Come utilizzare la modalità forense Kali Linux

Come utilizzare la modalità forense Kali Linux
Kali Linux è un sistema operativo dotato di tutto ciò che un professionista della sicurezza potrebbe aver bisogno, contenente un solido pacchetto di programmi da utilizzare da ricercatori di sicurezza e te-tester. C'è una caratteristica di "Kali Linux Live"Ciò fornisce un 'Modalità forense'Per i suoi utenti. La "modalità forense" è dotata di strumenti realizzati allo scopo esplicito della forense digitale.

Kali Linux 'Vivere' fornisce una modalità forense in cui è possibile collegare un USB contenente un Kali Iso. Ogni volta che sorge un bisogno forense, puoi fare ciò di cui hai bisogno senza installare nulla in più usando il Kali Linux Live (Modalità forense). L'avvio in kali (modalità forense) non monta i dischi rigidi del sistema, quindi le operazioni eseguite sul sistema non lasciano alcuna traccia.

Come usare Kali's Live (Modalità forense)

Per usare "Kali's Live (Modalità forense)", avrai bisogno di un'unità USB contenente Kali Linux ISO. Per crearne uno, puoi seguire le linee guida ufficiali dalla sicurezza offensiva

Dopo aver preparato la USB in diretta Kali Linux, inseriscilo e riavvia il PC per immettere il caricatore di avvio. Lì troverai un menu come questo:

Facendo clic su Live (Modalità forense) ti porterà direttamente nella modalità forense contenente gli strumenti e i pacchetti richiesti per le tue esigenze forensi. In questo articolo vedremo come organizzare il tuo processo forense digitale utilizzando il Live (Modalità forense).

Copia dei dati

La forense richiede l'imaging delle unità di sistema contenenti dati. La prima cosa che dobbiamo fare è creare una copia bit per bit del file, del disco rigido o di qualsiasi altro tipo di dati su cui dobbiamo eseguire la forense. Questo è un passo molto cruciale perché se è fatto sbagliato, allora tutto il lavoro può andare sprecato.

I backup regolari di un'unità o di un file non funzionano per noi (gli investigatori forensi). Ciò di cui abbiamo bisogno è una copia bit per bit di dati sull'unità. Per fare questo, useremo quanto segue dd comando:

root@kali: ~ $ dd if = di = BS =

Dobbiamo fare una copia dell'unità SDA1, Quindi useremo il seguente comando. Farà una copia di SDA1 a SDA2 512 ciao alla volta.

root@kali: ~ $ dd if =/dev/sda1 di =/dev/sda2 bs = 512

Hashing

Con la nostra copia dell'unità, chiunque può mettere in discussione la sua integrità e potrebbe pensare che abbiamo messo intenzionalmente l'unità. Per generare prove che abbiamo l'unità originale, useremo hashing. Hashing viene utilizzato per garantire l'integrità dell'immagine. L'hashing fornirà un hash per un'unità, ma se viene modificato un singolo bit di dati, l'hash cambierà e sapremo se è stato sostituito o è l'originale. Per garantire l'integrità dei dati e che nessuno possa mettere in discussione la sua originalità, copriremo il disco e ne genereremo un hash MD5.

Innanzitutto, aperto dcfldd dal toolkit forense.

IL dcfld L'interfaccia sembrerà così:

Ora useremo il seguente comando:

root@kali: ~ $ dcfldd if =/dev/sda di =/media/immagine.dd hash = md5 bs = 512

/dev/sda: L'unità che vuoi copiare
/Media/Immagine.DD: la posizione e il nome dell'immagine in cui si desidera copiare
hash = md5: L'hash che vuoi generare E.g md5, sha1, sha2, ecc. In questo caso è md5.
BS = 512: Numero di byte da copiare alla volta

Una cosa che dovremmo sapere è che Linux non fornisce nomi di unità con una sola lettera come in Windows. In Linux, i dischi rigidi sono separati da HD designazione, come aveva, HDB, eccetera. Per SCSI (interfaccia di sistema di sistema piccolo) lo è SD, SBA, SDB, eccetera.

Ora, abbiamo la copia bit by bit di un disco su cui vogliamo eseguire forensi. Qui entreranno in gioco strumenti forensi e chiunque abbia una conoscenza dell'uso di questi strumenti e può lavorare con loro tornerà utile.

