Ohne investigatives Forensik -Toolkit

SIEBEN ist eine von der erstellte Forensikverteilung für Computer Ohne Forensik Team zur Durchführung digitaler Forensik. Diese Distribution enthält die meisten Tools, die für die Analyse der digitalen Forensik und die Prüfung der Vorfälle erforderlich sind. SIEBEN ist Open-Source und öffentlich kostenlos im Internet verfügbar. In der heutigen digitalen Welt, in der täglich Verbrechen mit digitalen Technologie verpflichtet werden, werden Angreifer immer heimlicher und raffinierter. Dies kann dazu führen, dass Unternehmen wichtige Daten verlieren, wobei Millionen von Benutzern ausgesetzt sind. Der Schutz Ihrer Organisation vor diesen Angriffen erfordert starke forensische Techniken und Kenntnisse in Ihrer Verteidigungsstrategie. SIEBEN Bietet forensische Tools für Dateisysteme, Speicher und Netzwerkuntersuchungen, um eingehende forensische Untersuchungen durchzuführen.

In 2007, SIEBEN war zum Download verfügbar und war hart codiert. Bei einem Update mussten die Benutzer die neuere Version herunterladen. Mit weiteren Innovationen im Jahr 2014, SIEBEN wurde als robustes Paket auf Ubuntu erhältlich und kann jetzt als Workstation heruntergeladen werden. Später, im Jahr 2017, eine Version von SIEBEN kam auf den Markt, was zu einer größeren Funktionalität und den Benutzern die Möglichkeit gab, Daten aus anderen Quellen zu nutzen. Diese neuere Version enthält mehr als 200 Tools von Dritten und enthält einen Paketmanager, bei dem Benutzer nur einen Befehl eingeben müssen, um ein Paket zu installieren. Diese Version ist stabiler, effizienter und bietet eine bessere Funktionalität in Bezug auf die Speicheranalyse. SIEBEN ist skriptierbar, was bedeutet, dass Benutzer bestimmte Befehle kombinieren können, damit es entsprechend ihren Anforderungen funktioniert.

SIEBEN kann auf jedem System ausgeführt werden, das auf Ubuntu oder Windows OS ausgeführt wird. SIFT unterstützt verschiedene Beweisformate, einschließlich Aff, E01, und Rohformat (Dd). Memory Forensics Bilder sind auch mit SIFT kompatibel. Für Dateisysteme unterstützt SIFT EXT2, EXT3 für Linux, HFS für Mac und FAT, V-FAT, MS-DOS und NTFS für Windows.

Installation

Damit die Workstation reibungslos arbeitet, müssen Sie einen guten RAM, eine gute CPU und einen riesigen Festplattenraum haben (15 GB wird empfohlen). Es gibt zwei Möglichkeiten zu installieren SIEBEN:

• Vmware/virtualBox

Um SIFT Workstation als virtuelle Maschine auf VMware oder VirtualBox zu installieren, laden Sie die herunter .Eizellen Formatdatei auf der folgenden Seite:

https: // digitale Verbesserung.Sans.Org/Community/Downloads
Importieren Sie dann die Datei in virtualBox, indem Sie auf die Option importieren. Verwenden Sie nach Abschluss der Installation die folgenden Anmeldeinformationen, um sich anzumelden:

Login = Sansforensics

Passwort = Forensik

• Ubuntu

Um SIFT Workstation auf Ihrem Ubuntu -System zu installieren, gehen Sie zunächst auf die folgende Seite:

https: // github.com/teamdfir/sift-cli/releases/tag/v1.8.5

Installieren Sie auf dieser Seite die folgenden zwei Dateien:

SIFT-Cli-Linux
SIFT-Cli-Linux.SHA256.ASC

Importieren Sie dann den PGP -Taste mit dem folgenden Befehl:

Ubuntu@Ubuntu: ~ $ gpg -KeyServer hkp: // Pool.sks-keyserver.Netz: 80
--Recv-Keys 22598a94

Validieren Sie die Signatur mit dem folgenden Befehl:

Ubuntu@Ubuntu: ~ $ gpg-Verify SIFT-Cli-linux.SHA256.ASC

Validieren Sie die SHA256 -Signatur mit dem folgenden Befehl:

Ubuntu@Ubuntu: ~ $ SHA256SUM -C SIFT-CLI-Linux.SHA256.ASC

(Eine Fehlermeldung zu formatierten Zeilen im obigen Fall kann ignoriert werden)

Verschieben Sie die Datei in den Speicherort /usr/local/bin/sieben und geben Sie ihm die richtigen Berechtigungen mit dem folgenden Befehl:

ubuntu@ubuntu: ~ $ chmod 755/usr/local/bin/sieben

Führen Sie schließlich den folgenden Befehl aus, um die Installation zu vervollständigen:

Ubuntu@Ubuntu: ~ $ sudo sieben Installation

Geben Sie nach Abschluss der Installation die folgenden Anmeldeinformationen ein:

Login = Sansforensics

Passwort = Forensik

Eine andere Möglichkeit, SIFT auszuführen.

