SIEBEN ist eine von der erstellte Forensikverteilung für Computer Ohne Forensik Team zur Durchführung digitaler Forensik. Diese Distribution enthält die meisten Tools, die für die Analyse der digitalen Forensik und die Prüfung der Vorfälle erforderlich sind. SIEBEN ist Open-Source und öffentlich kostenlos im Internet verfügbar. In der heutigen digitalen Welt, in der täglich Verbrechen mit digitalen Technologie verpflichtet werden, werden Angreifer immer heimlicher und raffinierter. Dies kann dazu führen, dass Unternehmen wichtige Daten verlieren, wobei Millionen von Benutzern ausgesetzt sind. Der Schutz Ihrer Organisation vor diesen Angriffen erfordert starke forensische Techniken und Kenntnisse in Ihrer Verteidigungsstrategie. SIEBEN Bietet forensische Tools für Dateisysteme, Speicher und Netzwerkuntersuchungen, um eingehende forensische Untersuchungen durchzuführen.
In 2007, SIEBEN war zum Download verfügbar und war hart codiert. Bei einem Update mussten die Benutzer die neuere Version herunterladen. Mit weiteren Innovationen im Jahr 2014, SIEBEN wurde als robustes Paket auf Ubuntu erhältlich und kann jetzt als Workstation heruntergeladen werden. Später, im Jahr 2017, eine Version von SIEBEN kam auf den Markt, was zu einer größeren Funktionalität und den Benutzern die Möglichkeit gab, Daten aus anderen Quellen zu nutzen. Diese neuere Version enthält mehr als 200 Tools von Dritten und enthält einen Paketmanager, bei dem Benutzer nur einen Befehl eingeben müssen, um ein Paket zu installieren. Diese Version ist stabiler, effizienter und bietet eine bessere Funktionalität in Bezug auf die Speicheranalyse. SIEBEN ist skriptierbar, was bedeutet, dass Benutzer bestimmte Befehle kombinieren können, damit es entsprechend ihren Anforderungen funktioniert.
SIEBEN kann auf jedem System ausgeführt werden, das auf Ubuntu oder Windows OS ausgeführt wird. SIFT unterstützt verschiedene Beweisformate, einschließlich Aff, E01, und Rohformat (Dd). Memory Forensics Bilder sind auch mit SIFT kompatibel. Für Dateisysteme unterstützt SIFT EXT2, EXT3 für Linux, HFS für Mac und FAT, V-FAT, MS-DOS und NTFS für Windows.
Installation
Damit die Workstation reibungslos arbeitet, müssen Sie einen guten RAM, eine gute CPU und einen riesigen Festplattenraum haben (15 GB wird empfohlen). Es gibt zwei Möglichkeiten zu installieren SIEBEN:
Vmware/virtualBox
Um SIFT Workstation als virtuelle Maschine auf VMware oder VirtualBox zu installieren, laden Sie die herunter .Eizellen Formatdatei auf der folgenden Seite:
https: // digitale Verbesserung.Sans.Org/Community/Downloads Importieren Sie dann die Datei in virtualBox, indem Sie auf die Option importieren. Verwenden Sie nach Abschluss der Installation die folgenden Anmeldeinformationen, um sich anzumelden:
Login = Sansforensics
Passwort = Forensik
Ubuntu
Um SIFT Workstation auf Ihrem Ubuntu -System zu installieren, gehen Sie zunächst auf die folgende Seite:
(Eine Fehlermeldung zu formatierten Zeilen im obigen Fall kann ignoriert werden)
Verschieben Sie die Datei in den Speicherort /usr/local/bin/sieben und geben Sie ihm die richtigen Berechtigungen mit dem folgenden Befehl:
ubuntu@ubuntu: ~ $ chmod 755/usr/local/bin/sieben
Führen Sie schließlich den folgenden Befehl aus, um die Installation zu vervollständigen:
Ubuntu@Ubuntu: ~ $ sudo sieben Installation
Geben Sie nach Abschluss der Installation die folgenden Anmeldeinformationen ein:
Login = Sansforensics
Passwort = Forensik
Eine andere Möglichkeit, SIFT auszuführen.
