Phenquestions
Ievads
Pagājušajā reizē mēs aplūkojām 14 tiesu medicīnas rīkus, kas atrodas Kali Linux, un izskaidrojām to mērķi un īpašās iespējas. Šodien mēs iepazīstināsim ar 14 kriminālistikas rīkiem, kas ir no slavenās bibliotēkas “The Sleuth Kit” (TSK), kas iesaiņoti Kali Linux 2020. gada atjauninājumā. Šos rīkus varat atrast kriminālistikas nolaižamajā sarakstā zem nosaukuma Sleuth Kit Suite rīki Kali Whisker Menu.
blkcalc
Blkcalc rīks ir kriminālistikas rīks, kas nepiešķirtos diska punktus pārveido parastajos diska punktos. Šī programma izveido punktu skaitu, kas kartē divus attēlus. Viens no šiem attēliem ir normāls, bet otrā ir nepiešķirti pirmā attēla punktu numuri. Šis rīks var atbalstīt daudzu failu sistēmu tipus. Ja faila sistēma nav definēta sākumā, blkcalc ir unikāla automātiskās noteikšanas metožu funkcija, lai atrastu failu sistēmas tipu.
tsk_comparedir
Ar rīka tsk_comparedir palīdzību attēla saturs tiek salīdzināts ar salīdzināšanas direktorijas saturu. Šis ir labākais rīks testēšanas fāzē rootkit (ļaunprātīga koda vai failu) identificēšanai. Rootkit tests tiek veikts, salīdzinot vietējā direktorija saturu ar vietējo neapstrādātu ierīci. Šie rootkit nav paslēpti, kad tiem piekļūst un tos nolasa no neapstrādātas ierīces.
tsk_gettimes
Kriminālistikas rīka tsk_gettimes pamatā ir sleuth kit bibliotēka. Šis rīks apkopo MAC laikus (failu sistēmas metadatu gabalus) no norādītā diska attēla un pārvērš laikus ķermeņa failā. Rīks tsk_gettimes pārbauda katru diska nodalījuma vai attēla failu sistēmu un apstrādā tajā esošos datus. Šī rīka izeja ir diska attēla dati MAC laika ķermeņa formātā, kurus pēc tam var izmantot kā ievadi sistēmā, lai izveidotu faila darbības hronoloģiju. Pēc tam dati tiek izdrukāti kā fails, izmantojot komandu STDOUT.
blkcat
Blkcat rīks ir ātrs un efektīvs kriminālistikas rīks, kas iesaiņots Kali iekšienē. Šī rīka mērķis ir parādīt failu sistēmas diska attēlā saglabāto datu saturu. Izejā tiek parādīts datu vienību skaits, sākot ar vienības galveno adresi un izdrukām, dažādos formātos, kurus var norādīt un kārtot. Pēc noklusējuma izvades formāts ir neapstrādāts, un to sauc arī par dcat.
tsk_loaddb
Rīks tsk_loaddb ielādē metadatus no diska attēla SQLite datu bāzē, kas ir izmantojama datu bāze citu programmatūras rīku analīzei. Datu bāze tiek saglabāta attēlu direktorijā, lai to varētu viegli piekļūt. Šis rīks atbalsta daudzas failu sistēmas un var aprēķināt MD5 hash vērtību katram failam.
blkstat
Sleuth kit rīks blkstat parāda visu informāciju par failu sistēmas datu vienībām. Šis rīks atgriež datus par bloka vai failu sistēmas sektora piešķiršanas statusu. Šis rīks var izmantot komandu addr, kas parāda datu gabala statistiku, un to sauc arī par dstat.
atrast
Ffind rīks izmanto inodu, lai meklētu direktorija vai faila nosaukumu diska attēlā. Diska nodalījumā inoda faila identifikatoram piešķirtajiem failiem ir nosaukumi; pēc noklusējuma šis rīks atgriezīs tikai atrasto vārdu. Ffind rīks var atrast pat izdzēstos failu nosaukumus, kas ir šī rīka īpašā iespēja. Turklāt rīks ffind var atrast arī vairākus failu nosaukumus.
hfind
Hfind rīks meklē jaukšanas vērtības hash datu bāzēs. Jaukšanas vērtības tiek meklētas, izmantojot bināro meklēšanas algoritmu. Šī algoritma izmantošanas mērķis ir ļaut lietotājiem viegli izveidot hash datu bāzes un ātri identificēt failu neatkarīgi no tā, vai tas ir zināms vai nezināms. Šis rīks izmanto NSRL bibliotēku un atgriež md5sum. Šis rīks ir ļoti efektīvs, jo tas izveido indeksa failu, kas jau ir sakārtots un kuram ir fiksēta garuma ieraksti, kas padara meklēšanu ļoti ātru.
fls
Nosaukumā fls ir ietverts termins “ls”, kas nozīmē mapes satura uzskaitīšanu. Fls rīkā visu failu nosaukumi un direktoriji tiek uzskaitīti attēlu failā, un tajā var parādīt pat nesen noņemto failu nosaukumus. Ja faila identifikators vai inode netiek izmantots, tiek izmantots saknes direktorijs.
mmcat
Mmcat rīks ir tiesu ekspertīžu rīks, kas atgriež nodalījuma saturu, izmantojot drukas funkciju. Šis rīks visus datus nodalījumā iegūst atsevišķā failā.
sigfind
Šis rīks atrod failā esošo bināro parakstu. Šo bināro parakstu sauc par hex_signature, kas atrodas katrā failā. Šo rīku var izmantot, lai atrastu zaudētos superblokus, nodalījumus vai attēlu tabulas un sāknēšanas sektorus. Binārā paraksta atrašanai jāizmanto heksadecimālais formāts.
ES atradu
Šis rīks meklē faila neapstrādāto datu struktūru, kas tiek piešķirta noteiktā diska vienībā vai faila nosaukumā. Dažreiz jebkuru no šīm metadatu struktūrām var nepiešķirt, taču šis rīks joprojām iegūs rezultātus.
šķirotājs
Šķirošanas rīks ir “perl” skriptu rīks, kas failu sistēmā kārto, lai sakārtotu to piešķirtajos un nepiešķirtos failos, pamatojoties uz faila tipu. Šis rīks izpilda komandu katram failam un sakārto failus atbilstoši konfigurācijas failiem. Failu tipi ietver slēptos failus, jaukšanas datnes jaukšanas datubāzēm, labi zināmus failus un tos, kas būtu jāmaina. Izmantotie konfigurācijas faili pēc noklusējuma tiek ņemti no vietas, kur rīks ir instalēts, taču to var mainīt ar izpildes laika lēmumiem.
tsk_recover
Šis rīks pārsūta failus no diska nodalījuma vietējā saknes direktorijā. Atgūtie faili pēc noklusējuma ir tikai nepiešķirti faili. Izmantojot noteiktas komandas, visus failus var eksportēt.
Secinājums
Šie 14 rīki ir aprīkoti ar Kali Linux live, kā arī instalētāja attēliem, un tie ir atvērtā koda un brīvi pieejami. Šos rīkus var atrast Kali ūsu izvēlnē mapē ar nosaukumu Sleuth Kit Suite. Rīki no TSK bieži saņem atjauninājumus par nelieliem kļūdu labojumiem.
