Kohtuekspertiis on küberturvalisuses muutumas Black Hat'i kurjategijate avastamiseks ja jälitamiseks väga oluliseks. Häkkerite pahatahtlike tagauste / pahavarade eemaldamine ja nende jälitamine on hädavajalik, et vältida võimalikke tulevasi vahejuhtumeid. Kali kohtuekspertiisirežiimis ei paigalda operatsioonisüsteem Süsteemi kõvakettalt ühtegi sektsiooni ega jäta hostisüsteemi muudatusi ega sõrmejälgi.
Kali Linuxil on eelinstallitud populaarsed kohtuekspertiisirakendused ja tööriistakomplektid. Siin vaatame üle mõned kuulsad avatud lähtekoodiga tööriistad, mis on Kali Linuxis olemas.
Mahtväljatõmbaja
Bulk Extractor on rikkaliku funktsiooniga tööriist, mis võib kohtuekspertiisi uurimise käigus leitud tõenditest kõvakettad / failid eraldada kasulikku teavet, näiteks krediitkaardinumbrid, domeeninimed, IP-aadressid, e-kirjad, telefoninumbrid ja URL-id. See on kasulik pildi või pahavara analüüsimisel, aitab ka küberuurimisel ja paroolide lõhkumisel. See loob sõnaloendeid, mis põhinevad tõenditel leitud teabel, mis võib aidata paroolide lõhkumisel.
Hulgiekstraktor on teiste tööriistade hulgas populaarne tänu oma uskumatule kiirusele, mitme platvormi ühilduvusele ja põhjalikkusele. See on kiire tänu oma mitmekeermelistele funktsioonidele ja sellel on võime skannida igat tüüpi digitaalset meediumit, sealhulgas kõvakettad, SSD-d, mobiiltelefonid, kaamerad, SD-kaardid ja palju muud tüüpi.
Bulk Extractoril on järgmised lahedad funktsioonid, mis muudavad selle eelistatavamaks,
- Sellel on graafiline kasutajaliides nimega Bulk Extractor Viewer, mida kasutatakse hulgiekstraktoriga suhtlemiseks
- Sellel on mitu väljundvalikut, näiteks histogrammis väljundandmete kuvamine ja analüüsimine.
- Seda saab hõlpsasti automatiseerida, kasutades Pythoni või muid skriptikeeli.
- Kaasas on mõned eelnevalt kirjutatud skriptid, mida saab kasutada täiendava skannimise jaoks
- Selle mitmekeermeline keemia võib mitme protsessori südamikuga süsteemides olla kiirem.
Kasutamine: bulk_extractor [valikud] imagefile
käivitab hulgiekstraktori ja väljundid, et leida kokkuvõte sellest, mida leiti
Nõutavad parameetrid:
imagefile - ekstraktitav fail
või -R filedir - kordus failide kataloogi kaudu
ON TOETANUD E01-FILISE
ON TOETANUD AFF-FILISE
-o outdir - määrab väljundkataloogi. Ei tohi olemas olla.
bulk_extractor loob selle kataloogi.
Valikud:
-i - INFO režiim. Tehke kiire juhuslik proov ja printige aruanne.
-b bänner.txt- Bänneri lisamine.txt sisu iga väljundfaili ülaossa.
-r alert_list.txt - fail, mis sisaldab hoiatavate funktsioonide hoiatuste loendit
(võib olla funktsioonifail või gloobuste loend)
(saab korrata.)
-w stop_list.txt - fail, mis sisaldab funktsioonide peatusloendit (valge loend
(võib olla funktsioonifail või gloobuste loend) s
(saab korrata.)
-F
-f
tulemused lähevad leidmisele.txt
... jupp ..
Kasutamise näide
[meiliga kaitstud]: ~ # bulk_extractor -o väljundi saladus.img
Lahkamine
Lahkamine on platvorm, mida küberuurijad ja korrakaitsjad kasutavad kohtuekspertiisi toimingute läbiviimiseks ja nendest teatamiseks. See ühendab paljusid kohtuekspertiisi ja taastamise jaoks kasutatavaid üksikuid utiliite ning pakub neile graafilist kasutajaliidest.
Lahkamine on avatud lähtekoodiga tasuta ja platvormidevaheline toode, mis on saadaval Windowsi, Linuxi ja teiste UNIX-i põhiste operatsioonisüsteemide jaoks. Lahkamine võib otsida ja uurida andmeid mitmetes vormingutes kõvaketastelt, sealhulgas EXT2, EXT3, FAT, NTFS ja muud.
Seda on lihtne kasutada ja Kali Linuxi pole vaja installida, kuna see tarnitakse koos eelinstallitud ja eelkonfigureeritud.
Dumpzilla
Dumpzilla on platvormidevaheline käsurea tööriist, mis on kirjutatud Python 3 keeles ja mida kasutatakse kohtuekspertiisiga seotud teabe veebibrauseritest väljasaatmiseks. See ei eralda andmeid ega teavet, kuvab selle lihtsalt terminalis, mille saab operatsioonisüsteemi käskude abil ühendada, sorteerida ja failidesse salvestada. Praegu toetab see ainult Firefoxil põhinevaid brausereid nagu Firefox, Seamonkey, Iceweasel jne.
