Forensik wird in der Cybersicherheit immer wichtig, um schwarze Hutkriminelle zu erkennen und zurückzukehren. Es ist wichtig, die böswilligen Hintertoors/Malwares der Hacker zu entfernen und sie zurückzuverfolgen, um mögliche zukünftige Vorfälle zu vermeiden. Im Forensik -Modus von Kalis montiert das Betriebssystem keine Partition von der Festplatte des Systems und hinterlässt keine Änderungen oder Fingerabdrücke auf dem System des Hosts.
Kali Linux verfügt über vorinstallierte beliebte Forensikanwendungen und Toolkits. Hier werden wir einige berühmte Open -Source -Tools überprüfen, die in Kali Linux vorhanden sind.
Bulk -Extraktor
Bulk Extractor ist ein Tool mit reichem Gesichtsfleisch, mit dem nützliche Informationen wie Kreditkartennummern, Domainnamen, IP-Adressen, E-Mails, Telefonnummern und URLs aus Beweisen festgehalten werden können. Es ist hilfreich bei der Analyse von Image oder Malware und hilft auch bei der Cyber -Untersuchung und beim Cracking von Kennworts. Es erstellt Wortlisten basierend auf Informationen, die aus Beweisen gefunden wurden, die beim Kennwortriss helfen können.
Bulk -Extraktor ist unter anderen Werkzeugen aufgrund seiner unglaublichen Geschwindigkeit, der Kompatibilität mehrerer Plattform und der Gründlichkeit beliebt. Es ist aufgrund seiner Multi-Thread-Funktionen schnell und verfügt in der Lage, alle digitalen Medien zu scannen, die HDDs, SSDs, Mobiltelefone, Kameras, SD-Karten und viele andere Typen umfassen.
Bulk -Extraktor hat folgende coole Funktionen, die es vorzuziehen sind,
root@azad: ~# bulk_extractor -Help
Verwendung: bulk_extractor [Optionen] Imagefile
Läuft Bulk -Extraktor aus und gibt eine Zusammenfassung der gefundenen Stelle aus, die dort gefunden wurde
Erforderliche Parameter:
ImageFile - Die zu extrahierende Datei
oder -r fanedir - durch ein Verzeichnis von Dateien durchlaufen
Hat Unterstützung für E01 -Dateien
Hat Unterstützung für AFF -Dateien
-o Outdir - Gibt das Ausgabeverzeichnis an. Muss nicht existieren.
Bulk_extractor erstellt dieses Verzeichnis.
Optionen:
-I - Info -Modus. Machen Sie eine schnelle Zufallsstichprobe und drucken Sie einen Bericht aus.
-B Banner.txt- Banner hinzufügen.TXT -Inhalt an die Spitze jeder Ausgabedatei.
-r Alerert_List.TXT - Eine Datei, die die Warnliste der zu alarmierten Funktionen enthält
(Kann eine Feature -Datei oder eine Liste von Globs sein)
(Kann wiederholt werden.)
-W STOP_LIST.TXT - Eine Datei mit der Stoppliste der Funktionen (weiße Liste
(Kann eine Feature -Datei oder eine Liste von Globs sein) s
(Kann wiederholt werden.)
-F- Lesen Sie eine Liste regelmäßiger Ausdrücke von finden
-F- Ereignisse finden ; kann wiederholt werden.
Die Ergebnisse gehen in Fund.txt
… Schnipsel…
Nutzungsbeispiel
root@azad: ~# bulk_extractor -o Ausgabegeheimnis.img
Autopsie
Autopsie ist eine Plattform, die von Cyber -Ermittlern und Strafverfolgungsbehörden verwendet wird, um Forensikoperationen durchzuführen und zu melden. Es kombiniert viele individuelle Dienstprogramme, die für Forensik und Wiederherstellung verwendet werden, und bietet ihnen eine grafische Benutzeroberfläche.
Autopsy ist ein Open Source-, Free- und Plattformprodukt, das für Windows, Linux und andere UNIX-basierte Betriebssysteme verfügbar ist. Autopsie kann Daten aus Festplatten mehrerer Formate durchsuchen und untersuchen.
Es ist einfach zu bedienen und es ist nicht erforderlich, in Kali Linux zu installieren, da es mit vorinstalliertem und vorkonfiguriertem Versand geliefert wird.
Dumpzilla
Dumpzilla ist ein plattformübergänglich. Es extrahiert weder Daten noch Informationen, zeigt sie nur in Terminal an, die mit den Befehlen des Betriebssystems in Dateien gelobt, sortiert und gespeichert werden können. Derzeit unterstützt es nur Browser auf Firefox -basierten Browsern wie Firefox, Seamonkey, Iceweasel usw.