Werkzeug
Die SIFT-Workstation ist mit zahlreichen Tools ausgestattet. Diese Tools enthalten die folgenden:
Autopsie (Tool für Dateisystemanalyse)
Autopsie ist ein Instrument, das von Militär, Strafverfolgungsbehörden und anderen Behörden verwendet wird, wenn ein forensischer Bedarf besteht. Autopsie ist im Grunde eine GUI für die sehr berühmten SLEUTHKIT. Sleithkit nimmt nur Befehlszeilenanweisungen an. Andererseits macht Autopsie den gleichen Prozess einfach und benutzerfreundlich. Beim Eingeben Folgendes:
Ubuntu@Ubuntu: ~ $ Autopsie Ein Bildschirm erscheint wie folgt: =================================================== Autopsie forensischer Browser http: // www.SLEUTHKIT.Org/Autopsie/ Ver 2.24 =================================================== Evidence Locker:/var/lib/Autopsie Startzeit: Mi 17. Juni 00:42:46 2020 Remote Host: Localhost Lokaler Hafen: 9999 Öffnen Sie einen HTML -Browser auf dem Remote -Host und fügen Sie diese URL darin ein: http: // localhost: 9999/Autopsie
Beim Navigieren zu http: // localhost: 9999/Autopsie In jedem Webbrowser sehen Sie die folgende Seite:
Das erste, was Sie tun müssen, ist, einen Fall zu erstellen, ihm eine Fallnummer zu geben und die Namen der Ermittler zu schreiben, um die Informationen und Beweise zu organisieren. Nach dem Eingeben der Informationen und dem Drücken der Nächste Die Schaltfläche, die unten gezeigte Seite:
Dieser Bildschirm zeigt, was Sie als Fallnummer und Fallinformationen geschrieben haben. Diese Informationen werden in der Bibliothek gespeichert /var/lib/Autopsie/.
Beim Klicken Host hinzufügen, Sie sehen den folgenden Bildschirm, auf dem Sie die Hostinformationen wie Name, Zeitzone und Hostbeschreibung hinzufügen können
Klicken Nächste Bringen Sie zu einer Seite, auf der Sie ein Bild bereitstellen müssen. E01 (Sachverständigerformat), Aff (Advanced Forensics Format), Dd (RAW -Format), und die forensischen Memory -Bilder sind kompatibel. Sie geben ein Bild bereit und lassen die Autopsie ihre Arbeit erledigen.
vor allem (Tool zum Schnitzen von Dateien)
Wenn Sie Dateien wiederherstellen möchten, die aufgrund ihrer internen Datenstrukturen, Header und Fußzeilen verloren gingen, in erster Linie kann verwendet werden. Dieses Tool nimmt Eingaben in verschiedenen Bildformaten an, wie z. B. die mit DD, Encase usw. generierten usw. Erforschen Sie die Optionen dieses Tools mit dem folgenden Befehl:
Ubuntu@Ubuntu: ~ $ WORMOST -H -D - Einschalten der indirekten Blockerkennung (für UNIX -Dateisysteme) -I - Eingabedatei angeben (Standard ist stdin) -A - Schreiben Sie alle Header, führen Sie keine Fehlererkennung durch (beschädigte Dateien) Asche -W - Schreiben Sie nur die Prüfungsdatei, schreiben Sie keine erkannten Dateien auf die Festplatte -o - Setzen Sie das Ausgabeverzeichnis (Standardeinstellungen zur Ausgabe) -C - Konfigurationsdatei festlegen (Standardeinstellungen zu in erster Linie.conf) -Q - Aktiviert den schnellen Modus.
