Kali Linux Top Forensic Tools

Fr. Chris Frisch
Kali Linux Top Forensic Tools
In der gegenwärtigen digitalen Welt werden sowohl jeder Einzelperson als auch eine Organisation von einem Cyber ​​-Angreifer an externe Angriffe und Sicherheitsverletzungen gebunden. Um festzustellen, wie der Angriff durchgeführt wurde und wie man auf den Angriff reagiert. Mit dem im Jahr 2013 ins Leben gerufenen Kali Linux entwickelte sich der digitale forensische Bereich sehr stark. In Kali Linux werden mehr als 600 Involationstestwerkzeuge verpackt. Wir werden 14 beste Werkzeuge für die Forensik in Kali Linux präsentieren. Mit Kali Linux Forensic Tools können Sie grundlegende Problemlösungen, Datenbildungslösungen bis zur vollständigen Fallanalyse und -verwaltung durchführen.

Abbildung 1: Kali Linux

Im Allgemeinen muss bei Forensik auf einem Computersystem eine Aktivität, die die Datenanalyse des Systems ändern oder ändern kann, vermieden werden. Andere moderne Desktops stören dieses Ziel normalerweise, aber mit Kali Linux über das Boot -Menü können Sie einen speziellen Forensik -Modus aktivieren.

Binwalk -Werkzeug:

Binwalk ist ein forensisches Tool in Kali, das ein bestimmtes binäres Bild für ausführbare Code und Dateien durchsucht. Es identifiziert alle Dateien, die in jedes Firmware -Image eingebettet sind. Es verwendet eine sehr effektive Bibliothek, die als „libmagic“ bezeichnet wird und die magischen Signaturen im UNIX -Datei -Dienstprogramm sortiert.

Abbildung 2: Binwalk CLI -Tool

Bulk -Extraktor -Werkzeug:

Bulk Extractor Tool extrahiert Kreditkartennummern, URL -Links, E -Mail -Adressen, die digitale Beweise verwendet werden. Mit diesem Tool können Sie Malware- und Intrusion -Angriffe, Identitätsermittlungen, Cyber ​​-Schwachstellen und Kennwortrisse identifizieren. Die Spezialität dieses Tools ist, dass es nicht nur mit normalen Daten funktioniert, sondern auch auf komprimierten Daten und unvollständigen oder beschädigten Daten funktioniert.

Abbildung 3: Befehlszeilungswerkzeug von Bulk Extractor

Hashdeep -Werkzeug:

Das Hashdeep -Tool ist eine modifizierte Version des DC3DD -Hashing -Tools, das speziell für digitale Forensik entworfen wurde. Dieses Tool beinhaltet automatisches Hashing von Dateien, ich.e., SHA-1, SHA-256 und 512, Tiger, Whirlpool und MD5. Eine Fehlerprotokolldatei wird automatisch geschrieben. Fortschrittsberichte werden mit jeder Ausgabe erstellt.

Abbildung 4: Hashdeep -CLI -Schnittstellenwerkzeug.

Magic Rescue Tool:

Magic Rescue ist ein forensisches Tool, das Scanvorgänge auf einem blockierten Gerät ausführt. Dieses Tool verwendet magische Bytes, um alle bekannten Dateitypen aus dem Gerät zu extrahieren. Dadurch wird Geräte zum Scannen und Lesen der Dateitypen geöffnet und die Möglichkeit angezeigt, dass die gelöschte oder beschädigte Partition wiederhergestellt wird. Es kann mit jedem Dateisystem funktionieren.

Abbildung 5: Magic Rescue Command-Line Interface-Tool

Skalpellwerkzeug:

Dieses forensische Tool schnitzt alle Dateien und indiziert die Anwendungen, die unter Linux und Windows ausgeführt werden. Das Skalpell -Tool unterstützt die Multithreading -Ausführung auf mehreren Kernsystemen, die bei schnellen Ausführungen helfen. Die Dateischnitze erfolgt in Fragmenten wie regulären Ausdrücken oder binären Zeichenfolgen.

Abbildung 6: Skalpell Forensic Carving Tool

Scunk-NTFS-Tool:

Dieses forensische Dienstprogramm hilft beim Abrufen von Daten von beschädigten NTFS -Scheiben oder -Partitionen. Es rettet Daten von einem beschädigten Dateisystem in ein neues Arbeitsdateisystem.

Abbildung 7: Forensic Data Recovery Tool

Guymager -Werkzeug:

Dieses forensische Dienstprogramm wird verwendet, um Medien für forensische Bilder zu erwerben, und verfügt über eine grafische Benutzeroberfläche. Aufgrund seiner Datenverarbeitung und -komprimierung mit mehreren Threads ist es ein sehr schnelles Werkzeug. Dieses Tool unterstützt auch das Klonen. Es erzeugt flache, AFF- und EWF -Bilder. Die Benutzeroberfläche ist sehr einfach zu bedienen.

Abbildung 8: Guymager GUI Forensic Nützlichkeit

PDFID -Tool:

Dieses forensische Tool wird in PDF -Dateien verwendet. Mit dem Tool scannt PDF -Dateien für bestimmte Schlüsselwörter, mit denen Sie bei der Öffnung ausführbare Codes identifizieren können. Dieses Tool löst die grundlegenden Probleme, die mit PDF -Dateien verbunden sind. Die verdächtigen Dateien werden dann mit dem PDF-Parser-Tool analysiert.