Utensili

La modalità forense contiene già famosi toolkit e pacchetti open source per scopi forensi. È bene capire la forense ispezionare il crimine e tornare indietro a chiunque lo abbia fatto. Qualsiasi conoscenza di come usare questi strumenti sarebbe utile. Qui, faremo una rapida panoramica di alcuni strumenti e come familiarizzare con loro

Autopsia

L'autopsia è uno strumento utilizzato dall'esercito, dalle forze dell'ordine e dalle diverse agenzie quando c'è un bisogno forense. Questo pacchetto è presumibilmente uno dei più potenti accessibili attraverso la source aperta, consolida le funzionalità di numerosi altri bundle piccoli che sono progressivamente coinvolti nella loro metodologia in un'applicazione impeccabile con un'interfaccia utente basata su browser Internet.

Per utilizzare l'autopsia, aprire qualsiasi browser e digita: http: // localhost: 9999/autopsia

Ora, che ne dici di aprire qualsiasi programma ed esplorare la posizione sopra. Questo ci porterà essenzialmente al vicino server Web sul nostro framework (localhost) e arriverà alla porta 9999 dove l'autopsia è in esecuzione. Sto utilizzando il programma predefinito a Kali, Iceweasel. Quando esploro quell'indirizzo, ottengo una pagina come quella vista di seguito:

Le sue funzionalità incorporano: indagine se linea temporale, ricerca di parole chiave, separazione hash, scultura di dati, media e marcatori di un affare. L'autopsia accetta le immagini del disco in formati EO1 OE grezzi e danno risultati in qualunque formato sia richiesto solitamente in XML, formati HTML.

Binwalk

Questo strumento viene utilizzato durante la gestione delle immagini binarie, ha la possibilità di trovare il documento inserito e il codice eseguibile studiando il file di immagine. È una risorsa straordinaria per coloro che sanno cosa stanno facendo. Se utilizzato a destra, puoi benissimo scoprire dati delicati coperti nelle immagini del firmware che potrebbero rivelare un hack o essere utilizzati per scoprire una clausola di fuga per essere abusi.

Questo strumento è scritto in Python e utilizza la libreria libmagic, rendendolo ideale per l'uso con segni di incantesimo realizzati per l'utilità record unix. Per rendere le cose più semplici per gli esaminatori, contiene un record di firma incantesimo che contiene i segni più regolarmente scoperti nel firmware, il che rende più semplice individuare incoerenze individuare.

DDrescue

Duplica le informazioni da un documento o un gadget quadrato (disco rigido, CD-ROM, ecc.) a un altro, tentare di proteggere prima le parti grandi se si verifica un verificarsi di errori di lettura.

L'attività essenziale di DDrescue è completamente programmata. Cioè, non è necessario sedersi stretto per un errore, fermare il programma e riavviarlo da un'altra posizione. Se si utilizza il momento saliente del file di mappa di DDRESCUE, le informazioni vengono salvate in modo competente (solo i quadrati richiesti sono esaminati). Allo stesso modo, puoi intromettersi sul salvataggio ogni volta e continuare più tardi in un punto simile. Il file map è un pezzo base della redditività di DDRESCUE. Utilizzalo tranne se sai cosa stai facendo.

Per usarlo useremo il seguente comando:

root@kali: ~ $ dd_rescue

Dumpzilla

L'applicazione Dumpzilla è creata in Python 3.X e viene utilizzato per estrarre i dati misurabili e affascinanti dei programmi Firefox, Ice-Weasel e Seamonkey da esaminare. A causa del suo Python 3.X Turn of Events, probabilmente non funzionerà in modo appropriato in vecchie forme Python con personaggi specifici. L'applicazione funziona in un'interfaccia della riga di ordine, quindi i dump di dati potrebbero essere deviati dai tubi con i dispositivi; Ad esempio, grep, awk, taglio, sed. Dumpzilla consente agli utenti di immaginare le seguenti aree, cercare la personalizzazione e concentrarsi su determinate aree:

  • Dumpzilla può mostrare attività in diretta degli utenti in schede/Windows.
  • Cache Dati e miniature di Windows precedentemente aperte
  • Download, segnalibri e cronologia dell'utente
  • Le password salvate del browser
  • Cookie e dati di sessione
  • Ricerche, e -mail, commenti

Principale

Cancella documenti che possono aiutare a svelare un episodio computerizzato? Dimenticalo! Il principale è un pacchetto semplice e open source che può tagliare le informazioni dai cerchi disposti. Il nome file stesso probabilmente non verrà recuperato, tuttavia le informazioni che contiene possono essere eliminate. Il primo può recuperare JPG, PNG, BMP, JPEG, EXE, MPG, OLE, RAR, PDF e molti altri tipi di file.