Werkzeug

Die SIFT-Workstation ist mit zahlreichen Tools ausgestattet. Diese Tools enthalten die folgenden:

• Autopsie (Tool für Dateisystemanalyse)

Autopsie ist ein Instrument, das von Militär, Strafverfolgungsbehörden und anderen Behörden verwendet wird, wenn ein forensischer Bedarf besteht. Autopsie ist im Grunde eine GUI für die sehr berühmten SLEUTHKIT. Sleithkit nimmt nur Befehlszeilenanweisungen an. Andererseits macht Autopsie den gleichen Prozess einfach und benutzerfreundlich. Beim Eingeben Folgendes:

Ubuntu@Ubuntu: ~ $ Autopsie
Ein Bildschirm erscheint wie folgt:
===================================================
Autopsie forensischer Browser
http: // www.SLEUTHKIT.Org/Autopsie/
Ver 2.24
===================================================
Evidence Locker:/var/lib/Autopsie
Startzeit: Mi 17. Juni 00:42:46 2020
Remote Host: Localhost
Lokaler Hafen: 9999
Öffnen Sie einen HTML -Browser auf dem Remote -Host und fügen Sie diese URL darin ein:
http: // localhost: 9999/Autopsie

Beim Navigieren zu http: // localhost: 9999/Autopsie In jedem Webbrowser sehen Sie die folgende Seite:

Das erste, was Sie tun müssen, ist, einen Fall zu erstellen, ihm eine Fallnummer zu geben und die Namen der Ermittler zu schreiben, um die Informationen und Beweise zu organisieren. Nach dem Eingeben der Informationen und dem Drücken der Nächste Die Schaltfläche, die unten gezeigte Seite:

Dieser Bildschirm zeigt, was Sie als Fallnummer und Fallinformationen geschrieben haben. Diese Informationen werden in der Bibliothek gespeichert /var/lib/Autopsie/.

Beim Klicken Host hinzufügen, Sie sehen den folgenden Bildschirm, auf dem Sie die Hostinformationen wie Name, Zeitzone und Hostbeschreibung hinzufügen können

Klicken Nächste Bringen Sie zu einer Seite, auf der Sie ein Bild bereitstellen müssen. E01 (Sachverständigerformat), Aff (Advanced Forensics Format), Dd (RAW -Format), und die forensischen Memory -Bilder sind kompatibel. Sie geben ein Bild bereit und lassen die Autopsie ihre Arbeit erledigen.

• vor allem (Tool zum Schnitzen von Dateien)

Wenn Sie Dateien wiederherstellen möchten, die aufgrund ihrer internen Datenstrukturen, Header und Fußzeilen verloren gingen, in erster Linie kann verwendet werden. Dieses Tool nimmt Eingaben in verschiedenen Bildformaten an, wie z. B. die mit DD, Encase usw. generierten usw. Erforschen Sie die Optionen dieses Tools mit dem folgenden Befehl:

Ubuntu@Ubuntu: ~ $ WORMOST -H
-D - Einschalten der indirekten Blockerkennung (für UNIX -Dateisysteme)
-I - Eingabedatei angeben (Standard ist stdin)
-A - Schreiben Sie alle Header, führen Sie keine Fehlererkennung durch (beschädigte Dateien) Asche
-W - Schreiben Sie nur die Prüfungsdatei, schreiben Sie keine erkannten Dateien auf die Festplatte
-o - Setzen Sie das Ausgabeverzeichnis (Standardeinstellungen zur Ausgabe)
-C - Konfigurationsdatei festlegen (Standardeinstellungen zu in erster Linie.conf)
-Q - Aktiviert den schnellen Modus.

