Kali Linux Top Forensic Tools

Kali Linux Top Forensic Tools

Einführung

Das letzte Mal haben wir 14 forensische Tools behandelt, die in Kali Linux vorhanden sind und ihre Zwecke und ihre besonderen Fähigkeiten erläutert haben. Heute werden wir 14 forensische Werkzeuge präsentieren, die aus einer berühmten Bibliothek, dem „The Sleuth Kit“ (TSK), in dem 2020 -Update von Kali Linux verpackt werden. Sie finden diese Tools in der Dropdown-Liste der Forensik unter dem Namen Sleuth Kit Suite-Tools im Kali Whisker-Menü.

blkcalc

Das Blkcalc -Tool ist ein forensisch. Dieses Programm erstellt eine Punktzahl, die zwei Bilder ordnet. Eines dieser Bilder ist normal und das andere enthält nicht zugewiesene Punktzahlen des ersten Bildes. Dieses Tool kann viele Dateisystemtypen unterstützen. Wenn ein Dateisystem am Start nicht definiert ist, verfügt BLKCalc über die eindeutige Funktion von Autodetektionsmethoden, um den Dateisystemtyp zu finden.

tsk_comparedir

Mit Hilfe des Tools TSK_Comparedir wird der Inhalt des Bildes mit dem Inhalt des Vergleichsverzeichnisses verglichen. Dies ist das beste Tool in der Testphase zur Identifizierung von RootKits (böswilliger Code oder Dateien). Der Rootkit -Test wird durchgeführt, indem der Inhalt des lokalen Verzeichnisses mit einem lokalen Rohgerät verglichen wird. Diese Rootkits sind nicht versteckt, wenn sie zugegriffen werden und von einem Rohgerät gelesen werden.

tsk_gettimes

Das forensische Tool von TSK_GettTimes basiert auf einer Sleuth Kit -Bibliothek. Dieses Tool sammelt die Mac Times (Teile von Dateisystemmetadaten) aus einem angegebenen Festplattenbild und wandelt die Zeiten in eine Körperdatei um. Das Tool TSK_Gettimes untersucht jedes Dateisystem in einer Festplattenpartition oder im Bild und verarbeitet die Daten innerhalb. Die Ausgabe dieses Tools sind die Datenträgerbilddaten in einem Mac Time Body -Format, das dann als Eingabe für das System verwendet werden kann, um eine Chronologie der Dateiaktivität zu generieren. Die Daten werden dann als Datei über den STDOut -Befehl gedruckt.

blkcat

Das BLKCAT -Tool ist ein schnelles und effizientes forensisches Werkzeug, das in Kali verpackt ist. Der Zweck dieses Tools besteht darin, den Inhalt der in einem Dateisystem -Festplattenbild gespeicherten Daten anzuzeigen. Die Ausgabe zeigt die Anzahl der Dateneinheiten an, beginnend mit der Hauptadresse und den Drucken des Geräts in verschiedenen Formaten, die angegeben und sortiert werden können. Standardmäßig ist das Ausgabeformat roh und wird auch als DCAT bezeichnet.

tsk_loaddb

Das TSK_LOADDB -Tool lädt die Metadaten aus dem Festplattenbild in eine SQLite -Datenbank, die eine verwendbare Datenbank für Analysen durch andere Softwaretools darstellt. Die Datenbank wird im Bildverzeichnis für einen einfachen Zugriff gespeichert. Dieses Tool unterstützt viele Dateisysteme und kann den MD5 -Hash -Wert für jede Datei berechnen.

blkstat

Das SLEUTH KIT -Tool Blkstat zeigt alle Informationen zu den Dateneinheiten eines Dateisystems an. Dieses Tool gibt Daten über den Zuordnungsstatus eines Blocks oder eines Sektors eines Dateisystems zurück. Dieses Tool kann den Befehl adDR verwenden, der die Statistiken eines Datenstücks anzeigt und auch als DSTAT bezeichnet wird.

ffind

Das FFind -Tool verwendet einen Inode, um nach dem Namen des Verzeichnisses oder der Datei in einem Festplattenbild zu suchen. Die Dateien, die einer Inode -Dateikennung auf einer Festplattenpartition zugewiesen sind, haben Namen. Standardmäßig gibt dieses Tool nur den Vornamen zurück, den es findet. Das FFind -Tool kann sogar gelöschte Dateinamen finden, was die besondere Fähigkeit dieses Tools ist. Darüber hinaus können das FFind -Tool auch mehrere Dateinamen finden.