: ~ $ ForeMost -H
principale versione 1.5.7 di Jesse Kornblum, Kris Kendall e Nick Mikus.
$ foremost [-v | -v | -h | -t | -q | -q | -a | -w-d] [-t "
[-S ] [-K "
[-B ] [-C ] [-o ] [-io

-V - Visualizza informazioni sul copyright ed uscita
-T - Specificare il tipo di file. (-t jpeg, pdf ...)
-D - Attiva il rilevamento di blocchi indiretti (per system di file UNIX)
-I - Specificare il file di input (impostazione predefinita è stdin)
-A - Scrivi tutte le intestazioni, esegui alcun rilevamento degli errori (file corrotti)
-W - Scrivi solo il file di audit, non scrivere alcun file rilevato sul disco
-O - Imposta directory di output (impostazione predefinita su output)
-C - Imposta il file di configurazione da utilizzare (impostazione predefinita su.conf)
-Q - Abilita la modalità rapida. Le ricerche vengono eseguite su limiti di 512 byte.
-Q - Abilita la modalità silenziosa. Sopprimere i messaggi di output.
-V - Modalità verbosa. Registri tutti i messaggi sullo schermo

Estrattore di massa

Questo è uno strumento eccezionalmente utile quando un esaminatore spera di separare una sorta di informazioni specifiche dal record di prove computerizzate, questo dispositivo può eliminare gli indirizzi e -mail, i numeri di schede di rate e così via. Questo strumento prende un colpo ai cataloghi, ai file e alle immagini del disco. Le informazioni possono essere rovinate a metà strada o tende ad essere compattate. Questo dispositivo lo scoprirà.

Questa funzione include punti salienti che aiutano a fare un esempio nelle informazioni che si trovano più volte, ad esempio URL, ID e -mail e altro ancora e li presenta in un gruppo di istogramma. Ha un componente con cui fa un elenco di parole dalle informazioni scoperte. Questo può aiutare a dividere le password dei documenti strapazzati.

Analisi RAM

Abbiamo visto l'analisi della memoria sulle immagini del disco rigido, ma a volte dobbiamo acquisire dati dalla memoria dal vivo (RAM). Ricorda che RAM è una fonte di memoria volatile, il che significa che perde i suoi dati come prese aperte, password, processi in esecuzione non appena viene disattivato.

Una delle tante cose positive dell'analisi della memoria è la capacità di ricreare ciò che il sospetto stava facendo al momento di un incidente. Uno degli strumenti più famosi per l'analisi della memoria è Volatilità.

In Live (Modalità forense), Innanzitutto, navigeremo Volatilità Utilizzando il seguente comando:

root@kali: ~ $ cd/usr/share/volatilità

Poiché la volatilità è uno script Python, immettere il seguente comando per vedere il menu di aiuto:

root@kali: ~ $ python vol.py -h

Prima di fare qualsiasi lavoro su questa immagine di memoria, prima dobbiamo raggiungere il suo profilo utilizzando il comando seguente. L'immagine del profilo aiuta volatilità Per sapere dove nella memoria risiede le informazioni importanti. Questo comando esaminerà il file di memoria per prove del sistema operativo e delle informazioni chiave:

root@kali: ~ $ python vol.Py ImageInfo -f =

Volatilità è un potente strumento di analisi della memoria con tonnellate di plugin che ci aiuteranno a indagare su ciò che il sospetto stava facendo al momento del sequestro del computer.

Conclusione

La forense sta diventando sempre più sempre più essenziale nel mondo digitale di oggi, dove ogni giorno vengono impegnati molti crimini utilizzando la tecnologia digitale. Avere tecniche e conoscenze forensi nel tuo arsenale è sempre uno strumento estremamente utile per combattere contro la criminalità informatica sul tuo tappeto erboso.

Kali è dotato degli strumenti necessari per eseguire la forense e utilizzando Live (Modalità forense), Non dobbiamo tenerlo sempre nel nostro sistema. Invece, possiamo semplicemente creare un USB dal vivo o avere Kali ISO pronto in un dispositivo periferico. Nel caso in cui le esigenze forensi si presentassero, possiamo semplicemente collegare l'USB, passare a Live (Modalità forense) E fai il lavoro senza intoppi.