Binwalk
Binärbibliotheken verwalten, Binwalk wird eingesetzt. Dieses Tool ist ein wichtiges Kapital für diejenigen, die wissen, wie man es benutzt. Binwalk gilt als das beste Tool für Reverse Engineering und Extrahieren von Firmware -Bildern. Binwalk ist einfach zu bedienen und enthält enorme Fähigkeiten. Schauen Sie sich Binwalks an Hilfe Seite für weitere Informationen mit dem folgenden Befehl:
Ubuntu@Ubuntu: ~ $ Binwalk -Help Verwendung: Binwalk [Optionen] [Datei1] [Datei2] [Datei3]… Signature -Scan -Optionen: -B, -Signatur -Scan -Zieldatei (n) für gemeinsame Dateisignaturen -R, - -raw = Scan -Zieldatei (n) für die angegebene Abfolge von Bytes -A, -OPCODES Scan -Zieldateien (en) für gängige ausführbare Opcode -Signaturen -m, - -magic = Geben Sie eine benutzerdefinierte magische Datei an, die verwendet werden soll -b, -dumme Deaktivieren von Keywords Smart Signature -I, -Invalid zeigen Ergebnisse als ungültig -x, -exklude = Ergebnisse ausschließen, die übereinstimmen, die übereinstimmen -y, -include = nur zeigen Ergebnisse, die übereinstimmen Extraktionsoptionen: -E, -extrahieren automatisch bekannte Dateitypen extrahieren -D, - -dd = Signaturen extrahieren, den Dateien angeben und eine Erweiterung von und ausführen -M, - -matryoshka rekursiv extrahierte Dateien scannen -D, -Depth = Grenze matryoshka -Rekursionstiefe (Standard: 8 Stufen tief) -C, -Verzeichnis = Dateien/Ordner extrahieren in einem benutzerdefinierten Verzeichnis extrahieren -J, -Größe = Begrenzen Sie die Größe jeder extrahierten Datei -n, -count = Begrenzen Sie die Anzahl der extrahierten Dateien -R, -RM Löschen Sie geschnitzte Dateien nach der Extraktion -Z, -Abschnitzeladdaten aus Dateien, aber keine Extraktionsdienstprogramme ausführen Entropieanalyseoptionen: -E, -Inentropie berechnen die Dateientropie -F, -Schneller Verwendung schneller, aber weniger detailliert, Entropieanalyse -J, -Save Save Plot als PNG -Q, -NLEGEND VERLASSEN Sie die Legende aus dem Entropie -Diagramm -Diagramm -N, --NPlot generieren kein Entropie -Diagramm -Diagramm -H, - -hohe = Legen Sie die steigende Kanten -Entropie -Trigger -Schwelle fest (Standard: 0.95) -L, - -low = Legen Sie den Abzugsschwellenwert für die fallende Kante ein (Standard: 0.85) Binäre Differenzoptionen: -W, - -Hexdump führen einen Hexdump / Diff einer Datei oder Dateien durch -G, -Green zeigen nur Zeilen mit Bytes, die unter allen Dateien gleich sind -i, -redieren nur Zeilen, die Bytes enthalten, die zwischen allen Dateien unterschiedlich sind -U, --blue zeigen nur Zeilen mit Bytes, die zwischen einigen Dateien unterschiedlich sind -W, -TERSE Diff alle Dateien, aber nur einen Hex -Dump der ersten Datei anzeigen Rohkomprimierungsoptionen: -X, -Deflate Scan für Rohdeverträglichkeitskompressionsströme -Z, - -Lzma -Scan für Roh -LZMA -Komprimierungsströme -P, -partial führen Sie ein oberflächliches, aber schneller durch, Scan -S, -Haltestelle nach dem ersten Ergebnis Allgemeine Optionen: -L, -Length = Anzahl der zum Scannen zu scannierten Bytes -o, --offset = SCAN bei diesem Dateiversatz starten -O, -Base = Fügen Sie allen gedruckten Offsets eine Basisadresse hinzu -K, -Block = Dateiblockgröße festlegen -g, - -swap = Umrunden Sie alle n Bytes vor dem Scannen um -f, - -log = Protokollergebnisse zur Datei -C, - -CSV -Protokollergebnisse, die im CSV -Format Datei versehen können -t, -TERM -Formatausgabe, um das Terminalfenster anzupassen -Q, -Quiet unterdrückt die Ausgabe auf stdout -v, --verbose aktivieren die ausführliche Ausgabe -H, -HELP Show -Hilfeausgabe -a, -fininclude = nur scannen Dateien, deren Namen mit diesem Regex übereinstimmen -p, -fexclude = scannen keine Dateien, deren Namen mit diesem Regex übereinstimmen -S, --Status = Aktivieren Sie den Statusserver am angegebenen Port
Volatilität (Speicheranalyse -Tool)
Die Volatilität ist ein beliebtes Speicheranalyse, das forensische Tool zur Überprüfung von volatilen Speichermüllhallen verwendet und Benutzern beim Abrufen wichtiger Daten zum Zeitpunkt des Vorfalls beim Abrufen von wichtigen Daten. Dies kann Dateien enthalten, die geändert werden oder Prozesse ausgeführt werden, die ausgeführt werden. In einigen Fällen kann auch die Browser -Anamnese unter Verwendung der Volatilität festgestellt werden.