Dumpzilla saab brauseritest järgmist teavet
- Saab kuvada kasutaja reaalajas surfamist vahelehtedel / aknas.
- Kasutajate allalaadimised, järjehoidjad ja ajalugu.
- Veebivormid (otsingud, meilid, kommentaarid ...).
- Varem külastatud saitide vahemälu / pisipildid.
- Lisad / laiendused ja kasutatud teed või URL-id.
- Brauser salvestas paroolid.
- Küpsised ja seansi andmed.
Kasutamine: python dumpzilla.py browser_profile_directory [Valikud]
Valikud:
--Kõik (näitab kõike, välja arvatud DOM-i andmed. Ei eralda pisipilte ega HTML 5 võrguühenduseta)
--Küpsised [-showdom -domeen
-luua
--Load [-host
--Allalaadimised [-vahemik
--Vormid [-väärtus
--Ajalugu [-url
-sagedus]
--Järjehoidjad [-vahemiku_järjehoidjad
... jupp ..
Digitaalne kohtuekspertiisi raamistik - DFF
DFF on Pythonis ja C-s kirjutatud failide taastamise tööriist ja kohtuekspertiisi arendusplatvorm++. Sellel on tööriistade ja skripti komplekt nii käsurea kui ka graafilise kasutajaliidesega. Seda kasutatakse kohtuekspertiisi uurimise läbiviimiseks ning digitaalsete tõendite kogumiseks ja nendest teatamiseks.
Seda on lihtne kasutada ja seda saavad kasutada nii küberprofessionaalid kui ka algajad digitaalse kohtuekspertiisi teabe kogumiseks ja säilitamiseks. Siin käsitleme mõningaid selle häid omadusi
- Saab teha kohtuekspertiisi ja taastada nii kohalikes kui ka kaugseadmetes.
- Nii käsurea kui ka graafiline kasutajaliides koos graafiliste vaadete ja filtritega.
- Oskab taastada partitsioone ja virtuaalmasinate draive.
- Ühildub paljude failisüsteemide ja -vormingutega, sealhulgas Linux ja Windows.
- Saab varjatud ja kustutatud faile taastada.
- Oskab taastada andmeid ajutisest mälust, näiteks võrk, protsess jne
DFF
Digitaalne kohtuekspertiisi raamistik
Kasutamine: / usr / bin / dff [valikud]
Valikud:
-v - versioon kuvab praeguse versiooni
-g - graafiline käivitusgraafiline liides
-b --batch = FILENAME käivitab failis FILENAME sisalduva paketi
-l - keel = LANG kasutab LANG-i liidese keelena
-h - aidata kuvada see abisõnum
-d - debug suunab IO süsteemikonsooli
--verbosity = LEVEL määras sileduse taseme [0-3] silumisel
-c --config = FILEPATH kasuta faili FILEPATH konfiguratsioonifaili
Eeskätt
Foremost on kiirem ja usaldusväärsem käsureal põhinev taastetööriist kohtuekspertiisi operatsioonides kaotatud failide taastamiseks. Eelkõige on võimalus töötada piltidega, mille on loonud dd, Safeback, Encase jne, või otse kettale. Eelkõige saab taastada exe, jpg, png, gif, bmp, avi, mpg, wav, pdf, ole, rar ja palju muud failitüüpi.
[meiliga kaitstud]: ~ # eeskätt -heesmine versioon x.x.x autorid Jesse Kornblum, Kris Kendall ja Nick Mikus.
$ kõigepealt [-v | -V | -h | -T | -Q | -q | -a | -w-d] [-t
[-b
-V - kuvada autoriõiguste teavet ja väljuda
-t - määrake faili tüüp. (-t jpeg, pdf…)
-d - blokeeritud kaudtuvastuse sisselülitamine (UNIX-failisüsteemide jaoks)
-i - sisendfaili määramine (vaikimisi on stdin)
-a - kirjutage kõik päised, tehke tõrkeid tuvastamata (rikutud failid)
-w - kirjutage ainult auditifail, ärge kirjutage tuvastatud faile kettale
-o - määrab väljundkataloogi (vaikimisi väljund)
-c - määrake kasutatav konfiguratsioonifail (vaikimisi peamine.konf)
... jupp ..
Kasutamise näide
[meiliga kaitstud]: ~ # eesmine -t exe, jpeg, pdf, png -i fail-pilt.dd
Töötlemine: fail-pilt.dd
... jupp ..
Järeldus
Kali koos kuulsate läbitungimise testimisvahenditega on ka kogu kohtuekspertiisi jaoks mõeldud sakk. Sellel on eraldi režiim “Kohtuekspertiis”, mis on saadaval ainult Live USB-de jaoks, millesse see ei ühenda hosti partitsioone. Kali on oma toetuse ja parema ühilduvuse tõttu veidi eelistatum teiste kohtuekspertiisi distrosidega nagu CAINE.