• Binwalk

Binärbibliotheken verwalten, Binwalk wird eingesetzt. Dieses Tool ist ein wichtiges Kapital für diejenigen, die wissen, wie man es benutzt. Binwalk gilt als das beste Tool für Reverse Engineering und Extrahieren von Firmware -Bildern. Binwalk ist einfach zu bedienen und enthält enorme Fähigkeiten. Schauen Sie sich Binwalks an Hilfe Seite für weitere Informationen mit dem folgenden Befehl:

Ubuntu@Ubuntu: ~ $ Binwalk -Help
Verwendung: Binwalk [Optionen] [Datei1] [Datei2] [Datei3]…
Signature -Scan -Optionen:
-B, -Signatur -Scan -Zieldatei (n) für gemeinsame Dateisignaturen
-R, - -raw = Scan -Zieldatei (n) für die angegebene Abfolge von Bytes
-A, -OPCODES Scan -Zieldateien (en) für gängige ausführbare Opcode -Signaturen
-m, - -magic = Geben Sie eine benutzerdefinierte magische Datei an, die verwendet werden soll
-b, -dumme Deaktivieren von Keywords Smart Signature
-I, -Invalid zeigen Ergebnisse als ungültig
-x, -exklude = Ergebnisse ausschließen, die übereinstimmen, die übereinstimmen
-y, -include = nur zeigen Ergebnisse, die übereinstimmen
Extraktionsoptionen:
-E, -extrahieren automatisch bekannte Dateitypen extrahieren
-D, - -dd = Signaturen extrahieren, den Dateien angeben und eine
Erweiterung von und ausführen
-M, - -matryoshka rekursiv extrahierte Dateien scannen
-D, -Depth = Grenze matryoshka -Rekursionstiefe (Standard: 8 Stufen tief)
-C, -Verzeichnis = Dateien/Ordner extrahieren in einem benutzerdefinierten Verzeichnis extrahieren
-J, -Größe = Begrenzen Sie die Größe jeder extrahierten Datei
-n, -count = Begrenzen Sie die Anzahl der extrahierten Dateien
-R, -RM Löschen Sie geschnitzte Dateien nach der Extraktion
-Z, -Abschnitzeladdaten aus Dateien, aber keine Extraktionsdienstprogramme ausführen
Entropieanalyseoptionen:
-E, -Inentropie berechnen die Dateientropie
-F, -Schneller Verwendung schneller, aber weniger detailliert, Entropieanalyse
-J, -Save Save Plot als PNG
-Q, -NLEGEND VERLASSEN Sie die Legende aus dem Entropie -Diagramm -Diagramm
-N, --NPlot generieren kein Entropie -Diagramm -Diagramm
-H, - -hohe = Legen Sie die steigende Kanten -Entropie -Trigger -Schwelle fest (Standard: 0.95)
-L, - -low = Legen Sie den Abzugsschwellenwert für die fallende Kante ein (Standard: 0.85)
Binäre Differenzoptionen:
-W, - -Hexdump führen einen Hexdump / Diff einer Datei oder Dateien durch
-G, -Green zeigen nur Zeilen mit Bytes, die unter allen Dateien gleich sind
-i, -redieren nur Zeilen, die Bytes enthalten, die zwischen allen Dateien unterschiedlich sind
-U, --blue zeigen nur Zeilen mit Bytes, die zwischen einigen Dateien unterschiedlich sind
-W, -TERSE Diff alle Dateien, aber nur einen Hex -Dump der ersten Datei anzeigen
Rohkomprimierungsoptionen:
-X, -Deflate Scan für Rohdeverträglichkeitskompressionsströme
-Z, - -Lzma -Scan für Roh -LZMA -Komprimierungsströme
-P, -partial führen Sie ein oberflächliches, aber schneller durch, Scan
-S, -Haltestelle nach dem ersten Ergebnis
Allgemeine Optionen:
-L, -Length = Anzahl der zum Scannen zu scannierten Bytes
-o, --offset = SCAN bei diesem Dateiversatz starten
-O, -Base = Fügen Sie allen gedruckten Offsets eine Basisadresse hinzu
-K, -Block = Dateiblockgröße festlegen
-g, - -swap = Umrunden Sie alle n Bytes vor dem Scannen um
-f, - -log = Protokollergebnisse zur Datei
-C, - -CSV -Protokollergebnisse, die im CSV -Format Datei versehen können
-t, -TERM -Formatausgabe, um das Terminalfenster anzupassen
-Q, -Quiet unterdrückt die Ausgabe auf stdout
-v, --verbose aktivieren die ausführliche Ausgabe
-H, -HELP Show -Hilfeausgabe
-a, -fininclude = nur scannen Dateien, deren Namen mit diesem Regex übereinstimmen
-p, -fexclude = scannen keine Dateien, deren Namen mit diesem Regex übereinstimmen
-S, --Status = Aktivieren Sie den Statusserver am angegebenen Port

• Volatilität (Speicheranalyse -Tool)

Die Volatilität ist ein beliebtes Speicheranalyse, das forensische Tool zur Überprüfung von volatilen Speichermüllhallen verwendet und Benutzern beim Abrufen wichtiger Daten zum Zeitpunkt des Vorfalls beim Abrufen von wichtigen Daten. Dies kann Dateien enthalten, die geändert werden oder Prozesse ausgeführt werden, die ausgeführt werden. In einigen Fällen kann auch die Browser -Anamnese unter Verwendung der Volatilität festgestellt werden.

