Abbildung 1: Kali Linux
Im Allgemeinen muss bei Forensik auf einem Computersystem eine Aktivität, die die Datenanalyse des Systems ändern oder ändern kann, vermieden werden. Andere moderne Desktops stören dieses Ziel normalerweise, aber mit Kali Linux über das Boot -Menü können Sie einen speziellen Forensik -Modus aktivieren.
Binwalk -Werkzeug:
Binwalk ist ein forensisches Tool in Kali, das ein bestimmtes binäres Bild für ausführbare Code und Dateien durchsucht. Es identifiziert alle Dateien, die in jedes Firmware -Image eingebettet sind. Es verwendet eine sehr effektive Bibliothek, die als „libmagic“ bezeichnet wird und die magischen Signaturen im UNIX -Datei -Dienstprogramm sortiert.
Abbildung 2: Binwalk CLI -Tool
Bulk -Extraktor -Werkzeug:
Bulk Extractor Tool extrahiert Kreditkartennummern, URL -Links, E -Mail -Adressen, die digitale Beweise verwendet werden. Mit diesem Tool können Sie Malware- und Intrusion -Angriffe, Identitätsermittlungen, Cyber -Schwachstellen und Kennwortrisse identifizieren. Die Spezialität dieses Tools ist, dass es nicht nur mit normalen Daten funktioniert, sondern auch auf komprimierten Daten und unvollständigen oder beschädigten Daten funktioniert.
Abbildung 3: Befehlszeilungswerkzeug von Bulk Extractor
Hashdeep -Werkzeug:
Das Hashdeep -Tool ist eine modifizierte Version des DC3DD -Hashing -Tools, das speziell für digitale Forensik entworfen wurde. Dieses Tool beinhaltet automatisches Hashing von Dateien, ich.e., SHA-1, SHA-256 und 512, Tiger, Whirlpool und MD5. Eine Fehlerprotokolldatei wird automatisch geschrieben. Fortschrittsberichte werden mit jeder Ausgabe erstellt.
Abbildung 4: Hashdeep -CLI -Schnittstellenwerkzeug.
Magic Rescue Tool:
Magic Rescue ist ein forensisches Tool, das Scanvorgänge auf einem blockierten Gerät ausführt. Dieses Tool verwendet magische Bytes, um alle bekannten Dateitypen aus dem Gerät zu extrahieren. Dadurch wird Geräte zum Scannen und Lesen der Dateitypen geöffnet und die Möglichkeit angezeigt, dass die gelöschte oder beschädigte Partition wiederhergestellt wird. Es kann mit jedem Dateisystem funktionieren.
Abbildung 5: Magic Rescue Command-Line Interface-Tool
Skalpellwerkzeug:
Dieses forensische Tool schnitzt alle Dateien und indiziert die Anwendungen, die unter Linux und Windows ausgeführt werden. Das Skalpell -Tool unterstützt die Multithreading -Ausführung auf mehreren Kernsystemen, die bei schnellen Ausführungen helfen. Die Dateischnitze erfolgt in Fragmenten wie regulären Ausdrücken oder binären Zeichenfolgen.
Abbildung 6: Skalpell Forensic Carving Tool
Scunk-NTFS-Tool:
Dieses forensische Dienstprogramm hilft beim Abrufen von Daten von beschädigten NTFS -Scheiben oder -Partitionen. Es rettet Daten von einem beschädigten Dateisystem in ein neues Arbeitsdateisystem.
Abbildung 7: Forensic Data Recovery Tool
Guymager -Werkzeug:
Dieses forensische Dienstprogramm wird verwendet, um Medien für forensische Bilder zu erwerben, und verfügt über eine grafische Benutzeroberfläche. Aufgrund seiner Datenverarbeitung und -komprimierung mit mehreren Threads ist es ein sehr schnelles Werkzeug. Dieses Tool unterstützt auch das Klonen. Es erzeugt flache, AFF- und EWF -Bilder. Die Benutzeroberfläche ist sehr einfach zu bedienen.