Abbildung 9: PDFID Command-Line Interface Utility

PDF-Parser-Tool:

Dieses Tool ist eines der wichtigsten forensischen Tools für PDF -Dateien. PDF-Parser analysiert ein PDF-Dokument und unterscheidet die wichtigen Elemente, die während seiner Analyse verwendet werden.

Abbildung 10: PDF-Parser CLI Forensic Tool

Peepdf -Tool:

Ein Python -Tool, das PDF -Dokumente untersucht, um festzustellen, ob es harmlos oder destruktiv ist. Es liefert alle Elemente, die zur Durchführung einer PDF -Analyse in einem einzigen Paket erforderlich sind. Es zeigt verdächtige Einheiten und unterstützt verschiedene Kodierungen und Filter. Es kann auch verschlüsselte Dokumente analysieren.

Abbildung 11: Python -Tool für PDF -Untersuchung von Python.

Autopsiewerkzeug:

Eine Autopsie befindet sich in einem forensischen Dienstprogramm zur schnellen Datenwiederherstellung und zur Hash -Filterung. Dieses Tool schnitzt gelöschte Dateien und Medien mithilfe von Photorec aus dem nicht zugewiesenen Raum aus dem nicht zugewiesenen Raum. Es kann auch Exif -Erweiterungs -Multimedia extrahieren. Autopsie -Scans für Kompromissanzeigen mithilfe der STIX -Bibliothek. Es ist sowohl in der Befehlszeile als auch in der GUI -Schnittstelle erhältlich.

Abbildung 12: Autopsie, alles in einem forensischen Dienstprogrammpaket

IMG_CAT -Tool:

IMG_CAT -Tool gibt Ausgabeinhalt einer Bilddatei an. Die wiederhergestellten Bilddateien haben Meta-Daten und eingebettete Daten, mit denen Sie sie in Rohdaten umwandeln können. Diese Rohdaten hilft bei der Vorlage des Ausgangs, um MD5 -Hash zu berechnen.

Abbildung 13: IMG_CAT Eingebettete Daten in die Rohdatenwiederherstellung und -wandler.

ICAT -Tool:

ICAT ist ein Sleuth Kit Tool (TSK), das eine Ausgabe einer Datei basierend auf ihrer Kennung oder Inode -Nummer erstellt. Dieses forensische Tool ist ultraschnitzig und öffnet die benannten Dateibilder und kopiert es in die Standardausgabe mit einer bestimmten Inode-Nummer. Ein Inode ist eine der Datenstrukturen des Linux -Systems, das Daten und Informationen zu einer Linux -Datei wie Eigentümer, Dateigröße und Type, schreiben und lesen und Berechtigungen lesen und lesen.

Abbildung 14: ICAT-Konsolen-Basis-Schnittstellenwerkzeug

Srch_strings Tool:

Dieses Tool sucht nach praktikablen ASCII- und Unicode -Zeichenfolgen innerhalb von Binärdaten und druckt dann die in diesen Daten gefundene Offset -Zeichenfolge aus. Das SRCH_Strings -Tool extrahiert und abgerufen die in einer Datei vorhandenen Zeichenfolgen und gibt ein Offset -Byte an, wenn er aufgerufen wird.

Abbildung 15: forensische Tool zum Abrufen von String -Abrufen

Abschluss:

Diese 14 Tools sind mit Kali Linux Live und Installer-Bildern ausgestattet und sind Open-Source und frei verfügbar. Bei einer älteren Version von Kali würde ich ein Update der neuesten Version vorschlagen, um diese Tools direkt zu erhalten. Es gibt viele andere forensische Werkzeuge, die wir als nächstes abdecken werden. Siehe Teil 2 dieses Artikels hier.

Php
So verwenden Sie die Funktion PHP Str_split
Die Funktion PHP str_split () ist ein nützliches Werkzeug, um Zeichenfolgen in einzelne Zeichen oder...
Ahmed Stöckert
c scharf
Wie man eine Dezimalzahl in ein Doppel in C# umwandelt
Um einen Dezimalwert in ein Doppel in C#umzuwandeln, verwenden wir die Dezimalzahl.Methode todouble ...
Jessica Schimmer
Php
So verwenden Sie die Funktion array_merge in PHP?
Mit der Funktion array_merge () in PHP können Sie mehrere Arrays in einem kombinieren. Folgen Sie di...
Jean Dengler
Python
Filter Nan Pandas
Ahmed Stöckert
Python
Konvertieren Sie die Zeichenfolge, um Python zu setzen
Ahmed Stöckert
Python
Python findet den Index aller Vorkommen in einer Liste
Frederik Rodehau
Golang
Was sind Strukturen in Golang?
Hussein Burkhard
Docker
So verwenden Sie den Befehl „Docker Copy“, um eine Datei von einem Docker -Container auf den Host -Computer zu übertragen?
Hussein Burkhard
Docker
Wie kann ich Docker über Ubuntu Terminal installieren??
Stephan Harms
Typoskript
Was ist TypeScript und wie man es verwendet??
Christopher Lammert
Power Shell
So verwenden Sie den Befehl SET-Variable in PowerShell
Lars Daub
Docker
Welche Docker -Registrierung wird als Standard festgelegt??
Arved Riermeier
Wireshark
DHCP mit Wireshark verstehen
Prof. Dr. Julien Plank