Wenn Sie einen Speichermüllhalte haben und sein Betriebssystem wissen möchten, verwenden Sie den folgenden Befehl:
Ubuntu@Ubuntu: ~ $ .vol.Py Imageino -f
Die Ausgabe dieses Befehls ergibt ein Profil. Wenn Sie andere Befehle verwenden, müssen Sie dieses Profil als Umfang angeben.
Verwenden Sie die richtige KDBG -Adresse, um die korrekte KDBG -Adresse zu erhalten KDBGSCAN Befehl, das nach KDBG-Headern scannt, Markierungen, die mit Volatilitätsprofilen verbunden sind, und einmal Overs gilt, um zu überprüfen. Die Ausführlichkeit der Ausbeute und die Anzahl der ausgeführten Einsteiger hängen davon ab, ob die Volatilität einen DTB entdecken kann. Wenn Sie also das richtige Profil kennen oder wenn Sie eine Profilempfehlung von ImageInfo haben, sollten Sie das richtige Profil verwenden. Wir können das Profil mit dem folgenden Befehl verwenden:
Ubuntu@Ubuntu: ~ $ .vol.PY Profil = KDBGSCAN -F
Um den Kernelprozessor -Kontrollbereich zu scannen (KPCR) Strukturen, verwenden Sie KPCRSCAN. Wenn es sich um ein Multiprozessor -System handelt, verfügt jeder Prozessor über einen eigenen Kernel -Prozessor -Scanbereich.
Geben Sie den folgenden Befehl ein, um KPCRScan zu verwenden:
Ubuntu@Ubuntu: ~ $ .vol.PY Profil = KPCRSCAN -F
Nach Malwares und Rootkits scannen, PSSCAN wird eingesetzt. Dieses Tool scannt nach versteckten Prozessen, die mit Rootkits verknüpft sind.
Wir können dieses Tool verwenden, indem wir den folgenden Befehl eingeben:
Ubuntu@Ubuntu: ~ $ .vol.PY Profil = PSSCAN -F
Schauen Sie sich die Mannseite für dieses Tool mit dem Hilfebefehl an:
Ubuntu@Ubuntu: ~ $ Volatilität -h Optionen: -H, -HELP -HELP IPAGE ALLE VERFAHREN OPTIONEN UND deren Standardwerte. Standardwerte können in der Konfigurationsdatei festgelegt werden (/etc/volatilityrc) --conf-file =/home/usman/.VolatilityRC Benutzerbasierte Konfigurationsdatei -D, -Debug -Debug -Volatilität --Plugins = Plugins zusätzliche Plugin -Verzeichnisse zu verwenden (Dickdarm getrennt) --Info -Druckinformationen zu allen registrierten Objekten --Cache-Verzeichnis =/home/usman/.Cache/Volatilität Verzeichnis, in dem Cache -Dateien gespeichert werden --Cache verwenden Caching --TZ = TZ legt die (Olson) Zeitzone für die Anzeige von Zeitstempeln fest Verwenden Sie PYTZ (falls installiert) oder TZSET -f Dateiname, -filename = Dateiname Dateiname zum Öffnen eines Bildes verwendet --Profil = winxpsp2x86 Name des zu geladenen Profils (Verwenden Sie -Info, um eine Liste unterstützter Profile anzuzeigen) -l Standort, -Lokalisierung = Standort Ein Urnenort, aus dem ein Adressraum geladen werden kann -W, -Schreiben Sie die Schreibunterstützung aktivieren --DTB = DTB DTB -Adresse --Shift = Shift Mac Kaslr Shift -Adresse --Ausgabe = Textausgabe in diesem Format (Unterstützung ist modulspezifisch siehe Die Modulausgabeoptionen unten) --output-file = output_file Schreiben Sie die Ausgabe in diese Datei -v, --verbose ausführliche Informationen --Physikal_Shift = Physical_shift Linux -Kernel physische Verschiebungsadresse --virtual_shift = virtual_shift Linux Kernel Virtual Shift Adresse -G KDBG,-KDBG = KDBG Geben Sie eine virtuelle KDBG-Adresse an (Hinweis: für 64-Bit Windows 8 und darüber ist die Adresse von KdcopyDatablock) --Kraftnutzung des verdächtigen Profils --Cookie = Cookie Geben Sie die Adresse von NT an!ObhedeCookie (gültig für Nur Windows 10) -KPCR, -KPCR = KPCR Geben Sie eine bestimmte KPCR -Adresse an Unterstützte Plugin -Befehle: AMCACHE DRUCK -AMCACHE -Informationen Apihooks erkennen API -Hooks im Prozess und im Kernel -Speicher Atome Drucksitzung und Fensterstation Atomtische Atomscan Pool