Wenn Sie einen Speichermüllhalte haben und sein Betriebssystem wissen möchten, verwenden Sie den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ .vol.Py Imageino -f

Die Ausgabe dieses Befehls ergibt ein Profil. Wenn Sie andere Befehle verwenden, müssen Sie dieses Profil als Umfang angeben.

Verwenden Sie die richtige KDBG -Adresse, um die korrekte KDBG -Adresse zu erhalten KDBGSCAN Befehl, das nach KDBG-Headern scannt, Markierungen, die mit Volatilitätsprofilen verbunden sind, und einmal Overs gilt, um zu überprüfen. Die Ausführlichkeit der Ausbeute und die Anzahl der ausgeführten Einsteiger hängen davon ab, ob die Volatilität einen DTB entdecken kann. Wenn Sie also das richtige Profil kennen oder wenn Sie eine Profilempfehlung von ImageInfo haben, sollten Sie das richtige Profil verwenden. Wir können das Profil mit dem folgenden Befehl verwenden:

Ubuntu@Ubuntu: ~ $ .vol.PY Profil = KDBGSCAN
-F

Um den Kernelprozessor -Kontrollbereich zu scannen (KPCR) Strukturen, verwenden Sie KPCRSCAN. Wenn es sich um ein Multiprozessor -System handelt, verfügt jeder Prozessor über einen eigenen Kernel -Prozessor -Scanbereich.

Geben Sie den folgenden Befehl ein, um KPCRScan zu verwenden:

Ubuntu@Ubuntu: ~ $ .vol.PY Profil = KPCRSCAN
-F

Nach Malwares und Rootkits scannen, PSSCAN wird eingesetzt. Dieses Tool scannt nach versteckten Prozessen, die mit Rootkits verknüpft sind.

Wir können dieses Tool verwenden, indem wir den folgenden Befehl eingeben:

Ubuntu@Ubuntu: ~ $ .vol.PY Profil = PSSCAN
-F

Schauen Sie sich die Mannseite für dieses Tool mit dem Hilfebefehl an:

