Phenquestions
Sissejuhatus
Viimati käsitlesime 14 kohtuekspertiisi tööriista, mis on Kali Linuxis olemas, ning selgitasime nende eesmärki ja erivõimalusi. Täna esitleme 14 kohtuekspertiisi tööriista, mis on pärit kuulsast raamatukogust “The Sleuth Kit” (TSK), mis on pakitud Kali Linuxi 2020. aasta värskenduse sisse. Need tööriistad leiate kohtuekspertiisi rippmenüüst Kali viskimenüü Sleuth Kit Suite tööriistade nime all.
blkcalc
Tööriist blkcalc on kohtuekspertiis, mis teisendab jaotamata kettapunktid tavalisteks kettapunktideks. See programm loob punkti numbri, mis kaardistab kaks pilti. Üks neist piltidest on normaalne ja teine sisaldab esimese pildi eraldamata punktinumbreid. See tööriist võib toetada paljusid failisüsteemi tüüpe. Kui failisüsteemi pole alguses määratletud, on blkcalc-l failidisüsteemi tüübi leidmiseks automaatse tuvastamise meetodite ainulaadne omadus.
tsk_comparedir
Tööriista tsk_comparedir abil võrreldakse pildi sisu võrdluskataloogi sisuga. See on testimisfaasis parim tööriist juurkomplektide (pahatahtliku koodi või failide) tuvastamiseks. Rootkit-test viiakse läbi, võrreldes kohaliku kataloogi sisu kohaliku toorseadmega. Need juurkomplektid pole toorest seadmest juurdepääsul peidetud.
tsk_gettimes
Kohtuekspertiisi tööriist tsk_gettimes põhineb sleuth kit'i teegil. See tööriist kogub määratud kettapildilt MAC-ajad (failisüsteemi metaandmete tükid) ja teisendab ajad kehafailiks. Tööriist tsk_gettimes uurib kõiki kettasektsiooni või pildi failisüsteeme ja töötleb seal olevaid andmeid. Selle tööriista väljundiks on MAC-aegse kehavormingu kettapildi andmed, mida saab seejärel süsteemi sisendina kasutada failitegevuse kronoloogia loomiseks. Seejärel prinditakse andmed failina faili STDOUT kaudu.
blkcat
Blkcati tööriist on kiire ja tõhus kohtuekspertiisi tööriist, mis on pakendatud Kali sisse. Selle tööriista eesmärk on kuvada failisüsteemi kettale salvestatud andmete sisu. Väljund kuvab andmeühikute arvu, alustades üksuse põhiaadressist ja väljatrükkidest, erinevates vormingutes, mida saab täpsustada ja sortida. Vaikimisi on väljundvorming toores ja seda nimetatakse ka dcatiks.
tsk_loaddb
Tööriist tsk_loaddb laadib metaandmed kettapildilt SQLite andmebaasi, mis on kasutatav andmebaas teiste tarkvaratööriistade analüüsimiseks. Andmebaas on hõlpsaks juurdepääsuks salvestatud pildikataloogi. See tööriist toetab paljusid failisüsteeme ja saab arvutada iga faili MD5 räsiväärtuse.
blkstat
Varjatud komplekti tööriist blkstat kuvab kogu teabe failisüsteemi andmeühikute kohta. See tööriist tagastab andmed ploki või failisüsteemi sektori eraldamise oleku kohta. See tööriist saab kasutada käsku addr, mis näitab andmestiku statistikat, ja seda nimetatakse ka dstatiks.
leidma
Tööriist ffind kasutab kettapildilt kataloogi või faili nime otsimiseks inoodi. Ketta sektsioonis inode-faili identifikaatorile määratud failidel on nimed; vaikimisi tagastab see tööriist ainult leitud eesnime. Tööriist ffind võib leida isegi kustutatud failinimesid, mis on selle tööriista eriline võimalus. Lisaks leiab tööriist ffind ka mitu failinime.
hfind
Tööriist hfind otsib räsiväärtusi räsi andmebaasidest. Räsiväärtusi otsitakse binaarotsingu algoritmi abil. Selle algoritmi kasutamise eesmärk on võimaldada kasutajatel hõlpsasti luua räsi andmebaase ja tuvastada fail, olgu see siis teada või tundmatu. See tööriist kasutab NSRL-i teeki ja tagastab md5sum. See tööriist on väga tõhus, kuna loob juba sorditud indeksfaili, millel on fikseeritud pikkusega kirjed, mis muudab otsimise väga kiireks.
fls
Nimi fls hõlmab terminit "ls", mis tähistab kausta sisu loetlemist. Tööriist fls loetleb pildifailis kõik failinimed ja kataloogid ning võib näidata isegi hiljuti eemaldatud failide nimesid. Kui faili identifikaatorit või inoodi ei kasutata, kasutatakse juurkataloogi.
mmkass
Tööriist mmcat on kohtuekspertiisi tööriist, mis tagastab sektsiooni sisu printimisfunktsiooni kaudu. See tööriist eraldab kõik partitsioonis olevad andmed eraldi failiks.
sigfind
See tööriist leiab failis oleva binaarallkirja. Seda binaarallkirja nimetatakse hex_signature, mis on olemas igas failis. Seda tööriista saab kasutada kadunud superblokkide, sektsioonide või pilditabelite ja alglaadimissektorite leidmiseks. Binaarallkirja leidmiseks tuleks kasutada kuueteistkümnendsüsteemi vormingut.
ma leian
See tööriist otsib faili algandmete struktuuri, mis on määratud kindla kettaüksuse või failinimega. Mõnikord võib mõnda neist metaandmete struktuuridest jaotamata jätta, kuid see tööriist saavutab siiski tulemused.
sorteerija
Sortimisriist on "perl" skripti tööriist, mis sorteerib failisüsteemis, korraldades selle eraldatud ja jaotamata failideks vastavalt failitüübile. See tööriist käivitab iga faili käsu ja sorteerib failid vastavalt konfiguratsioonifailidele. Failitüübid hõlmavad peidetud faile, räsifaile räsi andmebaaside jaoks, teadaolevalt head failid ja neid, mida tuleks muuta. Kasutatavad konfiguratsioonifailid võetakse vaikimisi sealt, kus tööriist on installitud, kuid seda saab muuta käitusaja otsustega.
tsk_recover
See tööriist kannab failid kettasektsioonist kohalikku juurkataloogi. Taastatud failid on vaikimisi ainult jaotamata failid. Teatud käskude kaudu saab kõiki faile eksportida.
Järeldus
Need 14 tööriista on varustatud Kali Linuxi otseülekande ja installiprintidega ning need on avatud lähtekoodiga ja vabalt saadaval. Need tööriistad leiate Kali vuntsimenüüst kausta nimega Sleuth Kit Suite. Tööriistad saavad TSK-lt väikeste veaparanduste jaoks sageli värskendusi.