Scanner für Atomtische AuditPol druckt die Audit -Richtlinien von HKLM \ Security \ Policy \ Poladtev aus Bigpools entlasten die großen Seitenpools mit BigPagePoolscanner Bioskbd liest den Tastaturpuffer aus dem realen Modusspeicher Cachedump -Dumps zwischengespeicherten Domänen -Hashes aus dem Gedächtnis Rückrufe Druck systemweite Benachrichtigungsroutinen Zwischenablage extrahieren Sie den Inhalt der Windows -Zwischenablage CMDLINE-Anzeigeprozess-Befehlszeilenargumente CMDSCAN -Extraktbefehlshistorie durch Scannen nach _command_history Verbindungen Druckliste der offenen Verbindungen [nur Windows XP und 2003] Connscan -Pool -Scanner für TCP -Verbindungen Konsolen extrahieren Befehlsverlauf durch Scannen nach _console_information CrashInfo-Dump-Crash-Dump-Informationen kleber Poolscaner für TagDesktop (Desktops) Devicetree -Gerätebaum anzeigen DLLDUMP -Dump -DLLs aus einem Prozessadressraum DLLLIST -Druckliste geladener DLLs für jeden Prozess Driverirp -Treiber -IRP -Hook -Erkennung Drivermodule assoziieren Treiberobjekte mit Kernelmodulen Treiber -Pool -Scanner für Fahrerobjekte DumpCerts Dump RSA Private und öffentliche SSL -Schlüsseln DumpFiles extrahieren Speicher zugeordnete und zwischengespeicherte Dateien DumpRegistry Dumps Registry -Dateien auf die Festplatte aus Gditimers drucken installierte GDI -Timer und Rückrufe GDT Global Descriptor Tabelle anzeigen GetServicesids erhalten die Namen von Diensten in der Registrierung und Rückgabe berechnet SID Getsids drucken die SIDs, die jeden Prozess besitzen Die Druckliste der geöffneten Handles für jeden Prozess verhandelt Hashdump Dumps Passwörter Hashes (LM/NTLM) aus dem Speicher Hibinfo -Dump -Hiberation -Dateiinformationen Lsadump Dump (entschlüsselt) LSA -Geheimnisse aus dem Register Machoinfo Dump Mach-O-Dateiformatinformat Memmap Drucken Sie die Speicherkarte drucken MessageHooks List Desktop- und Thread -Fensternachrichtungshaken MftParser scannt potenzielle MFT -Einträge und pariert potenzielle MFT -Einträge Moddump Dump einen Kernel -Treiber in eine ausführbare Datei -Probe Modscan Pool Scanner für Kernelmodule Module Druckliste von geladenen Modulen Multiscaner Scan für verschiedene Objekte gleichzeitig Mutantscan Pool Scanner für Mutex -Objekte Notepad -Liste Derzeit angezeigter Notiziertext angezeigt ObjTypescan -Scan für Windows -Objekt -Objekte Patcher Patches Speicher basierend auf Seiten Scans Poolpeek Konfigurierbares Pool -Scanner -Plugin
Hashdeep oder MD5Deep (Hashing -Werkzeuge)
Es ist selten möglich, dass zwei Dateien denselben MD5 -Hash haben, aber es ist unmöglich, dass eine Datei mit seinem MD5 -Hash geändert wird, der gleich bleibt. Dies schließt die Integrität der Dateien oder die Beweise ein. Mit einem Duplikat des Laufwerks kann jeder seine Vertrauenswürdigkeit prüfen und würde eine Sekunde darüber nachdenken. Um den Beweis zu erhalten, dass das in Betracht gezogene Laufwerk das Original ist, können Sie Hashing verwenden, was einem Antrieb einen Hash verleiht. Wenn sich sogar ein einzelner Informationen geändert hat, ändert sich der Hash und Sie können wissen, ob das Laufwerk einzigartig oder ein Duplikat ist. Um die Integrität des Laufwerks zu gewährleisten und dass niemand sie in Frage stellen kann, können Sie die Festplatte kopieren, um einen MD5 -Hash des Laufwerks zu generieren. Sie können verwenden MD5SUM Für ein oder zwei Dateien, aber wenn es um mehrere Dateien in mehreren Verzeichnissen geht, ist MD5Deep die beste verfügbare Option zum Generieren von Hashes. Dieses Tool hat auch die Möglichkeit, mehrere Hashes gleichzeitig zu vergleichen.
