Phenquestions
Joonis 1: Kali Linux
Üldiselt tuleb arvutisüsteemis kohtuekspertiisi teostamisel vältida igasugust tegevust, mis võib muuta või muuta süsteemi andmeanalüüsi. Teised kaasaegsed töölauad segavad tavaliselt seda eesmärki, kuid Kali Linuxi abil saab alglaadimenüü kaudu lubada spetsiaalse kohtuekspertiisirežiimi.
Binwalki tööriist:
Binwalk on Kali kohtuekspertiisi tööriist, mis otsib määratud binaarkujutiselt käivitatavat koodi ja faile. See tuvastab kõik failid, mis on varjatud mis tahes püsivara pildi sisse. See kasutab väga tõhusat teeki, mida tuntakse kui „libmagic“, mis sorteerib Unixi faili utiliidis maagilised allkirjad.
Joonis 2: Binwalk CLI tööriist
Mahtväljatõmbe tööriist:
Hulgiekstraktori tööriist eraldab krediitkaardinumbrid, URL-i lingid, e-posti aadressid, mida kasutatakse digitaalseks tõendiks. See tööriist võimaldab teil tuvastada pahavara ja sissetungi rünnakuid, identiteedi uurimist, küberhaavatavusi ja paroolide lõhkumist. Selle tööriista eripära on see, et see töötab mitte ainult tavaliste andmetega, vaid ka tihendatud andmetega ja puudulike või kahjustatud andmetega.
Joonis 3: hulgiekstraktori käsurea tööriist
HashDeepi tööriist:
Hashdeep-tööriist on dc3dd-räsimisriista muudetud versioon, mis on mõeldud spetsiaalselt digitaalseks kohtuekspertiisiks. See tööriist sisaldab failide automaatset räsimist, s.t.e., sha-1, sha-256 ja 512, tiiger, mullivann ja md5. Vea logifail kirjutatakse automaatselt. Iga väljundiga luuakse eduaruanded.
Joonis 4: HashDeep CLI liidese tööriist.
Maagiline päästetööriist:
Maagiline päästmine on kohtuekspertiisi tööriist, mis teostab blokeeritud seadme skannimistoiminguid. See tööriist kasutab maagiabaite, et kõik teadaolevad failitüübid seadmest välja tõmmata. See avab seadmed failitüüpide skannimiseks ja lugemiseks ning näitab kustutatud või rikutud sektsiooni failide taastamise võimalust. See võib töötada iga failisüsteemiga.
Joonis 5: maagiline päästmis käsurea liidese tööriist
Skalpelli tööriist:
See kohtuekspertiisi tööriist loob kõik failid ja indekseerib need rakendused, mis töötavad Linuxis ja Windowsis. Skalpellitööriist toetab mitme tuumaga süsteemide käivitamist mitmes tuumasüsteemis, mis aitab kiiret hukkamist. Faili nikerdamine viiakse läbi fragmentidena, nagu regulaaravaldised või binaarsed stringid.
Joonis 6: skalpelli kohtuekspertiisi nikerdamise tööriist
Tööriist Scrounge-NTFS:
See kohtumeditsiiniline utiliit aitab rikutud NTFS-ketastelt või -partitsioonidelt andmeid hankida. See päästab andmed rikutud failisüsteemist uude töötavasse failisüsteemi.
Joonis 7: kohtuekspertiisi andmete taastamise tööriist
Guymageri tööriist:
Seda kohtuekspertiisi utiliiti kasutatakse kohtuekspertiisi jaoks mõeldud meediumide hankimiseks ja sellel on graafiline kasutajaliides. Mitmekeermelise andmetöötluse ja tihendamise tõttu on see väga kiire tööriist. See tööriist toetab ka kloonimist. See loob lamedad, AFF- ja EWF-pildid. Kasutajaliidese kasutamine on väga lihtne.
Joonis 8: Guymageri GUI kohtuekspertiisi utiliit
Pdfidi tööriist:
Seda kohtuekspertiisi tööriista kasutatakse pdf-failides. Tööriist otsib pdf-failidest konkreetseid märksõnu, mis võimaldab teil avamisel käivitatavad koodid tuvastada. See tööriist lahendab pdf-failidega seotud põhiprobleemid. Seejärel analüüsitakse kahtlaseid faile tööriista pdf-parser abil.
Joonis 9: Pdfid käsurea liidese utiliit
Pdf-parseri tööriist:
See tööriist on üks olulisemaid kohtuekspertiisi tööriistu pdf-failide jaoks. pdf-parser sõelub pdf-dokumendi ja eristab selle analüüsimisel kasutatud olulisi elemente ning see tööriist ei muuda seda pdf-dokumenti.
Joonis 10: Pdf-parseri CLI kohtuekspertiis
Peepdf-tööriist:
Püütoni tööriist, mis uurib pdf-dokumente, et leida, kas see on kahjutu või hävitav. See sisaldab kõiki pdf-analüüsi teostamiseks vajalikke elemente ühes paketis. See näitab kahtlasi üksusi ja toetab erinevaid kodeeringuid ja filtreid. See võib sõeluda ka krüpteeritud dokumente.
Joonis 11: Peepdf pythoni tööriist pdf-i uurimiseks.
Lahkamise tööriist:
Lahkamine on kõik ühes kohtuekspertiisis, et andmeid kiiresti taastada ja räsi filtreerida. See tööriist nikerdab kustutatud failid ja meediumid jaotamata ruumist PhotoReci abil. See suudab ka EXIF-i laienduse multimeediumit välja võtta. Lahkamine otsib kompromissindikaatorit STIX-i teegi abil. See on saadaval nii käsureal kui ka GUI liideses.
Joonis 12: lahkamine, kõik ühes kohtuekspertiisi paketis
tööriist img_cat:
tööriist img_cat annab pildifaili väljundsisu. Taastatud pildifailides on metaandmed ja manustatud andmed, mis võimaldavad teil need algandmeteks teisendada. Need algandmed aitavad MD5-räsi arvutamiseks väljundit sisestada.
Joonis 13: manustatud andmed img_cat toorandmete taastamiseks ja muunduriks.
ICAT-i tööriist:
ICAT on tööriist Sleuth Kit (TSK), mis loob faili väljundi selle identifikaatori või inoodinumbri põhjal. See kohtuekspertiisi tööriist on ülikiire ja see avab nimetatud failipildid ja kopeerib need standardväljundisse kindla inoodinumbriga. Inood on üks Linuxi süsteemi andmestruktuure, mis salvestab andmeid ja teavet Linuxi faili kohta, nagu omandiline kuuluvus, faili suurus ja tüüp, kirjutamis- ja lugemisõigused.
Joonis 14: ICAT-i konsoolipõhine liidese tööriist
Tööriist Srch_strings:
See tööriist otsib binaarandmetest elujõulisi ASCII ja Unicode stringe ja prindib seejärel nendest andmetest leitud nihke stringi. Tööriist srch_strings eraldab ja otsib failis olevad stringid ning annab nihkebaidi, kui seda kutsutakse.
Joonis 15: Stringi otsimise kohtuekspertiis
Järeldus:
Need 14 tööriista on varustatud Kali Linuxi reaalajas ja installiprintidega ning need on avatud lähtekoodiga ja vabalt saadaval. Kali vanema versiooni puhul soovitaksin siis värskendada uusimat versiooni, et need tööriistad otse hankida. Järgmiseks on palju muid kohtuekspertiisi vahendeid. Vaadake siin selle artikli 2. osa.
