Phenquestions
Kriminālistika kiberdrošības jomā kļūst ļoti svarīga, lai atklātu un atgrieztos melno cepuru noziedzniekus. Ir svarīgi noņemt hakeru ļaunprātīgās aizmugures / ļaunprātīgās programmatūras un izsekot tās, lai izvairītos no iespējamiem negadījumiem nākotnē. Kali kriminālistikas režīmā operētājsistēma neinstalē nevienu nodalījumu no sistēmas cietā diska un neatstāj izmaiņas vai pirkstu nospiedumus resursdatora sistēmā.
Kali Linux nāk ar iepriekš instalētām populārām kriminālistikas lietojumprogrammām un rīku komplektiem. Šeit mēs pārskatīsim dažus slavenos atvērtā koda rīkus, kas atrodas Kali Linux.
Lielapjoma nosūcējs
Lielapjoma nosūcējs ir bagātīgs rīks, kas var iegūt noderīgu informāciju, piemēram, kredītkaršu numurus, domēnu nosaukumus, IP adreses, e-pastus, tālruņu numurus un URL no pierādījumiem. Cietie diski / faili, kas atrasti kriminālistikas izmeklēšanas laikā. Tas ir noderīgi, analizējot attēlu vai ļaunprātīgu programmatūru, kā arī palīdz veikt kiberizmeklēšanu un paroļu uzlaušanu. Tas veido vārdu sarakstus, pamatojoties uz informāciju, kas iegūta no pierādījumiem, kas var palīdzēt paroles uzlaušanā.
Lielapjoma nosūcējs ir populārs citu rīku vidū, jo tam ir neticami ātrums, vairāku platformu savietojamība un pamatīgums. Tas ir ātrs, pateicoties tā daudzveidīgajām funkcijām, un tam ir iespēja skenēt jebkura veida digitālos nesējus, tostarp HDD, SSD, mobilos tālruņus, kameras, SD kartes un daudz citu veidu.
Bulk Extractor ir šādas atdzist funkcijas, kas padara to vēlamāku,
- Tam ir grafiskais lietotāja interfeiss ar nosaukumu “Bulk Extractor Viewer”, ko izmanto, lai mijiedarbotos ar Bulk Extractor
- Tam ir vairākas izvades iespējas, piemēram, izvades datu parādīšana un analizēšana histogrammā.
- To var viegli automatizēt, izmantojot Python vai citas skriptu valodas.
- Tas nāk ar dažiem iepriekš uzrakstītiem skriptiem, kurus var izmantot, lai veiktu papildu skenēšanu
- Tā ar vairāku vītņu palīdzību var būt ātrāka sistēmās ar vairākiem CPU kodoliem.
Lietojums: bulk_extractor [opcijas] imagefile
palaiž lielapjoma nosūcēju un izvadi, lai iegūtu kopsavilkumu par to, kas tika atrasts
Nepieciešamie parametri:
imagefile - izvilkamais fails
vai -R filedir - atkārtošanās, izmantojot failu direktoriju
IR ATBALSTS E01 FILĒM
IR ATBALSTS AFF FILĒM
-o outdir - norāda izvades direktoriju. Nedrīkst pastāvēt.
bulk_extractor izveido šo direktoriju.
Iespējas:
-i - INFO režīms. Veiciet ātru izlases paraugu un izdrukājiet ziņojumu.
-b reklāmkarogs.txt- Pievienot reklāmkarogu.txt saturu katra izvades faila augšdaļā.
-r alert_list.txt - fails, kurā ir brīdināšanas funkciju saraksts
(var būt objekta fails vai globusu saraksts)
(var atkārtot.)
-w stop_list.txt - fails, kurā ir funkciju apturēšanas saraksts (baltais saraksts
(var būt iezīmju fails vai globusu saraksts) s
(var atkārtot.)
-F
-f
rezultāti tiek meklēti.txt
... izgriezums ..
Lietojuma piemērs
[aizsargāts pa e-pastu]: ~ # bulk_extractor -o izvades noslēpums.img
Autopsija
Autopsija ir platforma, kuru kibernoziegumu izmeklētāji un tiesībaizsardzības iestādes izmanto, lai veiktu kriminālistikas operācijas un ziņotu par tām. Tas apvieno daudzas atsevišķas utilītas, kuras izmanto kriminālistikā un atkopšanā, un nodrošina tām grafisko lietotāja saskarni.
Autopsija ir atvērta pirmkoda, bezmaksas un starpplatformu produkts, kas pieejams Windows, Linux un citām UNIX operētājsistēmām. Autopsija var meklēt un izpētīt datus no vairāku formātu cietajiem diskiem, ieskaitot EXT2, EXT3, FAT, NTFS un citus.
To ir viegli lietot, un nav nepieciešams instalēt Kali Linux, jo tas tiek piegādāts ar iepriekš instalētu un iepriekš konfigurētu.
Dumpzilla
Dumpzilla ir starpplatformu komandrindas rīks, kas rakstīts Python 3 valodā un ko izmanto, lai no tīmekļa pārlūkprogrammām izgāztu ar kriminālistiku saistītu informāciju. Tas neiegūst datus vai informāciju, tikai parāda to terminālā, kuru var nosūtīt, sakārtot un saglabāt failos, izmantojot operētājsistēmas komandas. Pašlaik tā atbalsta tikai tādas pārlūkprogrammas kā Firefox, piemēram, Firefox, Seamonkey, Iceweasel utt.