Schauen Sie sich die MD5Deep Man -Seite an:
Ubuntu@Ubuntu: ~ $ Md5Deep -h $ md5deep [Option]… [Dateien]… Siehe die Mannseite oder Readme.TXT -Datei oder verwenden Sie -HH für die vollständige Liste der Optionen -P - stückweise Modus. Dateien werden in Blöcke für Hashing unterteilt -R - rekursiver Modus. Alle Unterverzeichnisse werden durchquert -E - Die verbleibende Zeit für jede Datei anzeigen -S - Silent Modus. Alle Fehlermeldungen unterdrücken -Z - Dateigröße vor Hash anzeigen -M - Ermöglicht den Matching -Modus. Siehe Readme/Man -Seite -X - Aktiviert den negativen Matching -Modus. Siehe Readme/Man -Seite -M und -x sind die gleichen wie -m und -x, aber auch Hashes jeder Datei drucken -W - Zeigt an, welche bekannte Datei eine Übereinstimmung generiert hat -n - Zeigt bekannte Hashes an, die keine Eingabedateien übereinstimmten -A und -a fügen dem positiven oder negativen Matching -Satz einen einzelnen Hash hinzu -b - druckt nur den nackten Namen der Dateien; Alle Pfadinformationen werden weggelassen -L - Relative Pfade für Dateinamen Drucke ausdrucken -T - GMT Timestamp (CTime) drucken -i/i - verarbeiten nur Dateien, die kleiner/größer als die Größe sind -v - Versionsnummer anzeigen und beenden -d - Ausgang in dfxml; -U - entkommen Unicode; -W Datei - Schreiben Sie in Datei. -J - NAM -Threads verwenden (Standard 4) -Z - Triage -Modus; -h - Hilfe; -hh - volle Hilfe
Exiftool
Es gibt viele Tools zum Tagging und Anzeigen von Bildern von eins. In dem Fall, dass Sie viele Bilder zu analysieren haben. Exiftool ist ein Open-Source. Metadaten liefert zusätzliche Informationen zu einem Artikel. Für ein Bild ist seine Metadaten seine Auflösung, wenn es genommen oder erstellt wurde, und die Kamera oder das Programm zum Erstellen des Bildes. EXEXIFTOOL kann verwendet werden, um nicht nur die Metadaten einer Bilddatei zu ändern und zu manipulieren, sondern auch zusätzliche Informationen in die Metadaten einer Datei schreiben. Verwenden Sie den folgenden Befehl, um die Metadaten eines Bildes im RAW -Format zu untersuchen:
Ubuntu@Ubuntu: ~ $ exif
Mit diesem Befehl können Sie Daten erstellen, z. B. Datum, Uhrzeit und andere Informationen, die nicht in den allgemeinen Eigenschaften einer Datei aufgeführt sind.
