplatte
-o - Setzen Sie das Ausgabeverzeichnis (Standardeinstellungen zur Ausgabe)
-C - Konfigurationsdatei festlegen (Standardeinstellungen zu in erster Linie.conf)
… Schnipsel…
Nutzungsbeispiel
root@azad: ~# formost -t exe, jpeg, pdf, png -i Datei -Image.dd
Verarbeitung: Datei-Image.dd
… Schnipsel…

Abschluss

Kali hat zusammen mit seinen berühmten Penetrationstestwerkstools auch einen ganzen Tab für „Forensik“ gewidmet, der sich für „Forensik“ gewidmet hat. Es verfügt über einen separaten „Forensik“ -Modus, der nur für Live -USBs verfügbar ist, in denen es keine Partitionen des Hosts montiert. Kali ist gegenüber anderen forensischen Distributionen wie Caine aufgrund seiner Unterstützung und besserer Kompatibilität ein wenig vorzuziehen.

c scharf
So verwenden Sie ein langes Schlüsselwort in C#
Das lange Schlüsselwort in C# kann eine Variable definieren, die einen unterzeichneten Ganzzahlwert ...
Jean Dengler
Php
Was ist eine Schnittstelle in objektorientiertem PHP
Schnittstellen definieren einen Standard -Satz von Aktionen, mit denen verschiedene Klassen Code kon...
Gian Eisenlauer
C ++
Was ist += in C++?
In C ++ ist das+= eine Kombination von zwei Operatoren, einer ist der Additionsoperator und der zwei...
Christopher Lammert
Oracle Linux
So installieren und verwenden Sie das Oracle VirtualBox -Erweiterungspaket?
Ansgar Radtke
Python
Python Math Exp
Christopher Lammert
Oracle -Datenbank
Mit SQL Developer können Sie eine Verbindung zu Oracle Database Top 10C herstellen?
Kaya Wyludda
html
Wie kann Flexbox verwendet werden, um eine Navigationsleiste zu erstellen??
Arved Riermeier
AWS
Was ist Subnetz auf AWS VPC und wie man es benutzt??
Jean Dengler
Docker
Welche Docker -Registrierung wird als Standard festgelegt??
Arved Riermeier
Sqlite
So herunterladen und installieren Sie SQLite -Tools?
Christopher Lammert
C ++
Unterschied zwischen+= und =+Operatoren in C ++
Jean Dengler
c scharf
Wie Lambda -Operator '=>' in C# verwendet wird
Fr. Chris Frisch
Php
So verwenden Sie die PHP RAND -Funktion
Jean Dengler