Ubuntu@Ubuntu: ~ $ Volatilität -h
Optionen:
-H, -HELP -HELP IPAGE ALLE VERFAHREN OPTIONEN UND deren Standardwerte.
Standardwerte können in der Konfigurationsdatei festgelegt werden
(/etc/volatilityrc)
--conf-file =/home/usman/.VolatilityRC
Benutzerbasierte Konfigurationsdatei
-D, -Debug -Debug -Volatilität
--Plugins = Plugins zusätzliche Plugin -Verzeichnisse zu verwenden (Dickdarm getrennt)
--Info -Druckinformationen zu allen registrierten Objekten
--Cache-Verzeichnis =/home/usman/.Cache/Volatilität
Verzeichnis, in dem Cache -Dateien gespeichert werden
--Cache verwenden Caching
--TZ = TZ legt die (Olson) Zeitzone für die Anzeige von Zeitstempeln fest
Verwenden Sie PYTZ (falls installiert) oder TZSET
-f Dateiname, -filename = Dateiname
Dateiname zum Öffnen eines Bildes verwendet
--Profil = winxpsp2x86
Name des zu geladenen Profils (Verwenden Sie -Info, um eine Liste unterstützter Profile anzuzeigen)
-l Standort, -Lokalisierung = Standort
Ein Urnenort, aus dem ein Adressraum geladen werden kann
-W, -Schreiben Sie die Schreibunterstützung aktivieren
--DTB = DTB DTB -Adresse
--Shift = Shift Mac Kaslr Shift -Adresse
--Ausgabe = Textausgabe in diesem Format (Unterstützung ist modulspezifisch siehe
Die Modulausgabeoptionen unten)
--output-file = output_file
Schreiben Sie die Ausgabe in diese Datei
-v, --verbose ausführliche Informationen
--Physikal_Shift = Physical_shift
Linux -Kernel physische Verschiebungsadresse
--virtual_shift = virtual_shift
Linux Kernel Virtual Shift Adresse
-G KDBG,-KDBG = KDBG Geben Sie eine virtuelle KDBG-Adresse an (Hinweis: für 64-Bit
Windows 8 und darüber ist die Adresse von
KdcopyDatablock)
--Kraftnutzung des verdächtigen Profils
--Cookie = Cookie Geben Sie die Adresse von NT an!ObhedeCookie (gültig für
Nur Windows 10)
-KPCR, -KPCR = KPCR Geben Sie eine bestimmte KPCR -Adresse an
Unterstützte Plugin -Befehle:
AMCACHE DRUCK -AMCACHE -Informationen
Apihooks erkennen API -Hooks im Prozess und im Kernel -Speicher
Atome Drucksitzung und Fensterstation Atomtische
Atomscan Pool Scanner für Atomtische
AuditPol druckt die Audit -Richtlinien von HKLM \ Security \ Policy \ Poladtev aus
Bigpools entlasten die großen Seitenpools mit BigPagePoolscanner
Bioskbd liest den Tastaturpuffer aus dem realen Modusspeicher
Cachedump -Dumps zwischengespeicherten Domänen -Hashes aus dem Gedächtnis
Rückrufe Druck systemweite Benachrichtigungsroutinen
Zwischenablage extrahieren Sie den Inhalt der Windows -Zwischenablage
CMDLINE-Anzeigeprozess-Befehlszeilenargumente
CMDSCAN -Extraktbefehlshistorie durch Scannen nach _command_history
Verbindungen Druckliste der offenen Verbindungen [nur Windows XP und 2003]
Connscan -Pool -Scanner für TCP -Verbindungen
Konsolen extrahieren Befehlsverlauf durch Scannen nach _console_information
CrashInfo-Dump-Crash-Dump-Informationen
kleber Poolscaner für TagDesktop (Desktops)
Devicetree -Gerätebaum anzeigen
DLLDUMP -Dump -DLLs aus einem Prozessadressraum
DLLLIST -Druckliste geladener DLLs für jeden Prozess
Driverirp -Treiber -IRP -Hook -Erkennung
Drivermodule assoziieren Treiberobjekte mit Kernelmodulen
Treiber -Pool -Scanner für Fahrerobjekte
DumpCerts Dump RSA Private und öffentliche SSL -Schlüsseln
DumpFiles extrahieren Speicher zugeordnete und zwischengespeicherte Dateien
DumpRegistry Dumps Registry -Dateien auf die Festplatte aus
Gditimers drucken installierte GDI -Timer und Rückrufe
GDT Global Descriptor Tabelle anzeigen
GetServicesids erhalten die Namen von Diensten in der Registrierung und Rückgabe berechnet SID
Getsids drucken die SIDs, die jeden Prozess besitzen
Die Druckliste der geöffneten Handles für jeden Prozess verhandelt
Hashdump Dumps Passwörter Hashes (LM/NTLM) aus dem Speicher
Hibinfo -Dump -Hiberation -Dateiinformationen
Lsadump Dump (entschlüsselt) LSA -Geheimnisse aus dem Register
Machoinfo Dump Mach-O-Dateiformatinformat
Memmap Drucken Sie die Speicherkarte drucken
MessageHooks List Desktop- und Thread -Fensternachrichtungshaken
MftParser scannt potenzielle MFT -Einträge und pariert potenzielle MFT -Einträge
Moddump Dump einen Kernel -Treiber in eine ausführbare Datei -Probe
Modscan Pool Scanner für Kernelmodule
Module Druckliste von geladenen Modulen
Multiscaner Scan für verschiedene Objekte gleichzeitig
Mutantscan Pool Scanner für Mutex -Objekte
Notepad -Liste Derzeit angezeigter Notiziertext angezeigt
ObjTypescan -Scan für Windows -Objekt -Objekte
Patcher Patches Speicher basierend auf Seiten Scans
Poolpeek Konfigurierbares Pool -Scanner -Plugin

• Hashdeep oder MD5Deep (Hashing -Werkzeuge)