Angenommen, Sie benötigen Hunderte von Dateien und Ordnern mithilfe von Metadaten, um Datum und Uhrzeit zu erstellen. Dazu müssen Sie den folgenden Befehl verwenden:
Ubuntu@Ubuntu: ~ $ exif '-FileName Erstellen: Sortieren Sie nach Datum und Uhrzeit der Datei der Datei -D: Setzen Sie das Format -R: rekursiv (Verwenden Sie den folgenden Befehl in jeder Datei im angegebenen Pfad) -Erweiterung: Erweiterung der zu ändernden Dateien (JPEG, PNG usw.) -Pfad zur Datei: Ort des Ordners oder Unterordners Schauen Sie sich die Seite Exiftool Man an: Ubuntu@Ubuntu: ~ $ exif -help -v, -Verssionsanbieter -Softwareversion -i, --ids zeigen IDs anstelle von Tag -Namen -t, - -Tag = Tag auswählen Tag --ifd = ifd auswählen ifd -L,-List-Tags listen alle EXIF-Tags auf -|, --how-Mnote Show Inhalt von Tag Makernote --Entfernen Sie das Tag oder IFD entfernen -S, --how-Decription anzeigen Beschreibung des Tags -E,-extrahieren Dambnail Extract Thumbnail -R,-Remove-Dambnail Entfernen Sie die Miniaturansicht -N,-Insert-Thumbnail = Datei einfügen Datei als Miniaturansicht einfügen --No-Fixup repariert nicht vorhandene Tags in Dateien -O, -Output = Datei schreiben Daten in Datei --set-value = Stringwert des Tags -C,-create-exif erstellen exif data, wenn nicht vorhanden -M,-machine-lesbare Ausgabe in einem maschinenlesbaren (Registerkartengrad) Format -W, -Breite = Breite des Ausgangs -x,-xml-output-Ausgabe in einem XML-Format -D, -Debug -Show -Debugging -Nachrichten Hilfeoptionen: -?, --Helfen Sie mit, diese Hilfe zu zeigen --Verwendungsnutzung kurze Nutzungsnachricht anzeigen
DCFLDD (Disk -Bildgebungstool)
Ein Bild einer Festplatte kann mit dem erhalten werden dcfldd Dienstprogramm. Verwenden Sie den folgenden Befehl, um das Bild von der Festplatte zu erhalten:
Ubuntu@ubuntu: ~ $ dcfldd if = von BS = 512 count = 1 Hash = if = Ziel des Laufwerks, das ein Bild erstellen kann von = Ziel, wo das kopierte Bild gespeichert wird BS = Blockgröße (Anzahl der Bytes, die jeweils kopiert werden) Hash = Hashtyp (optional)
Schauen Sie sich die DCFLDD -Hilfeseite an, um verschiedene Optionen für dieses Tool mit dem folgenden Befehl zu erkunden:
Ubuntu@Ubuntu: ~ $ DCFLDD -HELP DCFLDD -HELP Verwendung: DCFLDD [Option]… Kopieren Sie eine Datei, konvertieren und formatieren gemäß den Optionen. BS = Bytes erzwingen IBS = Bytes und OBS = Bytes CBS = Bytes konvertieren Bytes gleichzeitig Bytes Conv = Keywords konvertieren die Datei gemäß dem von Comma getrennten Keyword -ListCC count = blocks kopieren nur blocks Eingangsblöcke IBS = Bytes lesen Bytes gleichzeitig Bytes if = Datei aus der Datei anstelle von stdin lesen OBS = Bytes schreiben Bytes gleichzeitig Bytes von = Datei schreiben in Datei anstelle von stdout Hinweis: Von = Datei kann mehrmals zum Schreiben verwendet werden Ausgabe auf mehrere Dateien gleichzeitig von: = Befehlsausgang und Schreibausgabe in den Prozessbefehl such = Blöcke überspringen Blöcke Obsgrößenblöcke zu Beginn der Ausgabe Skip = Blocks Skip Blöcke IBS-Größe Blöcke zu Beginn der Eingabe überspringen Muster = Hex Verwenden Sie das angegebene binäre Muster als Eingabe textPattern = text verwenden wiederholte text als Eingabe Errlog = Datei Senden Sie Fehlermeldungen an Datei sowie STDERR Hashwindow = Bytes führen einen Hash für alle Datenmenge aus Hash = Name entweder MD5, SHA1, SHA256, SHA384 oder SHA512 Standardalgorithmus ist MD5. Um mehrere zu wählen Algorithmen, die gleichzeitig die Namen eingeben sollen In einer Komma -getrennten Liste HashLog = Datei Senden Sie MD5 Hash -Ausgabe an Datei anstelle von STDERR Wenn Sie mehrere Hash -Algorithmen verwenden kann jede an eine separate Datei mit dem senden Konventionalgorithmlog = Datei zum Beispiel Md5log = Datei1, SHA1Log = Datei2 usw. Hashlog: = Befehls Exec und schreiben