Phenquestions
Autopsija
Es uzskatu, ka autopsija, kas pēc noklusējuma nāk CAINE un Kali Linux, ir pirmais rīks, kas iepazīstina ar kriminālistiku, jo tas ir grafisks un intuitīvs interfeiss, lai pārvaldītu datoru kriminālistikas rīkus. Autopsija optimizē procesu, izmantojot vairākus procesora kodolus, darbojoties fonā, un var iepriekš pateikt, vai process novedīs pie pozitīva rezultāta. Autopsiju var izmantot arī kā grafisko saskarni dažādiem komandrindas rīkiem, atbalsta paplašinājumus integrācijai ar trešo pušu rīkiem, piemēram, PhotoRec, kas jau ir parādīts LinuxHint, lai uzlabotu un pievienotu funkcijas.
Kā teica, tas pēc noklusējuma nāk Kali, Debian un Ubuntu lietotāji var saņemt autopsiju, palaižot:
apt instalēt autopsiju -y
Oficiālā vietne: https: // www.sleuthkit.org / autopsija /
CAINE (datorizēta izmeklēšanas vide)
CAINE ir Ubuntu Linux balstīts izplatījums, kas īpaši paredzēts datoru kriminālistikai, pēc noklusējuma tas tiek piegādāts ar autopsiju, radot ļoti draudzīgu vidi. CAINE kā operētājsistēma ir lielisks palīgs, jo pēc noklusējuma tas tiek izmantots parastās kriminālistikas prakses, piemēram, krātuves ierīču aizsardzība pret sabojāšanos vai pārrakstīšanu kriminālistikas procesa laikā.
CAINE ir atjaunināta Linux izplatīšana, kas ir ļoti ieteicama, lai sāktu darbu ar datoru kriminālistiku.
Oficiālā vietne: https: // www.caine-live.tīkls/
P0f
P0f ir analizators dažādu ierīču mijiedarbībai, izmantojot tīklu. P0f spēj identificēt operētājsistēmu un programmatūru, ko izmanto dažādas pasīvā režīmā savienotas ierīces, nevis sūtīt paketes, lai analizētu atbildi. P0f tver paketes tikai vēlākai analīzei, tāpēc, veicot pirkstu nospiedumus, tas var dot labākus rezultātus nekā Nmap. P0f praktiskā izmantošana var ietvert uzbrucēja atklāšanu notiekošās pentesta sesijas laikā, tīkla uzraudzību un papildu informāciju par savienojumiem, lai iestatītu pareizus drošības pasākumus. P0f ilgu laiku netika atjaunināts, un tas ir atgriezies kā P03 ar modernu OS un programmatūras atbalstu. Nākamajā rakstā mēs izsekosim uzbrucējus, izmantojot dažādus rīkus, tostarp P0f.
Debian un Ubuntu lietotāji var instalēt P0f, palaižot:
apt instalēt p0f -y
Oficiālā vietne: http: // lcamtuf.coredump.cx / p0f3 /
Dumpzilla
Kriminālizmeklēšanas laikā viena no pirmajām protokola darbībām ir pārlūkošanas darbību analīze. Kā minēts iepriekš, autopsija ļauj mums iespējot paplašinājumus, lai izpētītu lietotāja pārlūkošanas aktivitātes. Dumpzilla ir rīks, kas īpaši paredzēts pārlūkošanas datu atkopšanai no Mozilla Firefox pārlūkiem vai atvasinājumiem, piemēram, Iceweasel vai Seamonkey. Dumpzilla var mums piešķirt daudz vērtīgas informācijas, piemēram, lietotājvārdus, paroles, pārlūkošanas vēsturi un visu sīkdatnēs saglabāto informāciju vai lietotāja preferences. Neskatoties uz to, ka tas ir ļoti specifisks, ieteicams darbināt Dumpzilla pret mērķi ar Firefox, neskatoties uz to, ka tas nav atjaunināts pēdējos divus gadus.
Dumpzilla nav iekļauta noklusējuma krātuvēs, to varat iegūt vietnē: https: // github.com / Busindre / dumpzilla
Oficiālā vietne: https: // www.dumpzilla.org
Nepastāvība
Nepastāvība ļauj mums izpētīt ierīces aktīvo operatīvo atmiņu, kas nozīmē informāciju, kas netika saglabāta cietajā diskā, bet atstāja artefaktus vai pēdas dzīvajā RAM. Šis rīks, kas pēc noklusējuma nāk gan CAINE, gan Kali Linux, var mūs novest pie noderīgas informācijas pēc incidenta ierīcē, piemēram, kādi procesi notikuma laikā darbojās vai darbojas. Lai instalētu nepastāvību Debian, varat palaist
apt instalēt svārstības -y
Oficiālā vietne: https: // www.nepastāvībafonds.org /
Chkrootkit
RootKit ir ļaunprātīga programmatūra, kas lokāli vai attālināti instalēta ierīcē, lai uzbrucējam piešķirtu nelikumīgu piekļuvi. Mēs varam veikt grotesku rootKits un Trojas serveru salīdzinājumu, neskatoties uz nelielām atšķirībām (RootKIts ietver papildu funkcijas). RootKits var modificēt sistēmas failus un noņemt nelikumīgas ielaušanās pēdas. Šeit ir vieta, kur nāk ChkRooKit, analizējot bināros modifikācijas, žurnālus un citas pēdas, kuras iebrucējs varētu noņemt. Debian vietnē jūs varat iegūt chkrootkit, palaižot:
apt instalēt chkrootkit -y
Oficiālā vietne: http: // www.chkrootkit.org /
Es ceru, ka šis raksts jums šķita noderīgs, lai saprastu, ka datora kriminālistika neaprobežojas tikai ar IT guru, ikviens var viegli veikt datoru kriminālistiku, izmantojot iepriekš minētos rīkus. Turpiniet sekot LinuxHint, lai iegūtu vairāk padomu un atjauninājumu par Linux.
