1. attēls: Kali Linux
Parasti, veicot kriminālistiku datorsistēmā, ir jāizvairās no jebkuras darbības, kas var mainīt vai modificēt sistēmas datu analīzi. Citi mūsdienīgi galddatori parasti traucē sasniegt šo mērķi, taču, izmantojot sāknēšanas izvēlni, izmantojot Kali Linux, varat iespējot īpašu kriminālistikas režīmu.
Binwalk rīks:
Binwalk ir tiesu medicīnas rīks Kali, kas noteiktā binārā attēlā meklē izpildāmo kodu un failus. Tas identificē visus failus, kas ir iegulti jebkurā programmaparatūras attēlā. Tas izmanto ļoti efektīvu bibliotēku, kas pazīstama kā “libmagic”, kas sakārto burvju parakstus Unix failu utilītprogrammā.
2. attēls: Binwalk CLI rīks
Masveida nosūcēja rīks:
Lielapjoma nosūcēja rīks iegūst kredītkaršu numurus, URL saites, e-pasta adreses, kurās tiek izmantoti digitālie pierādījumi. Šis rīks ļauj identificēt ļaunprātīgas programmatūras un ielaušanās uzbrukumus, identitātes izmeklēšanu, kiber ievainojamības un paroļu uzlaušanu. Šī rīka īpatnība ir tā, ka tas darbojas ne tikai ar parastajiem datiem, bet arī ar saspiestiem datiem un nepilnīgiem vai bojātiem datiem.
3. attēls: lielapjoma ekstraktora komandrindas rīks
HashDeep rīks:
Hashdeep rīks ir pārveidota dc3dd jaukšanas rīka versija, kas īpaši paredzēta digitālajai kriminālistikai. Šis rīks ietver failu automātisko jaukšanu, t.e., sha-1, sha-256 un 512, tīģeris, virpuļvanna un md5. Kļūdu žurnāla fails tiek rakstīts automātiski. Progresa ziņojumi tiek ģenerēti ar katru izvadi.
4. attēls: HashDeep CLI saskarnes rīks.
Burvju glābšanas rīks:
Burvju glābšana ir tiesu medicīnas līdzeklis, kas skenēšanas darbības veic bloķētā ierīcē. Šis rīks izmanto burvju baitus, lai no ierīces izvilktu visus zināmos failu tipus. Tas atver ierīces failu tipu skenēšanai un lasīšanai un parāda iespēju atgūt izdzēstos vai bojātos nodalījumus. Tas var strādāt ar katru failu sistēmu.
5. attēls: Burvju glābšanas komandrindas saskarnes rīks
Skalpeļa rīks:
Šis tiesu medicīnas rīks izgriež visus failus un indeksē tās lietojumprogrammas, kas darbojas Linux un Windows. Skalpeļa rīks atbalsta daudzsavienojuma izpildi vairākās kodolsistēmās, kas palīdz ātri izpildīt. Failu grebšana tiek veikta tādos fragmentos kā regulāras izteiksmes vai bināras virknes.
6. attēls: Scalpel kriminālistikas grebšanas rīks
Scrounge-NTFS rīks:
Šī tiesu medicīnas lietderība palīdz iegūt datus no bojātiem NTFS diskiem vai nodalījumiem. Tas izglābj datus no bojātas failu sistēmas uz jaunu darba failu sistēmu.
7. attēls: Kriminālistikas datu atkopšanas rīks
Guymager rīks:
Šī tiesu ekspertīzes lietderība tiek izmantota, lai iegūtu multivides kriminālistikas attēliem, un tai ir grafiska lietotāja saskarne. Sakarā ar daudzu pavedienu datu apstrādi un saspiešanu, tas ir ļoti ātrs rīks. Šis rīks atbalsta arī klonēšanu. Tas ģenerē plakanus, AFF un EWF attēlus. UI ir ļoti viegli izmantot.