Algorithmlog: = Befehl funktioniert auch auf die gleiche Weise HashConv = [vor | nach] führen das Hashing vor oder nach den Konvertierungen durch Hashformat = Format Zeigen Sie jede HashWindow gemäß dem Format an Das Hash-Format-Mini-Sprache wird unten beschrieben TotalHashFormat = Format Zeigen Sie den Gesamthash -Wert gemäß dem Format an status = [on | off] Zeigen Sie eine kontinuierliche Statusnachricht auf Stderr an Standardzustand ist "on" statusInterval = n Aktualisieren Sie die Statusnachricht in allen n Blöcken Standardwert ist 256 SizeProbe = [if | von] Bestimmen Sie die Größe der Eingangs- oder Ausgabedatei Für die Verwendung mit Statusnachrichten. (diese Option gibt Ihnen einen prozentualen Indikator) Warnung: Verwenden Sie diese Option nicht gegen a Bandvorrichtung. Sie können eine beliebige Anzahl von 'a' oder 'n' in einer Kombination verwenden Das Standardformat ist "nnn" Hinweis: Die Optionen Split- und SplitFormat werden wirksam Nur für Ausgabedateien, die nach Ziffern in angegeben wurden Jede Kombination, die Sie möchten. (e.G. "Anaannnaana" wäre gültig, aber ziemlich verrückt) VF = Datei überprüfen Sie, ob die Datei mit der angegebenen Eingabe übereinstimmt verifyLog = Datei senden Senden Sie die Ergebnisse anstelle von Stderr an die Datei anstelle von STDERR VerifyLog: = Befehlscort und schreiben --Helfen Sie mit, diese Hilfe anzuzeigen und zu beenden --Versionsinformationen der Version Ausgabe Versionen und Beenden ASCII von Ebcdic nach ASCII Ebcdic von ASCII zu Ebcdic IBM von ASCII zu abwechselnden Ebcdic Block Pad Newline-terminierte Datensätze mit Platz zu CBS-Größe Entsperren Sie nach Ablaufräumen in CBS-Größe Rekorde durch Newline Lupe ändern den oberen Fall in den unteren Fall Notrunc schneidet die Ausgabedatei nicht ab ucase ändern den unteren Fall in den oberen Fall Tauschen Sie jedes Paar Eingangsbytes aus NoError geht nach den Lesenfehlern weiter Synchronisieren Sie jeden Eingangsblock mit Nuls bis IBS-Größe; wenn benutzt
Spickzettel
Eine weitere Qualität der SIEBEN Workstation sind die Cheat -Blätter, die bereits mit dieser Verteilung installiert sind. Die Cheat Sheets helfen dem Benutzer, loszulegen. Bei der Durchführung einer Untersuchung erinnern die Cheat -Blätter den Benutzer an alle leistungsstarken Optionen, die mit diesem Arbeitsbereich verfügbar sind. Die Cheat -Blätter ermöglichen es dem Benutzer, die neuesten forensischen Tools problemlos in die Hände zu bekommen. Bei dieser Verteilung sind Cheat -Blätter vieler wichtiger Werkzeuge verfügbar, wie zum Beispiel das Cheat Sheet für Schatten Timeline -Erstellung:
Ein weiteres Beispiel ist das Cheat Sheet für die Berühmten SLEUTHKIT:
Cheat -Blätter sind ebenfalls verfügbar für Speicheranalyse und für die Montage aller Arten von Bildern:
Abschluss
Das sans investigative forensische Toolkit (SIEBEN) verfügt über die grundlegenden Funktionen eines anderen Forensik -Toolkits und enthält auch die neuesten leistungsstarken Tools, E01 (Sachverständigerformat), Aff (Advanced Forensics Format) oder Rohbild (Dd) Formate. Das Speicheranalyseformat ist auch mit SIFT kompatibel. SIFT legt strenge Richtlinien darüber, wie Beweise analysiert werden, und stellen Sie sicher, dass die Beweise nicht manipuliert werden (diese Richtlinien haben schreibgeschützte Berechtigungen). Die meisten der in SIFT enthaltenen Tools sind über die Befehlszeile zugänglich. SIFT kann auch verwendet werden, um die Netzwerkaktivität zu verfolgen, wichtige Daten wiederherzustellen und eine Zeitleiste systematisch zu erstellen. Aufgrund der Fähigkeit dieser Verteilung, Festplatten und mehrere Dateisysteme gründlich zu untersuchen. Alle Tools, die für eine forensische Untersuchung erforderlich sind Sift Workstation Erstellt von der Ohne Forensik Team und Rob Lee .