Es ist selten möglich, dass zwei Dateien denselben MD5 -Hash haben, aber es ist unmöglich, dass eine Datei mit seinem MD5 -Hash geändert wird, der gleich bleibt. Dies schließt die Integrität der Dateien oder die Beweise ein. Mit einem Duplikat des Laufwerks kann jeder seine Vertrauenswürdigkeit prüfen und würde eine Sekunde darüber nachdenken. Um den Beweis zu erhalten, dass das in Betracht gezogene Laufwerk das Original ist, können Sie Hashing verwenden, was einem Antrieb einen Hash verleiht. Wenn sich sogar ein einzelner Informationen geändert hat, ändert sich der Hash und Sie können wissen, ob das Laufwerk einzigartig oder ein Duplikat ist. Um die Integrität des Laufwerks zu gewährleisten und dass niemand sie in Frage stellen kann, können Sie die Festplatte kopieren, um einen MD5 -Hash des Laufwerks zu generieren. Sie können verwenden MD5SUM Für ein oder zwei Dateien, aber wenn es um mehrere Dateien in mehreren Verzeichnissen geht, ist MD5Deep die beste verfügbare Option zum Generieren von Hashes. Dieses Tool hat auch die Möglichkeit, mehrere Hashes gleichzeitig zu vergleichen.

Schauen Sie sich die MD5Deep Man -Seite an:

Ubuntu@Ubuntu: ~ $ Md5Deep -h
$ md5deep [Option]… [Dateien]…
Siehe die Mannseite oder Readme.TXT -Datei oder verwenden Sie -HH für die vollständige Liste der Optionen
-P - stückweise Modus. Dateien werden in Blöcke für Hashing unterteilt
-R - rekursiver Modus. Alle Unterverzeichnisse werden durchquert
-E - Die verbleibende Zeit für jede Datei anzeigen
-S - Silent Modus. Alle Fehlermeldungen unterdrücken
-Z - Dateigröße vor Hash anzeigen
-M - Ermöglicht den Matching -Modus. Siehe Readme/Man -Seite
-X - Aktiviert den negativen Matching -Modus. Siehe Readme/Man -Seite
-M und -x sind die gleichen wie -m und -x, aber auch Hashes jeder Datei drucken
-W - Zeigt an, welche bekannte Datei eine Übereinstimmung generiert hat
-n - Zeigt bekannte Hashes an, die keine Eingabedateien übereinstimmten
-A und -a fügen dem positiven oder negativen Matching -Satz einen einzelnen Hash hinzu
-b - druckt nur den nackten Namen der Dateien; Alle Pfadinformationen werden weggelassen
-L - Relative Pfade für Dateinamen Drucke ausdrucken
-T - GMT Timestamp (CTime) drucken
-i/i - verarbeiten nur Dateien, die kleiner/größer als die Größe sind
-v - Versionsnummer anzeigen und beenden
-d - Ausgang in dfxml; -U - entkommen Unicode; -W Datei - Schreiben Sie in Datei.
-J - NAM -Threads verwenden (Standard 4)
-Z - Triage -Modus; -h - Hilfe; -hh - volle Hilfe

• Exiftool

Es gibt viele Tools zum Tagging und Anzeigen von Bildern von eins. In dem Fall, dass Sie viele Bilder zu analysieren haben. Exiftool ist ein Open-Source. Metadaten liefert zusätzliche Informationen zu einem Artikel. Für ein Bild ist seine Metadaten seine Auflösung, wenn es genommen oder erstellt wurde, und die Kamera oder das Programm zum Erstellen des Bildes. EXEXIFTOOL kann verwendet werden, um nicht nur die Metadaten einer Bilddatei zu ändern und zu manipulieren, sondern auch zusätzliche Informationen in die Metadaten einer Datei schreiben. Verwenden Sie den folgenden Befehl, um die Metadaten eines Bildes im RAW -Format zu untersuchen:

Ubuntu@Ubuntu: ~ $ exif

Mit diesem Befehl können Sie Daten erstellen, z. B. Datum, Uhrzeit und andere Informationen, die nicht in den allgemeinen Eigenschaften einer Datei aufgeführt sind.

Angenommen, Sie benötigen Hunderte von Dateien und Ordnern mithilfe von Metadaten, um Datum und Uhrzeit zu erstellen. Dazu müssen Sie den folgenden Befehl verwenden:

Ubuntu@Ubuntu: ~ $ exif '-FileName
Erstellen: Sortieren Sie nach Datum und Uhrzeit der Datei der Datei
-D: Setzen Sie das Format
-R: rekursiv (Verwenden Sie den folgenden Befehl in jeder Datei im angegebenen Pfad)
-Erweiterung: Erweiterung der zu ändernden Dateien (JPEG, PNG usw.)
-Pfad zur Datei: Ort des Ordners oder Unterordners
Schauen Sie sich die Seite Exiftool Man an:
Ubuntu@Ubuntu: ~ $ exif -help
-v, -Verssionsanbieter -Softwareversion
-i, --ids zeigen IDs anstelle von Tag -Namen
-t, - -Tag = Tag auswählen Tag
--ifd = ifd auswählen ifd
-L,-List-Tags listen alle EXIF-Tags auf
-|, --how-Mnote Show Inhalt von Tag Makernote
--Entfernen Sie das Tag oder IFD entfernen
-S, --how-Decription anzeigen Beschreibung des Tags
-E,-extrahieren Dambnail Extract Thumbnail
-R,-Remove-Dambnail Entfernen Sie die Miniaturansicht
-N,-Insert-Thumbnail = Datei einfügen Datei als Miniaturansicht einfügen
--No-Fixup repariert nicht vorhandene Tags in Dateien
-O, -Output = Datei schreiben Daten in Datei
--set-value = Stringwert des Tags
-C,-create-exif erstellen exif data, wenn nicht vorhanden
-M,-machine-lesbare Ausgabe in einem maschinenlesbaren (Registerkartengrad) Format
-W, -Breite = Breite des Ausgangs
-x,-xml-output-Ausgabe in einem XML-Format
-D, -Debug -Show -Debugging -Nachrichten
Hilfeoptionen:
-?, --Helfen Sie mit, diese Hilfe zu zeigen
--Verwendungsnutzung kurze Nutzungsnachricht anzeigen

• DCFLDD (Disk -Bildgebungstool)

Ein Bild einer Festplatte kann mit dem erhalten werden dcfldd Dienstprogramm. Verwenden Sie den folgenden Befehl, um das Bild von der Festplatte zu erhalten:

Ubuntu@ubuntu: ~ $ dcfldd if = von
BS = 512 count = 1 Hash =
if = Ziel des Laufwerks, das ein Bild erstellen kann
von = Ziel, wo das kopierte Bild gespeichert wird
BS = Blockgröße (Anzahl der Bytes, die jeweils kopiert werden)
Hash = Hashtyp (optional)

Schauen Sie sich die DCFLDD -Hilfeseite an, um verschiedene Optionen für dieses Tool mit dem folgenden Befehl zu erkunden:

Ubuntu@Ubuntu: ~ $ DCFLDD -HELP
DCFLDD -HELP
Verwendung: DCFLDD [Option]…
Kopieren Sie eine Datei, konvertieren und formatieren gemäß den Optionen.
BS = Bytes erzwingen IBS = Bytes und OBS = Bytes
CBS = Bytes konvertieren Bytes gleichzeitig Bytes
Conv = Keywords konvertieren die Datei gemäß dem von Comma getrennten Keyword -ListCC
count = blocks kopieren nur blocks Eingangsblöcke
IBS = Bytes lesen Bytes gleichzeitig Bytes
if = Datei aus der Datei anstelle von stdin lesen
OBS = Bytes schreiben Bytes gleichzeitig Bytes
von = Datei schreiben in Datei anstelle von stdout
Hinweis: Von = Datei kann mehrmals zum Schreiben verwendet werden
Ausgabe auf mehrere Dateien gleichzeitig
von: = Befehlsausgang und Schreibausgabe in den Prozessbefehl
such = Blöcke überspringen Blöcke Obsgrößenblöcke zu Beginn der Ausgabe
Skip = Blocks Skip Blöcke IBS-Größe Blöcke zu Beginn der Eingabe überspringen
Muster = Hex Verwenden Sie das angegebene binäre Muster als Eingabe
textPattern = text verwenden wiederholte text als Eingabe
Errlog = Datei Senden Sie Fehlermeldungen an Datei sowie STDERR
Hashwindow = Bytes führen einen Hash für alle Datenmenge aus
Hash = Name entweder MD5, SHA1, SHA256, SHA384 oder SHA512
Standardalgorithmus ist MD5. Um mehrere zu wählen
Algorithmen, die gleichzeitig die Namen eingeben sollen
In einer Komma -getrennten Liste
HashLog = Datei Senden Sie MD5 Hash -Ausgabe an Datei anstelle von STDERR
Wenn Sie mehrere Hash -Algorithmen verwenden
kann jede an eine separate Datei mit dem senden
Konventionalgorithmlog = Datei zum Beispiel
Md5log = Datei1, SHA1Log = Datei2 usw.
Hashlog: = Befehls Exec und schreiben
Algorithmlog: = Befehl funktioniert auch auf die gleiche Weise
HashConv = [vor | nach] führen das Hashing vor oder nach den Konvertierungen durch
Hashformat = Format Zeigen Sie jede HashWindow gemäß dem Format an
Das Hash-Format-Mini-Sprache wird unten beschrieben
TotalHashFormat = Format Zeigen Sie den Gesamthash -Wert gemäß dem Format an
status = [on | off] Zeigen Sie eine kontinuierliche Statusnachricht auf Stderr an
Standardzustand ist "on"
statusInterval = n Aktualisieren Sie die Statusnachricht in allen n Blöcken
Standardwert ist 256
SizeProbe = [if | von] Bestimmen Sie die Größe der Eingangs- oder Ausgabedatei
Für die Verwendung mit Statusnachrichten. (diese Option
gibt Ihnen einen prozentualen Indikator)
Warnung: Verwenden Sie diese Option nicht gegen a
Bandvorrichtung.
Sie können eine beliebige Anzahl von 'a' oder 'n' in einer Kombination verwenden
Das Standardformat ist "nnn"
Hinweis: Die Optionen Split- und SplitFormat werden wirksam
Nur für Ausgabedateien, die nach Ziffern in angegeben wurden
Jede Kombination, die Sie möchten.
(e.G. "Anaannnaana" wäre gültig, aber
ziemlich verrückt)
VF = Datei überprüfen Sie, ob die Datei mit der angegebenen Eingabe übereinstimmt
verifyLog = Datei senden Senden Sie die Ergebnisse anstelle von Stderr an die Datei anstelle von STDERR
VerifyLog: = Befehlscort und schreiben
--Helfen Sie mit, diese Hilfe anzuzeigen und zu beenden
--Versionsinformationen der Version Ausgabe Versionen und Beenden
ASCII von Ebcdic nach ASCII
Ebcdic von ASCII zu Ebcdic
IBM von ASCII zu abwechselnden Ebcdic
Block Pad Newline-terminierte Datensätze mit Platz zu CBS-Größe
Entsperren Sie nach Ablaufräumen in CBS-Größe Rekorde durch Newline
Lupe ändern den oberen Fall in den unteren Fall
Notrunc schneidet die Ausgabedatei nicht ab
ucase ändern den unteren Fall in den oberen Fall
Tauschen Sie jedes Paar Eingangsbytes aus
NoError geht nach den Lesenfehlern weiter
Synchronisieren Sie jeden Eingangsblock mit Nuls bis IBS-Größe; wenn benutzt

Spickzettel

Eine weitere Qualität der SIEBEN Workstation sind die Cheat -Blätter, die bereits mit dieser Verteilung installiert sind. Die Cheat Sheets helfen dem Benutzer, loszulegen. Bei der Durchführung einer Untersuchung erinnern die Cheat -Blätter den Benutzer an alle leistungsstarken Optionen, die mit diesem Arbeitsbereich verfügbar sind. Die Cheat -Blätter ermöglichen es dem Benutzer, die neuesten forensischen Tools problemlos in die Hände zu bekommen. Bei dieser Verteilung sind Cheat -Blätter vieler wichtiger Werkzeuge verfügbar, wie zum Beispiel das Cheat Sheet für Schatten Timeline -Erstellung:

Ein weiteres Beispiel ist das Cheat Sheet für die Berühmten SLEUTHKIT:

Cheat -Blätter sind ebenfalls verfügbar für Speicheranalyse und für die Montage aller Arten von Bildern:

Abschluss

Das sans investigative forensische Toolkit (SIEBEN) verfügt über die grundlegenden Funktionen eines anderen Forensik -Toolkits und enthält auch die neuesten leistungsstarken Tools, E01 (Sachverständigerformat), Aff (Advanced Forensics Format) oder Rohbild (Dd) Formate. Das Speicheranalyseformat ist auch mit SIFT kompatibel. SIFT legt strenge Richtlinien darüber, wie Beweise analysiert werden, und stellen Sie sicher, dass die Beweise nicht manipuliert werden (diese Richtlinien haben schreibgeschützte Berechtigungen). Die meisten der in SIFT enthaltenen Tools sind über die Befehlszeile zugänglich. SIFT kann auch verwendet werden, um die Netzwerkaktivität zu verfolgen, wichtige Daten wiederherzustellen und eine Zeitleiste systematisch zu erstellen. Aufgrund der Fähigkeit dieser Verteilung, Festplatten und mehrere Dateisysteme gründlich zu untersuchen. Alle Tools, die für eine forensische Untersuchung erforderlich sind Sift Workstation Erstellt von der Ohne Forensik Team und Rob Lee .