Abbildung 8: Guymager GUI Forensic Nützlichkeit
PDFID -Tool:
Dieses forensische Tool wird in PDF -Dateien verwendet. Mit dem Tool scannt PDF -Dateien für bestimmte Schlüsselwörter, mit denen Sie bei der Öffnung ausführbare Codes identifizieren können. Dieses Tool löst die grundlegenden Probleme, die mit PDF -Dateien verbunden sind. Die verdächtigen Dateien werden dann mit dem PDF-Parser-Tool analysiert.
Abbildung 9: PDFID Command-Line Interface Utility
PDF-Parser-Tool:
Dieses Tool ist eines der wichtigsten forensischen Tools für PDF -Dateien. PDF-Parser analysiert ein PDF-Dokument und unterscheidet die wichtigen Elemente, die während seiner Analyse verwendet werden.
Abbildung 10: PDF-Parser CLI Forensic Tool
Peepdf -Tool:
Ein Python -Tool, das PDF -Dokumente untersucht, um festzustellen, ob es harmlos oder destruktiv ist. Es liefert alle Elemente, die zur Durchführung einer PDF -Analyse in einem einzigen Paket erforderlich sind. Es zeigt verdächtige Einheiten und unterstützt verschiedene Kodierungen und Filter. Es kann auch verschlüsselte Dokumente analysieren.
Abbildung 11: Python -Tool für PDF -Untersuchung von Python.
Autopsiewerkzeug:
Eine Autopsie befindet sich in einem forensischen Dienstprogramm zur schnellen Datenwiederherstellung und zur Hash -Filterung. Dieses Tool schnitzt gelöschte Dateien und Medien mithilfe von Photorec aus dem nicht zugewiesenen Raum aus dem nicht zugewiesenen Raum. Es kann auch Exif -Erweiterungs -Multimedia extrahieren. Autopsie -Scans für Kompromissanzeigen mithilfe der STIX -Bibliothek. Es ist sowohl in der Befehlszeile als auch in der GUI -Schnittstelle erhältlich.
Abbildung 12: Autopsie, alles in einem forensischen Dienstprogrammpaket
IMG_CAT -Tool:
IMG_CAT -Tool gibt Ausgabeinhalt einer Bilddatei an. Die wiederhergestellten Bilddateien haben Meta-Daten und eingebettete Daten, mit denen Sie sie in Rohdaten umwandeln können. Diese Rohdaten hilft bei der Vorlage des Ausgangs, um MD5 -Hash zu berechnen.
Abbildung 13: IMG_CAT Eingebettete Daten in die Rohdatenwiederherstellung und -wandler.
ICAT -Tool:
ICAT ist ein Sleuth Kit Tool (TSK), das eine Ausgabe einer Datei basierend auf ihrer Kennung oder Inode -Nummer erstellt. Dieses forensische Tool ist ultraschnitzig und öffnet die benannten Dateibilder und kopiert es in die Standardausgabe mit einer bestimmten Inode-Nummer. Ein Inode ist eine der Datenstrukturen des Linux -Systems, das Daten und Informationen zu einer Linux -Datei wie Eigentümer, Dateigröße und Type, schreiben und lesen und Berechtigungen lesen und lesen.
Abbildung 14: ICAT-Konsolen-Basis-Schnittstellenwerkzeug
Srch_strings Tool:
Dieses Tool sucht nach praktikablen ASCII- und Unicode -Zeichenfolgen innerhalb von Binärdaten und druckt dann die in diesen Daten gefundene Offset -Zeichenfolge aus. Das SRCH_Strings -Tool extrahiert und abgerufen die in einer Datei vorhandenen Zeichenfolgen und gibt ein Offset -Byte an, wenn er aufgerufen wird.
Abbildung 15: forensische Tool zum Abrufen von String -Abrufen
Abschluss:
Diese 14 Tools sind mit Kali Linux Live und Installer-Bildern ausgestattet und sind Open-Source und frei verfügbar. Bei einer älteren Version von Kali würde ich ein Update der neuesten Version vorschlagen, um diese Tools direkt zu erhalten. Es gibt viele andere forensische Werkzeuge, die wir als nächstes abdecken werden. Siehe Teil 2 dieses Artikels hier.