8. attēls: Guymager GUI tiesu ekspertīze
Pdfid rīks:
Šis kriminālistikas rīks tiek izmantots pdf failos. Šis rīks skenē pdf failus pēc noteiktiem atslēgvārdiem, kas ļauj jums atvērt izpildāmos kodus. Šis rīks atrisina pamata problēmas, kas saistītas ar pdf failiem. Pēc tam aizdomīgie faili tiek analizēti, izmantojot rīku pdf-parser.
9. attēls: Pdfid komandrindas saskarnes lietderība
Pdf parsētāja rīks:
Šis rīks ir viens no vissvarīgākajiem PDF failu tiesu medicīnas rīkiem. pdf-parsētājs parsē pdf dokumentu un izšķir svarīgos elementus, kas izmantoti tā analīzes laikā, un šis rīks nepārveido šo pdf dokumentu.
10. attēls: Pdf-parsētāja CLI kriminālistikas rīks
Peepdf rīks:
Pitona rīks, kas pēta pdf dokumentus, lai noskaidrotu, vai tas ir nekaitīgs vai postošs. Tas nodrošina visus elementus, kas nepieciešami pdf analīzes veikšanai, vienā paketē. Tas parāda aizdomīgas entītijas un atbalsta dažādus kodējumus un filtrus. Tas var parsēt arī šifrētus dokumentus.
11. attēls: Peepdf pitona rīks pdf izmeklēšanai.
Autopsijas rīks:
Autopsija ir viss vienā tiesu ekspertīzē, lai ātri atjaunotu datus un veiktu hash filtrēšanu. Šis rīks izgriež izdzēstos failus un multivides no nepiešķirtās vietas, izmantojot PhotoRec. Tas var arī iegūt EXIF paplašinājuma multivides. Autopsija skenē kompromisa indikatoru, izmantojot STIX bibliotēku. Tas ir pieejams komandrindā, kā arī GUI saskarnē.
12. attēls: Autopsija, viss vienā tiesu ekspertīzes paketē
rīks img_cat:
rīks img_cat dod attēla faila izvades saturu. Atkoptajos attēlu failos būs metadati un iegulti dati, kas ļauj tos pārvērst neapstrādātos datos. Šie neapstrādātie dati palīdz izvadīt, lai aprēķinātu MD5 hash.
13. attēls: img_cat iegulti dati neapstrādātu datu atkopšanā un pārveidotājā.
ICAT rīks:
ICAT ir Sleuth Kit rīks (TSK), kas izveido faila izvadi, pamatojoties uz tā identifikatoru vai inoda numuru. Šis kriminālistikas rīks ir īpaši ātrs, un tas atver nosauktos faila attēlus un kopē tos standarta izvadā ar noteiktu inoda numuru. Inode ir viena no Linux sistēmas datu struktūrām, kurā tiek glabāti dati un informācija par Linux failu, piemēram, īpašumtiesības, faila lielums un veids, rakstīšanas un lasīšanas atļaujas.
14. attēls: ICAT konsoles interfeisa rīks
Rīks Srch_strings:
Šis rīks bināros datos meklē dzīvotspējīgas ASCII un Unicode virknes un pēc tam izdrukā šajos datos atrodamo nobīdes virkni. rīks srch_strings izvelk un izgūst failā esošās virknes un, ja tiek pieprasīts, piešķir nobīdes baitu.
15. attēls: Stīgu izguves kriminālistikas rīks
Secinājums:
Šie 14 rīki ir aprīkoti ar Kali Linux tiešraidi un instalētāja attēliem, un tie ir atvērtā koda un brīvi pieejami. Vecākas Kali versijas gadījumā es ieteiktu atjaunināt jaunāko versiju, lai tieši iegūtu šos rīkus. Ir daudzi citi kriminālistikas rīki, kurus mēs aplūkosim tālāk. Skatiet šī raksta 2. daļu šeit.