Dumpzilla var iegūt šādu informāciju no pārlūkprogrammām
- Var parādīt tiešraides lietotāju sērfošanu cilnēs / logā.
- Lietotāju lejupielādes, grāmatzīmes un vēsture.
- Tīmekļa veidlapas (meklēšana, e-pasts, komentāri ...).
- Iepriekš apmeklēto vietņu kešatmiņa / sīktēli.
- Papildinājumi / paplašinājumi un izmantotie ceļi vai URL.
- Pārlūks saglabāja paroles.
- Sīkdatnes un sesijas dati.
Lietošana: python dumpzilla.py browser_profile_directory [Iespējas]
Iespējas:
--Visi (rāda visu, izņemot DOM datus. Netiek izgriezts sīktēli vai HTML 5 bezsaistē)
--Sīkdatnes [-showdom -domēns
-izveidot
--Atļaujas [-host
--Lejupielādes [-range
--Veido [vērtību
--Vēsture [-url
-biežums]
--Grāmatzīmes [-range_bookmarks
... izgriezums ..
Digitālā kriminālistikas sistēma - DFF
DFF ir failu atkopšanas rīks un kriminālistikas izstrādes platforma, kas rakstīta Python un C++. Tam ir rīku un skriptu komplekts ar komandrindu un grafisko lietotāja saskarni. To izmanto kriminālistikas izmeklēšanas veikšanai un digitālu pierādījumu apkopošanai un ziņošanai.
To ir viegli izmantot, un to var izmantot kiberprofesionāļi, kā arī iesācēji, lai apkopotu un saglabātu digitālo kriminālistikas informāciju. Šeit mēs apspriedīsim dažas tā labās īpašības
- Var veikt kriminālistikas un atkopšanu vietējās, kā arī attālās ierīcēs.
- Gan komandrindas, gan grafiskais lietotāja interfeiss ar grafiskiem skatiem un filtriem.
- Var atgūt nodalījumus un virtuālo mašīnu diskus.
- Saderīgs ar daudzām failu sistēmām un formātiem, ieskaitot Linux un Windows.
- Var atgūt slēptos un izdzēstos failus.
- Var atgūt datus no pagaidu atmiņas, piemēram, tīkla, procesa utt
DFF
Digitālā kriminālistikas sistēma
Lietojums: / usr / bin / dff [opcijas]
Iespējas:
-v --versijas displeja pašreizējā versija
-g - grafiskā palaišanas grafiskā saskarne
-b --batch = FILENAME izpilda FILENAME ietverto paketi
-l --language = LANG kā saskarnes valodu izmanto LANG
-h - palīdziet parādīt šo palīdzības ziņojumu
-d - kļūdu novirzīšana IO uz sistēmas konsoli
--daudzbalsība = LEVEL iestatīts daudzbalsības līmenis atkļūdojot [0-3]
-c --config = FILEPATH izmantot konfigurācijas failu no FILEPATH
Galvenais
Foremost ir ātrāks un uzticams uz komandrindas balstīts atkopšanas rīks, lai atgūtu zaudētos failus kriminālistikas operācijās. Galvenais ir spēja strādāt ar attēliem, ko ģenerējis dd, Safeback, Encase utt., Vai tieši uz diska. Galvenais var atgūt exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar un daudzus citus failu tipus.
[aizsargāts pa e-pastu]: ~ # priekšpusē -hgalvenā versija x.x.x autori: Jesse Kornblum, Kris Kendall un Nick Mikus.
$ galvenais [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - parādīt informāciju par autortiesībām un iziet
-t - norādiet faila tipu. (-t jpeg, pdf…)
-d - ieslēdziet netiešo bloķēšanas noteikšanu (UNIX failu sistēmām)
-i - norādiet ievades failu (noklusējums ir stdin)
-a - uzrakstiet visas galvenes, neveiciet kļūdu noteikšanu (bojāti faili)
-w - rakstiet tikai audita failu, nerakstiet uz diska nevienu atklātu failu
-o - iestatīt izejas direktoriju (pēc noklusējuma tiek izvadīts)
-c - iestatiet lietojamo konfigurācijas failu (pēc noklusējuma ir galvenais).konf)
... izgriezums ..
Lietojuma piemērs
[aizsargāts pa e-pastu]: ~ # priekšējais -t exe, jpeg, pdf, png -i file-image.dd
Apstrāde: fails-attēls.dd
... izgriezums ..
Secinājums
Kali kopā ar slavenajiem iespiešanās testēšanas rīkiem ir arī visa cilne, kas veltīta kriminālistikai. Tam ir atsevišķs kriminālistikas režīms, kas ir pieejams tikai tiešraidē esošiem USB, kuros tas neuzstāda resursdatora nodalījumus. Kali ir nedaudz vēlams salīdzinājumā ar citiem kriminālistikas rajoniem, piemēram, CAINE, tā atbalsta un labākas saderības dēļ.
