Phenquestions
Lahkamine
Pean lahutamist, mis on vaikimisi saadaval CAINE'is ja Kali Linuxis, esimeseks tööriistaks, mida kriminalistikaga tutvustada, kuna see on graafiline ja intuitiivne liides arvuti kohtuekspertiisi tööriistade haldamiseks. Lahkamine optimeerib protsessi, kasutades taustal töötades mitut protsessori südamikku ja võib teile eelnevalt öelda, kas protsess toob positiivse tulemuse. Lahkamist saab kasutada ka graafilise liidesena erinevate käsurea tööriistade jaoks, toetab funktsioonide täiustamiseks ja lisamiseks laiendusi integreerimiseks kolmandate osapoolte tööriistadega, näiteks PhotoRec.
Nagu öeldud, on see Kali vaikimisi saadaval, Debiani ja Ubuntu kasutajad saavad lahkamise käivitades:
apt install lahkamine -y
Ametlik veebisait: https: // www.sleuthkit.org / lahkamine /
CAINE (arvutipõhine uurimiskeskkond)
CAINE on Ubuntu Linuxil põhinev distributsioon, mis on spetsiaalselt loodud arvuti kohtuekspertiisi jaoks. Vaikimisi on kaasas lahang, luues kasutajale väga sõbraliku keskkonna. CAINE on operatsioonisüsteemina suurepärane abimees, kuna see kehtib vaikimisi levinud kohtuekspertiisi tavasid, nagu mäluseadmete kaitsmine kohtuekspertiisi käigus rikutuse või ülekirjutamise eest.
CAINE on ajakohane Linuxi levitamine, mida on väga soovitatav arvuti kohtuekspertiisi alustamiseks.
Ametlik veebisait: https: // www.caine-live.net /
P0f
P0f on analüsaator erinevate seadmete vahelise suhtluse jaoks võrgu kaudu. P0f on võimeline tuvastama passiivses režiimis ühendatud erinevate seadmete kasutatavat operatsioonisüsteemi ja tarkvara, selle asemel et saata vastuse analüüsimiseks pakette. P0f haarab pakette ainult hilisemaks analüüsiks, seetõttu võib see sõrmejälgede võtmisel anda paremaid tulemusi kui Nmap. P0f praktiline kasutamine võib hõlmata ründaja tuvastamist käimasoleva pentseteerimise seansi ajal, võrgu järelevalvet ja lisateavet ühenduste kohta õigete turvameetmete seadistamiseks. P0f-i ei värskendatud pikka aega ja see on tagasi tulnud kui P03 koos kaasaegsete operatsioonisüsteemide ja tarkvara toega. Järgmises artiklis jälgime ründajaid, kasutades erinevaid tööriistu, sealhulgas P0f.
Debiani ja Ubuntu kasutajad saavad P0f installida, käivitades:
apt install p0f -y
Ametlik veebisait: http: // lcamtuf.coredump.cx / p0f3 /
Dumpzilla
Kriminaaluurimise ajal on sirvimistegevuse analüüs esimeste sammude hulgas. Nagu eelpool öeldud, võimaldab lahkamine meil lubada laiendusi kasutaja sirvimistegevuse uurimiseks. Dumpzilla on tööriist, mis on spetsiaalselt keskendunud sirvimisandmete taastamisele Mozilla Firefoxi brauseritest või derivaatidest nagu Iceweasel või Seamonkey. Dumpzilla võib anda meile palju väärtuslikku teavet, nagu kasutajanimed, paroolid, sirvimisajalugu ja kogu küpsistesse salvestatud teave või kasutaja eelistused. Hoolimata asjaolust, et Dumpzilla käitamine Firefoxi sihtmärgi vastu on väga spetsiifiline, on soovitatav hoolimata asjaolust, et seda pole viimase kahe aasta jooksul värskendatud.
Dumpzilla ei kuulu vaikehoidlatesse. Selle saate aadressilt: https: // github.com / Busindre / dumpzilla
Ametlik veebisait: https: // www.dumpzilla.org
Volatiilsus
Volatiilsus võimaldab meil uurida seadme elusmälu, mis tähendab teavet, mida ei salvestatud kõvakettale, kuid mis jätsid aktiivmällu artefaktid või jäljed. See tööriist, mis on vaikimisi saadaval nii CAINE-is kui ka Kali Linuxis, võib meid pärast seadmes toimunud intsidenti kasuliku teabe juurde tuua, näiteks millised protsessid töötasid või mis töötavad sündmuse ajal. Debiani volatiilsuse installimiseks võite käivitada
apt install volatiilsus -y
Ametlik veebisait: https: // www.volatiilsusfondatsioon.org /
Chkrootkit
RootKit on pahatahtlik tarkvara, mis on seadmesse installitud kohapeal või kaugelt, et anda ründajale ebaseaduslik juurdepääs. Võime väikestest erinevustest hoolimata teha groteskse võrdluse rootKitti ja Trooja serveri vahel (RootKIts sisaldab lisafunktsioone). RootKits saab süsteemifaile muuta ja ebaseaduslike sissetungide jälgi eemaldada. Siin asub ChkRooKit, analüüsides kahendfaile muudatuste, logide ja muude jälgede kohta, mille sissetungija võib eemaldada. Debiani kaudu saate chkrootkiti käivitades:
apt install chkrootkit -y
Ametlik veebisait: http: // www.chkrootkit.org /
Loodan, et leidsite selle artikli kasulikuks, et mõista, et arvuti kohtuekspertiis ei piirdu ainult IT-gurudega, igaüks saab arvuti kohtuekspertiisi hõlpsalt läbi viia eespool nimetatud tööriistade abil. Järgige LinuxHinti, et saada rohkem näpunäiteid ja värskendusi Linuxi kohta.