Dumpzilla kann folgende Informationen von Browsern erhalten
root@azad: ~# Dumpzilla -Help
Verwendung: Python Dumpzilla.py browser_profile_directory [Optionen]
Optionen:
--Alles (zeigt alles außer den DOM -Daten. Extrahiert keine Miniaturansichten oder HTML 5 offline)
--Cookies [-Showdom -domain -name -hostcookie -Access
-erstellen -secure -httponly -Range_last -Range_create
]
--Berechtigungen [-Host]
--Downloads [-Range]
--Formen [-Value -Range_forms]
--Geschichte [-url -title -date -Range_history
-Frequenz]
--Lesezeichen [-Range_bookmarks]
… Schnipsel…
Digital Forensics Framework - DFF
DFF ist ein Tool zur Wiederherstellung von Dateien und eine Forensikentwicklungsplattform, die in Python und C geschrieben wurde++. Es verfügt über eine Reihe von Tools und Skripten mit Befehlszeile und grafischer Benutzeroberfläche. Es wird verwendet, um Forensikuntersuchungen durchzuführen und digitale Beweise zu sammeln und zu melden.
Es ist einfach zu bedienen und kann von Cyber -Fachleuten sowie Neulingen verwendet werden, um die digitalen Forensik -Informationen zu sammeln und zu erhalten. Hier werden wir einige seiner guten Funktionen besprechen
root@azad: ~# dff -h
Dff
Digital forensischer Framework
Verwendung:/usr/bin/dff [Optionen]
Optionen:
-v -Verssions aktuelle Version anzeigen
-G -Grafische Grafikschnittstelle
-B - -Batch = Dateiname wird im Dateinamen enthalten
-L -Sprache = Lang Verwenden Sie Lang als Schnittstellensprache
-H -HELP Zeigen Sie diese Hilfemeldung an
-d -Debug -Debug -Umleitung von IO in Systemkonsole umleiten
--Ausführlichkeit = Level-Set-Ausführungsstufe beim Debuggen [0-3]
-c --config = filepath Verwenden Sie die Konfigurationsdatei von FilePath
In erster Linie
In erster Linie ist ein schnelleres und zuverlässiges Befehlszeilenbasierter Wiederherstellungswerkzeug, um verloren. In erster Linie können Sie an Bildern arbeiten, die von DD, SafeBack, Encase usw. oder direkt auf einem Laufwerk erzeugt werden. In erster Linie kann EXE, JPG, PNG, GIF, BMP, AVI, MPG, WAV, PDF, OLE, RAR und viele andere Dateitypen erholt werden.
root@azad: ~# voranost -h
In erster Linie Version x.X.X von Jesse Kornblum, Kris Kendall und Nick Mikus.
$ Foremost [-v | -v | -h | -t | -q | -q | -a | -w-d] [-t] [-S ] [-K ]
[-B] [-C ] [-Ö ] [-ich -V - Copyright -Informationen anzeigen und beenden
-t - Dateityp angeben. (-t jpeg, pdf…)
-D - Einschalten der indirekten Blockerkennung (für UNIX -Dateisysteme)
-I - Eingabedatei angeben (Standard ist stdin)
-A - Schreiben Sie alle Header, führen Sie keine Fehlererkennung durch (beschädigte Dateien)
-W - Schreiben Sie nur die Prüfungsdatei, schreiben Sie keine erkannten Dateien auf die Festplatte
-o - Setzen Sie das Ausgabeverzeichnis (Standardeinstellungen zur Ausgabe)
-C - Konfigurationsdatei festlegen (Standardeinstellungen zu in erster Linie.conf)
… Schnipsel…
Nutzungsbeispiel
root@azad: ~# formost -t exe, jpeg, pdf, png -i Datei -Image.dd
Verarbeitung: Datei-Image.dd
… Schnipsel…
Kali hat zusammen mit seinen berühmten Penetrationstestwerkstools auch einen ganzen Tab für „Forensik“ gewidmet, der sich für „Forensik“ gewidmet hat. Es verfügt über einen separaten „Forensik“ -Modus, der nur für Live -USBs verfügbar ist, in denen es keine Partitionen des Hosts montiert. Kali ist gegenüber anderen forensischen Distributionen wie Caine aufgrund seiner Unterstützung und besserer Kompatibilität ein wenig vorzuziehen.