Hfind

Das HFind -Tool sucht nach Hash -Werten in Hash -Datenbanken. Die Hash -Werte werden mit dem binären Suchalgorithmus durchsucht. Der Zweck der Verwendung dieses Algorithmus besteht darin, Benutzern die einfachen Erstellung von Hash -Datenbanken zu ermöglichen und schnell eine Datei zu identifizieren, unabhängig davon, ob sie bekannt oder unbekannt sind. Dieses Tool verwendet die NSRL -Bibliothek und gibt MD5SUM zurück. Dieses Tool ist sehr effizient, da es eine bereits sortierte Indexdatei erstellt und Längeneinträge mit festen Längen enthält, wodurch die Suche sehr schnell macht.

FLS

Der Name FLS beinhaltet den Begriff „LS“, der den Inhalt eines Ordners auflistet. Das FLS -Tool listet alle Dateinamen und Verzeichnisse in einer Bilddatei auf und kann sogar Namen von Dateien anzeigen, die kürzlich entfernt wurden. Wenn die Dateikennung oder der Inode nicht verwendet wird, wird das Stammverzeichnis verwendet.

mmcat

Das MMCAT -Tool ist ein forensisches Tool, das den Inhalt einer Partition über die Druckfunktion zurückgibt. Dieses Tool extrahiert alle Daten in einer Partition in eine separate Datei.

Sigfind

Dieses Tool findet die binäre Signatur in einer Datei vorhanden. Diese binäre Signatur wird als hex_signature bezeichnet, die in jeder Datei vorhanden ist. Dieses Tool kann verwendet werden, um verlorene Superblocks, Partitionen oder Bildtabellen und Startsektoren zu finden. Das hexadezimale Format sollte verwendet werden, um die binäre Signatur zu finden.

ich finde

Dieses Tool schaut in der Rohdatenstruktur einer Datei nach, die in einer bestimmten Festplatteneinheit oder Dateinamen zugewiesen wird. Manchmal kann eine dieser Meta-Daten-Strukturen nicht zugewiesen werden, aber dieses Tool erhält die Ergebnisse dennoch.

Sorter

Das Sorter -Tool ist ein Perl -Skript -Tool, das die Sortierung in einem Dateisystem ausführt, um es basierend auf dem Dateityp in zugewiesene und nicht zugewiesene Dateien zu ordnen. Dieses Tool führt einen Befehl in jeder Datei aus und sortiert die Dateien nach den Konfigurationsdateien. Die Dateitypen enthalten versteckte Dateien, Hash -Dateien für Hash -Datenbanken, Dateien, die als gut bekannt sind, und solche, die geändert werden sollten. Die standardmäßigen Konfigurationsdateien stammen aus dem Ort, an dem das Tool installiert ist. Dies kann jedoch mit Laufzeitentscheidungen geändert werden.

tsk_recover

Dieses Tool überträgt Dateien von einer Festplattenpartition in ein lokales Root -Verzeichnis. Die wiederhergestellten Dateien sind standardmäßig nur nicht zugewiesene Dateien. Durch bestimmte Befehle können alle Dateien exportiert werden.

Abschluss

Diese 14 Tools sind mit Kali Linux Live sowie Installateurbildern ausgestattet, und sie sind Open-Source und frei verfügbar. Diese Werkzeuge finden Sie im Kali Whisker -Menü in einem Ordner namens Sleuth Kit Suite. Die Tools erhalten häufige Aktualisierungen von TSK für kleinere Fehlerbehebungen.